Wiresharkni kuzatish uchun shlyuzni qanday bilish mumkin. Wireshark yordamida tarmoq tahlili

Wireshark - bu kompyuteringizning tarmoq interfeysi orqali o'tadigan trafikni tahlil qilish uchun ishlatilishi mumkin bo'lgan kuchli tarmoq analizatori. Bu tarmoq muammolarini aniqlash va hal qilish, veb-ilovalar, tarmoq dasturlari yoki saytlarni disk raskadrovka qilish uchun kerak bo'lishi mumkin. Wireshark paketning mazmunini barcha darajadagi to'liq ko'rish imkonini beradi, shuning uchun siz tarmoqning past darajada qanday ishlashini yaxshiroq tushunishingiz mumkin.

Barcha paketlar real vaqt rejimida olinadi va o'qish oson formatda taqdim etiladi. Dastur juda kuchli filtrlash tizimini, ranglarni ajratib ko'rsatishni va kerakli paketlarni topishga yordam beradigan boshqa xususiyatlarni qo'llab-quvvatlaydi. Ushbu qo'llanmada biz Wireshark-dan trafikni tahlil qilish uchun qanday foydalanishni ko'rib chiqamiz. So'nggi paytlarda ishlab chiquvchilar Wireshark 2.0 dasturining ikkinchi tarmog'ida ishlashga o'tdilar, bu ko'plab o'zgarishlar va yaxshilanishlarni, ayniqsa interfeys uchun olib keldi. Bu biz ushbu maqolada foydalanamiz.

Wiresharkning asosiy xususiyatlari

Trafikni tahlil qilish usullarini ko'rib chiqishga o'tishdan oldin, dastur qanday imkoniyatlarni qo'llab-quvvatlashi, qanday protokollar bilan ishlashi va nima qilish kerakligini batafsil ko'rib chiqishingiz kerak. Mana dasturning asosiy xususiyatlari:

Simli yoki boshqa turdagi tarmoq interfeyslaridan real vaqtda paketlarni yozib olish, shuningdek fayldan o'qish;
Quyidagi suratga olish interfeyslari qo'llab-quvvatlanadi: Ethernet, IEEE 802.11, PPP va mahalliy virtual interfeyslar;
Paketlarni filtrlar yordamida ko'plab parametrlar bo'yicha saralash mumkin;
Barcha ma'lum protokollar ro'yxatda turli ranglarda ta'kidlangan, masalan, TCP, HTTP, FTP, DNS, ICMP va boshqalar;
VoIP qo'ng'iroqlari trafigini yozib olishni qo'llab-quvvatlash;
Sertifikat bilan HTTPS trafigining shifrini ochishni qo'llab-quvvatlaydi;
Kalit va qo'l siqish mavjud bo'lganda WEP, simsiz tarmoqlarning WPA trafigini dekodlash;
Tarmoq yuki statistikasini ko'rsatish;
Barcha tarmoq qatlamlari uchun paketlar tarkibini ko'rish;
Paketlarni jo'natish va qabul qilish vaqtini ko'rsatadi.

Dasturda ko'plab boshqa xususiyatlar mavjud, ammo bular sizni qiziqtirishi mumkin bo'lgan asosiy narsalar edi.

Wireshark-dan qanday foydalanish kerak

Sizda dastur allaqachon o'rnatilgan deb o'ylayman, lekin agar bo'lmasa, uni rasmiy omborlardan o'rnatishingiz mumkin. Buning uchun Ubuntu-da buyruqni kiriting:

$ sudo apt Wiresharkni o'rnating

O'rnatishdan so'ng dasturni tarqatishning asosiy menyusida topishingiz mumkin. Wireshark-ni superuser huquqlari bilan ishga tushirishingiz kerak, chunki aks holda dastur tarmoq paketlarini tahlil qila olmaydi. Buni asosiy menyudan yoki terminal orqali KDE uchun buyruq yordamida amalga oshirish mumkin:

$ kdesu Wireshark

Va Gnome/Unity uchun:

$ gksu wireshark

Dasturning asosiy oynasi uch qismga bo'lingan, birinchi ustunda tahlil qilish uchun mavjud bo'lgan tarmoq interfeyslari ro'yxati, ikkinchisida - fayllarni ochish variantlari, uchinchisida - yordam mavjud.

Tarmoq trafigini tahlil qilish

Tahlilni boshlash uchun tarmoq interfeysini tanlang, masalan, eth0 va tugmani bosing Boshlash.

Shundan so'ng, interfeys orqali o'tadigan paketlar oqimi bilan keyingi oyna ochiladi. Ushbu oyna ham bir necha qismlarga bo'lingan:

Yuqori qism- bu turli tugmachalar bilan menyu va panellar;
Paket ro'yxati- keyin siz tahlil qiladigan tarmoq paketlari oqimi ko'rsatiladi;
Paket tarkibi- tanlangan paketning mazmuni ostida joylashgan bo'lib, u transport qatlamiga qarab toifalarga bo'linadi;
Haqiqiy vakillik- eng pastki qismida paketning mazmuni real shaklda, shuningdek, HEX shaklida ko'rsatiladi.

Uning mazmunini tahlil qilish uchun istalgan paketni bosishingiz mumkin:

Bu erda biz saytning IP-manzilini olish uchun DNS-ga so'rov paketini ko'ramiz, domen so'rovning o'zida yuboriladi va javob paketida biz savolimizni, shuningdek javobni olamiz.

Ko'rishni yanada qulayroq qilish uchun siz kirishni ikki marta bosish orqali paketni yangi oynada ochishingiz mumkin:

Wireshark filtrlari

Sizga kerak bo'lganlarni topish uchun paketlarni qo'lda ko'rib chiqish juda noqulay, ayniqsa faol oqim bilan. Shuning uchun bunday vazifa uchun filtrlardan foydalanish yaxshiroqdir. Filtrlarni kiritish uchun menyu ostida maxsus chiziq mavjud. Filtr konstruktorini ochish uchun Ifodani bosishingiz mumkin, lekin ularning koʻpi bor, shuning uchun biz eng asosiylarini koʻrib chiqamiz:

ip.dst- maqsadli IP manzili;
ip.src- jo'natuvchining IP manzili;
ip.addr- jo'natuvchi yoki oluvchining IP-manzili;
ip.proto- protokol;
tcp.dstport- belgilangan port;
tcp.srcport- jo'natuvchining porti;
ip.ttl- ttl bo'yicha filtrlash, tarmoq masofasini aniqlaydi;
http.request_uri- so'ralgan veb-sayt manzili.

Filtrdagi maydon va qiymat o'rtasidagi munosabatni belgilash uchun quyidagi operatorlardan foydalanishingiz mumkin:

== - teng;
!= - teng emas;
< - kichikroq;
> - Ko'proq;
<= - dan kam yoki teng;
>= - ko'proq yoki teng;
mos keladi- muntazam ifoda;
o'z ichiga oladi- o'z ichiga oladi.

Bir nechta ifodalarni birlashtirish uchun siz quyidagilarni ishlatishingiz mumkin:

&& - paket uchun ikkala ifoda ham to'g'ri bo'lishi kerak;
|| - ifodalardan biri to'g'ri bo'lishi mumkin.

Keling, misollar yordamida bir nechta filtrlarni batafsil ko'rib chiqamiz va munosabatlarning barcha belgilarini ko'rib chiqishga harakat qilamiz.

Birinchidan, 194.67.215.125 (losst.ru) ga yuborilgan barcha paketlarni filtrlaymiz. Filtr maydoniga qatorni kiriting va ustiga bosing Murojaat qiling... Qulaylik uchun, wireshark filtrlarini tugma yordamida saqlash mumkin Saqlash:

ip.dst == 194.67.215.125

Va nafaqat yuborilgan paketlarni, balki ushbu tugundan javob sifatida olingan paketlarni olish uchun siz ikkita shartni birlashtira olasiz:

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

O'tkazilgan katta fayllarni ham tanlashimiz mumkin:

http.content_length> 5000

Kontent turini filtrlagandan so'ng, biz yuklangan barcha rasmlarni tanlashimiz, paketlarida tasvir so'zini o'z ichiga olgan wireshark trafigini tahlil qilishimiz mumkin:

http.content_type tarkibida rasm mavjud

Filtrni tozalash uchun tugmani bosishingiz mumkin Toza... Shunday bo'ladiki, siz har doim ham filtrlash uchun zarur bo'lgan barcha ma'lumotlarni bilmaysiz, lekin siz shunchaki tarmoqni o'rganishni xohlaysiz. Siz paketning istalgan maydonini ustun sifatida qo'shishingiz va uning mazmunini har bir paket uchun umumiy oynada ko'rishingiz mumkin.

Misol uchun, men paketning ttl (hayoti) ni ustun sifatida ko'rsatmoqchiman. Buni amalga oshirish uchun paket ma'lumotlarini oching, IP bo'limida ushbu maydonni toping. Keyin kontekst menyusiga qo'ng'iroq qiling va variantni tanlang Ustun sifatida qo'llash:

Bundan tashqari, istalgan maydon asosida filtrni o'zingiz yaratishingiz mumkin. Kerakli maydonni tanlang va kontekst menyusini oching, so'ng tugmasini bosing Filtr sifatida qo'llang yoki Filtr sifatida tayyorlang keyin tanlang Tanlangan faqat tanlangan qiymatlarni ko'rsatish uchun yoki Tanlanmagan ularni olib tashlash uchun:

Belgilangan maydon va uning qiymati qo'llaniladi yoki ikkinchi holatda filtr maydoniga almashtiriladi:

Shu tarzda filtrga istalgan paketning maydoni yoki ustunini qo'shishingiz mumkin. Ushbu parametr kontekst menyusida ham mavjud. Protokollarni filtrlash uchun oddiyroq shartlardan ham foydalanishingiz mumkin. Masalan, HTTP va DNS protokollari uchun Wireshark trafigini tahlil qilaylik:

Dasturning yana bir qiziqarli xususiyati - foydalanuvchi kompyuteri va server o'rtasidagi ma'lum bir seansni kuzatish uchun Wireshark-dan foydalanish. Buning uchun paket uchun kontekst menyusini oching va tanlang TCP oqimini kuzatib boring.

Keyin oyna ochiladi, unda siz server va mijoz o'rtasida uzatilgan barcha ma'lumotlarni topasiz:

Wireshark muammolarini diagnostika qilish

Tarmoq muammolarini aniqlash uchun Wireshark 2 dan qanday foydalanishni qiziqtirgan bo'lishingiz mumkin. Buning uchun oynaning pastki chap burchagida dumaloq tugma mavjud, ustiga bosganingizda oyna ochiladi. Ekspert asboblari... Unda Wireshark barcha xato xabarlari va tarmoq muammolarini to'playdi:

Oyna Xatolar, Ogohlantirishlar, Xabarlar, Chatlar kabi yorliqlarga bo'lingan. Dastur ko'plab tarmoq muammolarini filtrlashi va topishi mumkin va bu erda siz ularni juda tez ko'rishingiz mumkin. Bu erda Wireshark filtrlari ham qo'llab-quvvatlanadi.

Wireshark trafik tahlili

Agar ulanish shifrlanmagan bo'lsa, foydalanuvchilar aynan nimani yuklab olganini va ular qanday fayllarni ko'rganligini osongina tushunishingiz mumkin. Dastur tarkibni ajratib olishda juda yaxshi ish qiladi.

Buni amalga oshirish uchun, avvalo, paneldagi qizil kvadrat yordamida trafikni suratga olishni to'xtatishingiz kerak. Keyin menyuni oching Fayl -> Ob'ektlarni eksport qilish -> HTTP:

Bu juda ko'p funktsiyalarga ega bo'lgan juda kuchli yordamchi dastur. Uning barcha funksiyalarini bitta maqolaga joylashtirishning iloji yo'q, lekin bu erda keltirilgan asosiy ma'lumotlar siz bilishingiz kerak bo'lgan hamma narsani o'zlashtirishingiz uchun etarli bo'ladi.

- xizmatlar yoki xatolar turlari bo'yicha buferni tezda tahlil qilish imkonini beradigan o'rnatilgan ekspert tizimining mavjudligi. Bu muammoni lokalizatsiya qilish va siz uchun allaqachon tartiblangan va oldindan taxmin qilingan ma'lumotlar bilan ishlash vaqtini sezilarli darajada tezlashtiradi. Bu erda siz Netscout-dan Observer yoki ClearSight Analyzer deb nomlangan VIAVI Solutions yechimlariga e'tibor berishingiz mumkin.

Agar byudjet ajratilmagan bo'lsa-da, lekin muammolar mavjud bo'lsa, unda sabr-toqat va qahvalarda zaxiralash qoladi. Etkazish tarmoqlarida 1 Gbit/s va undan yuqori tezlikdagi ma'lumotlar trafikni yozib olish buferini bir zumda to'ldiradi va chiqishda juda katta ma'lumotlar massivi olinadi. Ushbu ma'lumotlar massivi, tarmoqdagi turli qurilmalar o'rtasidagi o'zaro ta'sirni tushunib, turli parametrlar bo'yicha filtrlanishi mumkin. Buning uchun Wireshark bir nechta variantga ega:

Xato paketlarni rang kodlash - moslashtirilgan bo'lishi mumkin. Xatoni o'z ichiga olgan paketlar buferda maxsus rang bilan ajratib ko'rsatiladi.

Filtr qatori orqali filtrlang. Siz Wireshark va protokollar bilan tajribaga egasiz va filtrni o'zingiz kiritishingiz mumkin. Filtrlarning katta tanlovini topish mumkin.

To'plamdagi istalgan maydonni tanlang, o'ng tugmasini bosing va "Filtr sifatida qo'llash" tugmasini bosing. Yangi boshlanuvchilar uchun usul: juda qulay, chunki siz miyangizni chayqashingiz shart emas.

Trafikni ko'rsatish uchun asosiy filtrlar qanday?

Protokol bo'yicha Wireshark filtri

Filtr qatoriga protokol nomini kiritish va enter tugmasini bosish kifoya. Ekranda kerakli protokolga tegishli paketlar ko'rsatiladi. Shunday qilib, filtr quyidagicha ko'rinadi:

Agar qo'lga olish buferini bir nechta protokollar bo'yicha filtrlash kerak bo'lsa, unda barcha kerakli protokollarni sanab o'tish va ularni || belgisi bilan ajratish kerak. Masalan:

arp || http || icmp

Wireshark IP-manzil bo'yicha filtr va MAC filtri

Filtr harakat yo'nalishiga qarab bir oz farq qiladi. Masalan, biz jo'natuvchining IP manzili 50.116.24.50 bo'yicha filtrlashni xohlaymiz:

ip.src == 10.0.10.163

Qabul qiluvchi uchun filtr ip.dst == x.x.x.x kabi ko'rinadi va agar biz trafik yo'nalishidan qat'iy nazar paketlarni ko'rishni xohlasak, shunchaki kiriting:

ip.addr == 50.116.24.50

Agar ba'zi manzilni tanlash maydonidan chiqarib tashlashimiz kerak bo'lsa, biz qo'shishimiz kerak! =. Misol:

ip.src! = 80.68.246.17

Agar biz mahalliy tarmoq ichidagi trafikni tahlil qilsak va foydalanuvchining MAC manzilini bilsak, uning MAC manzilini Wireshark filtri sifatida belgilashimiz mumkin, masalan:

eth.addr == AA: BB: CC: DD: EE: FF

Port raqami bo'yicha Wireshark filtri

Trafikni tahlil qilishda biz ma'lum bir protokol trafikni uzatadigan port raqami bo'yicha filtrni sozlashimiz mumkin. Barcha ro'yxatdan o'tgan portlarning raqamlarini topish mumkin. Misol:

IP va MAC manzillari bilan bir qatorda, biz qabul qilish yoki jo'nash portlari bo'yicha alohida filtrlashimiz mumkin. tcp. srcport va tcp. dstport. Port raqamlarini belgilashdan tashqari, Wireshark buferni TCP protokolidagi bayroqlar bo'yicha filtrlash uchun ajoyib imkoniyatni taqdim etadi. Misol uchun, agar biz SYN bayrog'i (qurilmalar o'rtasida aloqa o'rnatish) bilan TCP paketlarini ko'rishni istasak, qidiruv satriga kiriting:

Ommabop filtrlar

Quyidagi jadvalda suratga olish buferi tarkibini ko'rsatish uchun eng mashhur filtrlar keltirilgan:

Ko'rsatish uchun filtr	Tavsif	Yozish misoli
	Yuboruvchi yoki qabul qiluvchining MAC manzili	eth.addr == 00: 1a: 6b: ce: fc: bb
	Yuboruvchining MAC manzili	eth.src == 00: 1a: 6b: ce: fc: bb
	Qabul qiluvchining MAC manzili	eth.dst == 00: 1a: 6b: ce: fc: bb
	ARP protokoli - maqsadli MAC manzili	arp.dst.hw_mac == 00: 1a: 6b: ce: fc: bb
arp.dst.proto_ipv4	ARP - Qabul qiluvchining IP-versiyasi 4	arp.dst.proto_ipv4 == 10.10.10.10
	ARP protokoli - jo'natuvchining MAC manzili	arp.src.hw_mac == 00: 1a: 6b: ce: fc: bb
arp.src.proto_ipv4	ARP - Yuboruvchining IP-versiyasi 4	arp.src.proto_ipv4 == 10.10.10.10
	VLAN ID
	Qabul qiluvchi yoki jo'natuvchining IP-versiyasi 4 manzili	ip.addr == 10.10.10.10
	Qabul qiluvchining IP-versiyasi 4 manzili	ip.addr == 10.10.10.10
	Yuboruvchining IP versiyasi 4	ip.src == 10.10.10.10
	IP protokoli (o'nlik)
	Qabul qiluvchi yoki jo'natuvchining IP-versiyasi 6 manzili	ipv6.addr == 2001 :: 5
	Yuboruvchining IP versiyasi 6	ipv6.addr == 2001 :: 5
	Qabul qiluvchining IP-versiyasi 6 manzili	ipv6.dst == 2001 :: 5
	Qabul qiluvchi yoki jo'natuvchi TCP porti
	Belgilangan TCP porti	tcp.dstport == 80
	Yuboruvchi TCP porti	tcp.srcport == 60234
	UDP manzili yoki jo'natuvchi porti
	Belgilangan UDP porti	udp.dstport == 513
	Yuboruvchi UDP porti	udp.srcport == 40000
vtp.vlan_info.vlan_name		vtp.vlan_info.vlan_name == TEST
bgp.originator_id	BGP ID (IPv4 manzili)	bgp.originator_id == 192.168.10.15
	Next Hop BGP (IPv4 manzili)	bgp.next_hop == 192.168.10.15
	RIP IPv4 manzili	rip.ip == 200.0.2.0
	OSPF Router ID	ospf.advrouter == 192.168.170.8
	EIGRP avtonom tizim raqami
	HSRP virtual IP manzili	hsrp.virt_ip == 192.168.23.250
	VRRP protokolidan foydalangan holda virtual IP-manzil	vrrp.ip_addr == 192.168.23.250
	Wi-Fi jo'natuvchi yoki qabul qiluvchining MAC manzili	wlan.addr == 00: 1a: 6b: ce: fc: bb
	Wi-Fi jo'natuvchining MAC manzili	wlan.sa == 00: 1a: 6b: ce: fc: bb
	Wi-Fi manzili MAC manzili	wlan.da == 00: 1a: 6b: ce: fc: bb

Ishingizda qaysi filtrlardan tez-tez foydalanasiz?

Muayyan muammoni hal qilishda, ba'zida siz chiqib ketadigan va kompyuteringizga kiradigan protokol trafigini tahlil qilishingiz kerak bo'lishi mumkin. Wireshark bu maqsadda ishlatiladigan eng yaxshi vositalardan biridir. Ushbu maqolada biz Wireshark tarmoq protokoli analizatori displey filtridan qanday foydalanishni o'rganamiz.

1. Wireshark-ni yuklab oling va o'rnating

Bajariladigan faylni yuklab olgandan so'ng, Wireshark-ni o'rnatish uchun ustiga bosing.

2. Interfeysni tanlang va suratga olishni boshlang

Wireshark-ni ochganingizdan so'ng, avval siz mashinangizning ma'lum bir tarmoq interfeysini tanlashingiz kerak. Ko'pgina hollarda, mashina faqat bitta tarmoq interfeysiga ulangan, lekin bir nechta bo'lsa, trafikni kuzatmoqchi bo'lgan interfeysni tanlang.

Menyuda quyidagi ekranni ko'rsatadigan "Capture -> Interfeys" ni bosing:

3. Manba IP filtri

Wireshark-da paket ko'rinishini faqat filtrda aytib o'tilganidek manba IP-ga ega bo'lgan paketlar bilan cheklash uchun manba filtri qo'llanilishi mumkin. Quyidagi misolda qo'llaniladigan filtr:

Ip.src == 192.168.1.1

4. Belgilangan IP filtri

Wireshark-da paket ko'rinishini faqat filtrda aytib o'tilganidek, IP manziliga ega bo'lgan paketlar bilan cheklash uchun maqsad filtri qo'llanilishi mumkin. Masalan:

Ip.dst == 192.168.1.1

5. Protokol bo'yicha filtrlash

Muayyan protokol uchun filtrni qo'llash juda oson. Filtr yorlig'iga ushbu protokol nomini yozing va Enter tugmasini bosing. Quyidagi misolda biz ushbu filtr yordamida http protokoli natijalarini filtrlashga harakat qildik:

6. Filtrda OR shartidan foydalanish

Ushbu filtr bir yoki boshqa shartlarga mos keladigan paketlarni filtrlashga yordam beradi.

Aytaylik, "http" yoki "arp" protokoliga ega bo'lgan paketlarni ko'rish talabi paydo bo'lishi mumkin. Bunday holda, alohida filtrlarni qo'llash mumkin emas. Shunday qilib, har qanday yoki ikkala shartga mos keladigan paketlarni ko'rsatish uchun ikkita shartni OR qiladigan '||' filtr ifodasi mavjud. Quyidagi misolda biz http yoki arp paketlarini ushbu filtr yordamida filtrlashga harakat qildik:

Http || arp

7. Filtrda VA shartini qo'llash

Ushbu filtr bir nechta shartlarga to'liq mos keladigan paketlarni filtrlashga yordam beradi.

Aytaylik, faqat HTTP paketlari bo'lgan va IP manbasi "192.168.1.4" bo'lgan paketlarni filtrlash talabi bor. Ushbu filtrdan foydalaning:

Http && ip.src == 192.168.1.4

8. Port raqami bo'yicha filtrlash

Buni "tcp.port eq" filtri yordamida amalga oshirish mumkin. Masalan:

Tcp.port eq 80

9. Muayyan ketma-ketlikni o'z ichiga olgan paketlarni moslang

Bunda ishlatiladigan filtr sintaksisi: "o'z ichiga oladi".

TCP 01:01:04 ni o'z ichiga oladi

10. Paketlarni manba yoki manzilga qarab rad qilish

Bu yerda filtrlash ‘ip.src! =’ Yoki ‘ip.dst! =’.

Ip.dst! = 192.168.1.1

Agar sizga ushbu maqola yoqqan bo'lsa, sizga ham yoqishi mumkin ..

Wireshark - bu kompyuteringizning tarmoq interfeysi orqali o'tadigan trafikni tahlil qilish uchun ishlatilishi mumkin bo'lgan kuchli tarmoq analizatori. Tarmoq muammolarini aniqlash va hal qilish, veb-ilovalar, tarmoq dasturlari yoki saytlarni disk raskadrovka qilish uchun sizga kerak bo'lishi mumkin. Wireshark sizga paketning mazmunini barcha darajadagi to'liq ko'rish imkonini beradi, shuning uchun siz tarmoqning past darajada qanday ishlashini yaxshiroq tushunishingiz mumkin.

Barcha paketlar real vaqt rejimida olinadi va o'qish oson formatda taqdim etiladi. Dastur juda kuchli filtrlash tizimini, ranglarni ajratib ko'rsatishni va kerakli paketlarni topishga yordam beradigan boshqa xususiyatlarni qo'llab-quvvatlaydi. Ushbu qo'llanmada biz trafikni tahlil qilish uchun Wiresharkdan qanday foydalanishni ko'rib chiqamiz. Yaqinda ishlab chiquvchilar Wireshark 2.0 dasturining ikkinchi tarmog'ida ishlashga o'tdilar, unga ko'plab o'zgarishlar va yaxshilanishlar kiritildi, ayniqsa interfeys uchun. Bu biz ushbu maqolada foydalanadigan narsadir.

Simli yoki boshqa turdagi tarmoq interfeyslaridan real vaqtda paketlarni yozib olish, shuningdek fayldan o'qish;
Quyidagi suratga olish interfeyslari qo'llab-quvvatlanadi: Ethernet, IEEE 802.11, PPP va mahalliy virtual interfeyslar;
Paketlarni filtrlar yordamida ko'plab parametrlar bo'yicha saralash mumkin;
Barcha ma'lum protokollar ro'yxatda turli ranglarda ta'kidlangan, masalan, TCP, HTTP, FTP, DNS, ICMP va boshqalar;
VoIP qo'ng'iroqlari trafigini yozib olishni qo'llab-quvvatlash;
Sertifikat bilan HTTPS trafigining shifrini ochishni qo'llab-quvvatlaydi;
Kalit va qo'l siqish mavjud bo'lganda simsiz tarmoqlarning WEP-, WPA-trafiklarini dekodlash;
Tarmoq yuki statistikasini ko'rsatish;
Barcha tarmoq qatlamlari uchun paketlar tarkibini ko'rish;
Paketlarni jo'natish va qabul qilish vaqtini ko'rsatadi.

Dasturda ko'plab boshqa xususiyatlar mavjud, ammo bular sizni qiziqtirishi mumkin bo'lgan asosiy narsalar edi.

Wireshark-dan qanday foydalanish kerak

Sizda dastur allaqachon o'rnatilgan deb o'ylayman, lekin agar bo'lmasa, uni rasmiy omborlardan o'rnatishingiz mumkin. Buning uchun Ubuntu-da buyruqni kiriting:

sudo apt Wiresharkni o'rnating

O'rnatishdan so'ng dasturni tarqatishning asosiy menyusida topishingiz mumkin. Wireshark-ni superuser huquqlari bilan ishga tushirishingiz kerak, chunki aks holda u tarmoq paketlarini tahlil qila olmaydi. Buni asosiy menyudan yoki terminal orqali KDE buyrug'i yordamida amalga oshirish mumkin:

Va Gnome/Unity uchun:

Dasturning asosiy oynasi uch qismga bo'lingan: birinchi ustunda tahlil qilish uchun mavjud bo'lgan tarmoq interfeyslari ro'yxati, ikkinchisida - fayllarni ochish variantlari va uchinchisi - yordam.

Tarmoq trafigini tahlil qilish

Tahlilni boshlash uchun tarmoq interfeysini tanlang, masalan, eth0 va tugmani bosing Boshlash.

Shundan so'ng, interfeys orqali o'tadigan paketlar oqimi bilan keyingi oyna ochiladi. Ushbu oyna ham bir necha qismlarga bo'lingan:

Yuqori qism- bu turli tugmachalar bilan menyu va panellar;
Paket ro'yxati- keyin siz tahlil qiladigan tarmoq paketlari oqimi ko'rsatiladi;
Paket tarkibi- tanlangan paketning mazmuni ostida joylashgan bo'lib, u transport qatlamiga qarab toifalarga bo'linadi;
Haqiqiy vakillik- eng pastki qismida paketning mazmuni real shaklda, shuningdek, HEX shaklida ko'rsatiladi.

Uning mazmunini tahlil qilish uchun istalgan paketni bosishingiz mumkin:

Bu erda biz saytning IP-manzilini olish uchun DNS-ga so'rov paketini ko'ramiz, domen so'rovning o'zida yuboriladi va javob paketida biz savolimizni, shuningdek javobni olamiz.

Ko'rishni yanada qulayroq qilish uchun siz kirishni ikki marta bosish orqali paketni yangi oynada ochishingiz mumkin:

Wireshark filtrlari

Sizga kerak bo'lganlarni topish uchun paketlarni qo'lda ko'rib chiqish juda noqulay, ayniqsa faol oqim bilan. Shuning uchun bunday vazifa uchun filtrlardan foydalanish yaxshiroqdir. Filtrlarni kiritish uchun menyu ostida maxsus chiziq mavjud. Siz bosishingiz mumkin Ifoda filtr konstruktorini ochish uchun, lekin ularning ko'pi bor, shuning uchun biz eng asosiylarini ko'rib chiqamiz:

ip.dst- maqsadli IP-manzil;
ip.src- jo'natuvchining IP manzili;
ip.addr- jo'natuvchi yoki oluvchining IP-manzili;
ip.proto- protokol;
tcp.dstport- belgilangan port;
tcp.srcport- jo'natuvchining porti;
ip.ttl- ttl bo'yicha filtrlash, tarmoq masofasini aniqlaydi;
http.request_uri- so'ralgan veb-sayt manzili.

Filtrdagi maydon va qiymat o'rtasidagi munosabatni belgilash uchun quyidagi operatorlardan foydalanishingiz mumkin:

== - teng;
!= - teng emas;
< - kichikroq;
> - Ko'proq;
<= - dan kam yoki teng;
>= - ko'proq yoki teng;
mos keladi- muntazam ifoda;
o'z ichiga oladi- o'z ichiga oladi.

Bir nechta ifodalarni birlashtirish uchun siz quyidagilarni ishlatishingiz mumkin:

&& - paket uchun ikkala ifoda ham to'g'ri bo'lishi kerak;
|| - ifodalardan biri to'g'ri bo'lishi mumkin.

Keling, misollar bilan bir nechta filtrlarni batafsil ko'rib chiqamiz va munosabatlarning barcha belgilarini tushunishga harakat qilamiz.

Birinchidan, 194.67.215 raqamiga yuborilgan barcha paketlarni filtrlaymiz.. Filtr maydoniga qatorni kiriting va tugmasini bosing. Murojaat qiling... Qulaylik uchun Wireshark filtrlarini tugma yordamida saqlash mumkin Saqlash:

ip.dst == 194.67.215.125

Va nafaqat yuborilgan paketlarni, balki ushbu tugundan javob sifatida olingan paketlarni olish uchun siz ikkita shartni birlashtira olasiz:

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

O'tkazilgan katta fayllarni ham tanlashimiz mumkin:

http.content_length> 5000

Kontent turini filtrlash orqali biz yuklangan barcha rasmlarni tanlashimiz mumkin; Paketlarida tasvir so'zi bo'lgan Wireshark trafigini tahlil qilaylik:

http.content_type tarkibida rasm mavjud

Filtrni tozalash uchun tugmani bosishingiz mumkin Toza... Shunday bo'ladiki, siz har doim ham filtrlash uchun zarur bo'lgan barcha ma'lumotlarni bilmaysiz, faqat tarmoqni o'rganishni xohlaysiz. Siz paketning istalgan maydonini ustun sifatida qo'shishingiz va uning mazmunini har bir paket uchun umumiy oynada ko'rishingiz mumkin.

Xuddi shu tarzda, istalgan maydon asosida filtr yaratishingiz mumkin. Uni tanlang va kontekst menyusini oching, so'ng tugmasini bosing Filtr sifatida qo'llang yoki Filtr sifatida tayyorlang keyin tanlang Tanlangan, faqat tanlangan qiymatlarni ko'rsatish uchun yoki Tanlanmagan ularni olib tashlash uchun:

Belgilangan maydon va uning qiymati qo'llaniladi yoki ikkinchi holatda filtr maydoniga almashtiriladi:

Keyin oyna ochiladi, unda siz server va mijoz o'rtasida uzatilgan barcha ma'lumotlarni topasiz:

Wireshark muammolarini diagnostika qilish

Tarmoq muammolarini aniqlash uchun Wireshark 2.0 dan qanday foydalanishni qiziqtirgan bo'lishingiz mumkin. Buning uchun oynaning pastki chap burchagida dumaloq tugma mavjud bo'lib, uni bosganingizda oyna ochiladi. Ekspert asboblari... Unda Wireshark barcha xato xabarlari va tarmoq muammolarini to'playdi:

Wireshark trafik tahlili

Agar ulanish shifrlanmagan bo'lsa, foydalanuvchilar aniq nimani yuklab olganini va ular qanday fayllarni ko'rganligini osongina tushunishingiz mumkin. Dastur tarkibni ajratib olishda juda yaxshi ish qiladi.

Buni amalga oshirish uchun, avvalo, paneldagi qizil kvadrat yordamida trafikni suratga olishni to'xtatishingiz kerak. Keyin menyuni oching Fayl -> Ob'ektlarni eksport qilish -> HTTP: