Как использовать Wireshark для захвата и анализа сетевых пакетов
На этой странице
- Что мы рассмотрим?
- Захват пакетов с помощью Wireshark
- Цветовое кодирование Wireshark
- Фильтрация пакетов с помощью Wireshark
- Проверка пакетов с помощью Wireshark
- Тест-драйв Wireshark
- Заключение
Wireshark (ранее Ethereal) — это FOSS (бесплатное программное обеспечение с открытым исходным кодом) для анализатора сетевых протоколов. Его можно использовать для устранения неполадок в сети, анализа протоколов связи, таких как TCP, DNS, HTTP и т. д. Есть множество функций, которые отличают Wireshark от многих его аналогов:
- Захват пакетов в режиме реального времени и автономный анализ.
- Сведения о пакете в удобочитаемом формате.
- Правила раскраски пакетов.
Что мы будем освещать?
В этом руководстве мы узнаем «Как использовать Wireshark для захвата и анализа пакетов». Мы используем Kali Linux в качестве базовой операционной системы для этого руководства. Давайте начнем сейчас.
Захват пакетов с помощью Wireshark
После запуска Wireshark вы увидите список устройств, с которых нужно перехватывать пакеты.
Цветовое кодирование Wireshark
Wireshark использует разные цветовые схемы для обозначения разных типов трафика. Например, голубой цвет используется для UDP, фиолетовый для TCP и черный для пакетов с ошибками. Чтобы увидеть значение и изменить эти цвета, перейдите в раздел Вид > Правила раскраски.
Фильтрация пакетов с помощью Wireshark
Wireshark имеет функцию фильтрации, позволяющую отфильтровывать интересующий вас трафик. Самый простой способ использовать эту функцию — использовать панель поиска, расположенную в начале списка пакетов, или таблицу со сводкой трафика, как показано ниже. Например, если вы хотите отфильтровать TCP-трафик, введите TCP в строке поиска. Мы увидим этот процесс позже в этом уроке.
Wireshark также включает фильтры по умолчанию в разделе Анализ > Фильтры отображения. Вы можете выбрать один из них, а также сохранить здесь свои пользовательские фильтры на будущее.
Проверка пакетов с помощью Wireshark
В таблице со сводкой по трафику щелкните пакет, чтобы просмотреть различные сведения о нем. Вот еще один способ создать собственный фильтр. Когда вы щелкнете правой кнопкой мыши по любой детали, вы увидите опцию «Применить как фильтр» и ее подменю. Выберите любое подменю, чтобы создать этот фильтр:
Тест-драйв Wireshark
Давайте теперь возьмем практический пример для захвата и проверки трафика на сетевом интерфейсе с помощью Wireshark. В нашем случае мы установили Wireshark на Kali Linux и взаимодействуем с интерфейсом Ethernet «eth0». Теперь выполните следующие шаги:
1. После запуска Wireshark выберите интерфейс из списка устройств на стартовой странице. Нажмите на синий значок в верхней левой панели или дважды щелкните имя интерфейса, чтобы начать захват.
2. Теперь запустите веб-браузер и откройте веб-страницу, например linux-console.net. После загрузки страницы остановите захват, нажав красный значок рядом с кнопкой запуска.
3. В окне захвата теперь есть все пакеты, которые были переданы из вашей системы и в нее. Различные типы трафика отображаются разными цветовыми кодами, такими как синий, черный, светло-желтый и т. д.
4. Если вы ищете пакеты определенного протокола, такого как TCP, используйте панель фильтров для фильтрации этих соединений. В системе запущено много фоновых процессов, которые используют доступ к сети и, таким образом, обмениваются пакетами с внешней сетью. Мы можем фильтровать пакеты, предназначенные для нашей системы, с помощью функции фильтрации Wireshark. Например, для фильтрации пакетов TCP, предназначенных для нашей системы, используйте фильтр:
ip.dst == ‘your_system_ip’ && TCP
Заключение
Wireshark — очень важный инструмент для анализа того, что происходит в вашей сети. Он получил широкое признание среди различных ИТ-секторов, таких как государственные учреждения, коммерческие организации и образовательные учреждения. При устранении неполадок в сети проверка пакетов является очень важным шагом, и Wireshark играет здесь жизненно важную роль. Он стал отраслевым стандартом для анализа сетевого трафика.