Поиск по сайту:

Как использовать Wireshark для захвата и анализа сетевых пакетов

На этой странице

  1. Что мы рассмотрим?
  2. Захват пакетов с помощью Wireshark
  3. Цветовое кодирование Wireshark
  4. Фильтрация пакетов с помощью Wireshark
  5. Проверка пакетов с помощью Wireshark
  6. Тест-драйв Wireshark
  7. Заключение

Wireshark (ранее Ethereal) — это FOSS (бесплатное программное обеспечение с открытым исходным кодом) для анализатора сетевых протоколов. Его можно использовать для устранения неполадок в сети, анализа протоколов связи, таких как TCP, DNS, HTTP и т. д. Есть множество функций, которые отличают Wireshark от многих его аналогов:

  1. Захват пакетов в режиме реального времени и автономный анализ.
  2. Сведения о пакете в удобочитаемом формате.
  3. Правила раскраски пакетов.

Что мы будем освещать?

В этом руководстве мы узнаем «Как использовать Wireshark для захвата и анализа пакетов». Мы используем Kali Linux в качестве базовой операционной системы для этого руководства. Давайте начнем сейчас.

Захват пакетов с помощью Wireshark

После запуска Wireshark вы увидите список устройств, с которых нужно перехватывать пакеты.

Цветовое кодирование Wireshark

Wireshark использует разные цветовые схемы для обозначения разных типов трафика. Например, голубой цвет используется для UDP, фиолетовый для TCP и черный для пакетов с ошибками. Чтобы увидеть значение и изменить эти цвета, перейдите в раздел Вид > Правила раскраски.

Фильтрация пакетов с помощью Wireshark

Wireshark имеет функцию фильтрации, позволяющую отфильтровывать интересующий вас трафик. Самый простой способ использовать эту функцию — использовать панель поиска, расположенную в начале списка пакетов, или таблицу со сводкой трафика, как показано ниже. Например, если вы хотите отфильтровать TCP-трафик, введите TCP в строке поиска. Мы увидим этот процесс позже в этом уроке.

Wireshark также включает фильтры по умолчанию в разделе Анализ > Фильтры отображения. Вы можете выбрать один из них, а также сохранить здесь свои пользовательские фильтры на будущее.

Проверка пакетов с помощью Wireshark

В таблице со сводкой по трафику щелкните пакет, чтобы просмотреть различные сведения о нем. Вот еще один способ создать собственный фильтр. Когда вы щелкнете правой кнопкой мыши по любой детали, вы увидите опцию «Применить как фильтр» и ее подменю. Выберите любое подменю, чтобы создать этот фильтр:

Тест-драйв Wireshark

Давайте теперь возьмем практический пример для захвата и проверки трафика на сетевом интерфейсе с помощью Wireshark. В нашем случае мы установили Wireshark на Kali Linux и взаимодействуем с интерфейсом Ethernet «eth0». Теперь выполните следующие шаги:

1. После запуска Wireshark выберите интерфейс из списка устройств на стартовой странице. Нажмите на синий значок в верхней левой панели или дважды щелкните имя интерфейса, чтобы начать захват.

2. Теперь запустите веб-браузер и откройте веб-страницу, например linux-console.net. После загрузки страницы остановите захват, нажав красный значок рядом с кнопкой запуска.

3. В окне захвата теперь есть все пакеты, которые были переданы из вашей системы и в нее. Различные типы трафика отображаются разными цветовыми кодами, такими как синий, черный, светло-желтый и т. д.

4. Если вы ищете пакеты определенного протокола, такого как TCP, используйте панель фильтров для фильтрации этих соединений. В системе запущено много фоновых процессов, которые используют доступ к сети и, таким образом, обмениваются пакетами с внешней сетью. Мы можем фильтровать пакеты, предназначенные для нашей системы, с помощью функции фильтрации Wireshark. Например, для фильтрации пакетов TCP, предназначенных для нашей системы, используйте фильтр:

ip.dst == ‘your_system_ip’ && TCP

Заключение

Wireshark — очень важный инструмент для анализа того, что происходит в вашей сети. Он получил широкое признание среди различных ИТ-секторов, таких как государственные учреждения, коммерческие организации и образовательные учреждения. При устранении неполадок в сети проверка пакетов является очень важным шагом, и Wireshark играет здесь жизненно важную роль. Он стал отраслевым стандартом для анализа сетевого трафика.