Поиск по сайту:

10 советов о том, как использовать Wireshark для анализа сетевых пакетов


В любой сети с коммутацией пакетов пакеты представляют собой единицы данных, которые передаются между компьютерами. Как сетевые инженеры, так и системные администраторы обязаны отслеживать и проверять пакеты в целях безопасности и устранения неполадок.

Для этого они используют программное обеспечение, называемое анализаторами сетевых пакетов, причем Wireshark, возможно, является самым популярным и используемым из-за его универсальности и простоты использования. Кроме того, Wireshark позволяет не только отслеживать трафик в режиме реального времени, но и сохранять его в файл для последующей проверки.

Читайте по теме: лучшие инструменты мониторинга пропускной способности Linux для анализа использования сети

В этой статье мы поделимся 10 советами о том, как использовать Wireshark для анализа пакетов в вашей сети, и надеемся, что когда вы дойдете до раздела «Сводка», вы захотите добавить его в свои закладки.

Установка Wireshark в Linux

Чтобы установить Wireshark, выберите подходящий для вашей операционной системы/архитектуры установщик на странице https://www.wireshark.org/download.html.

В частности, если вы используете Linux, Wireshark должен быть доступен непосредственно из репозиториев вашего дистрибутива, чтобы его можно было легко установить в удобное для вас время. Хотя версии могут различаться, параметры и меню должны быть схожими, а то и идентичными в каждой из них.

------------ On Debian/Ubuntu based Distros ------------ 
sudo apt-get install wireshark

------------ On CentOS/RHEL based Distros ------------
sudo yum install wireshark

------------ On Fedora 22+ Releases ------------
sudo dnf install wireshark

В Debian и его производных существует известная ошибка, которая может помешать вывести список сетевых интерфейсов, если вы не используете sudo для запуска Wireshark. Чтобы исправить это, следуйте принятому ответу в этом сообщении.

После запуска Wireshark вы можете выбрать сетевой интерфейс, который хотите отслеживать, в разделе Захват:

В этой статье мы будем использовать eth0, но при желании вы можете выбрать другой. Пока не нажимайте на интерфейс — мы сделаем это позже, когда рассмотрим несколько вариантов захвата.

Настройка параметров захвата

Наиболее полезные варианты захвата, которые мы рассмотрим:

  1. Сетевой интерфейс. Как мы объясняли ранее, мы будем анализировать только входящие или исходящие пакеты, проходящие через eth0.
  2. Фильтр захвата. Этот параметр позволяет нам указать, какой тип трафика мы хотим отслеживать по порту, протоколу или типу.

Прежде чем мы перейдем к советам, важно отметить, что некоторые организации запрещают использование Wireshark в своих сетях. Тем не менее, если вы не используете Wireshark в личных целях, убедитесь, что ваша организация разрешает его использование.

А пока просто выберите eth0 из раскрывающегося списка и нажмите кнопку Start. Вы начнете видеть весь трафик, проходящий через этот интерфейс. Не очень полезно для целей мониторинга из-за большого количества проверяемых пакетов, но это только начало.

На изображении выше мы также можем видеть значки для отображения доступных интерфейсов, для остановки текущего захвата и перезапуска его (красный поле слева), а также для настройки и редактирования фильтра (красное поле справа). При наведении курсора на один из этих значков отображается всплывающая подсказка, указывающая, что он делает.

Мы начнем с иллюстрации вариантов захвата, а в советах с #7 по #10 будет обсуждаться, как на самом деле сделать что-то полезное с помощью захвата.

СОВЕТ № 1. Проверьте HTTP-трафик

Введите http в поле фильтра и нажмите Применить. Запустите браузер и перейдите на любой сайт:

Чтобы начать каждый последующий совет, остановите захват в реальном времени и отредактируйте фильтр захвата.

СОВЕТ № 2. Проверка HTTP-трафика с заданного IP-адреса

В этом конкретном совете мы добавим ip==192.168.0.10&& к разделу фильтра, чтобы отслеживать HTTP-трафик между локальным компьютером и 192.168.0.10:

СОВЕТ № 3. Проверьте HTTP-трафик на заданный IP-адрес.

Тесно связан с #2. В этом случае мы будем использовать ip.dst как часть фильтра захвата следующим образом:

ip.dst==192.168.0.10&&http

Чтобы объединить советы #2 и #3, вы можете использовать ip.addr в правиле фильтра вместо ip.src или ip.dst.

СОВЕТ № 4. Мониторинг сетевого трафика Apache и MySQL

Иногда вам будет интересно проверить трафик, который соответствует одному (или обоим) условиям. Например, для мониторинга трафика на TCP-портах 80 (веб-сервер) и 3306 (сервер базы данных MySQL/MariaDB) вы можете использовать условие OR. в фильтре захвата:

tcp.port==80||tcp.port==3306

В подсказках #2 и #3 || и слово or дают одинаковые результаты. То же самое с && и словом and.

СОВЕТ № 5 – Отклонять пакеты на заданный IP-адрес

Чтобы исключить пакеты, не соответствующие правилу фильтрации, используйте ! и заключите правило в круглые скобки. Например, чтобы исключить пакеты, исходящие с определенного IP-адреса или направляемые на него, вы можете использовать:

!(ip.addr == 192.168.0.10)

СОВЕТ № 6. Контролируйте трафик локальной сети (192.168.0.0/24)

Следующее правило фильтрации будет отображать только локальный трафик и исключать пакеты, входящие и исходящие из Интернета:

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24

СОВЕТ № 7. Контролируйте содержимое TCP-разговора

Чтобы просмотреть содержимое диалога TCP (обмена данными), щелкните правой кнопкой мыши по заданному пакету и выберите «Следовать за потоком TCP». Появится окно с содержанием разговора.

Сюда будут включены заголовки HTTP, если мы проверяем веб-трафик, а также любые учетные данные в виде обычного текста, передаваемые во время процесса, если таковые имеются.

СОВЕТ № 8 – Редактируйте правила раскраски

Я уверен, что вы уже заметили, что каждая строка в окне захвата окрашена в цвет. По умолчанию HTTP-трафик отображается на зеленом фоне с черным текстом, тогда как ошибки контрольной суммы отображаются красным текстом. с черным фоном.

Если вы хотите изменить эти настройки, щелкните значок Изменить правила окраски, выберите соответствующий фильтр и нажмите Изменить.

СОВЕТ №9 – Сохраните снимок в файл

Сохранение содержимого захвата позволит нам изучить его более детально. Для этого перейдите в Файл → Экспорт и выберите формат экспорта из списка:

СОВЕТ № 10. Практикуйтесь с образцами захвата

Если вы считаете, что ваша сеть «скучная», Wireshark предоставляет серию примеров файлов захвата, которые вы можете использовать для практики и обучения. Вы можете скачать эти SampleCaptures и импортировать их через меню Файл → Импорт.

Краткое содержание

Wireshark — бесплатное программное обеспечение с открытым исходным кодом, о чем можно узнать в разделе часто задаваемых вопросов на официальном сайте. Вы можете настроить фильтр захвата до или после начала проверки.

Если вы не заметили, фильтр имеет функцию автозаполнения, которая позволяет вам легко искать наиболее часто используемые параметры, которые вы можете настроить позже. При этом нет предела!

Как всегда, не стесняйтесь написать нам, используя форму комментариев ниже, если у вас есть какие-либо вопросы или замечания по поводу этой статьи.