Ang Wireshark ay isang libreng application na ginagamit mo upang makuha at tingnan ang data na naglalakbay pabalik-balik sa iyong network. Nagbibigay ito ng kakayahang mag-drill down at basahin ang mga nilalaman ng bawat packet at i-filter upang matugunan ang iyong mga partikular na pangangailangan. Ito ay karaniwang ginagamit upang i-troubleshoot ang mga problema sa network at upang bumuo at subukan ang software. Ang open-source protocol analyzer na ito ay malawak na tinatanggap bilang pamantayan ng industriya, na nanalo ng makatarungang bahagi ng mga parangal sa mga nakaraang taon.
Orihinal na kilala bilang Ethereal, Wireshark ay may user-friendly interface na maaaring magpakita ng data mula sa daan-daang iba't ibang mga protocol sa lahat ng mga pangunahing uri ng network. Maaaring matingnan ang mga packet ng data sa real time o sinusuri nang offline. Sinusuportahan ng Wireshark ang mga dose-dosenang mga file na makuha / bakas na sinusuportahang mga format kabilang ang CAP at ERF. Pinapayagan ka ng mga pinagsamang mga tool sa pag-decryption na tingnan ang naka-encrypt na mga packet para sa maraming popular na mga protocol kabilang ang WEP at WPA / WPA2.
01 ng 07Pag-download at Pag-install ng Wireshark
Maaaring ma-download ang Wireshark nang walang gastos mula sa website ng Wireshark Foundation para sa parehong macOS at Windows operating system. Maliban kung ikaw ay isang advanced user, inirerekomenda na i-download mo lamang ang pinakabagong matatag na release. Sa panahon ng proseso ng pag-setup ng Windows, dapat mong piliin na i-install ang WinPcap kung sinenyasan, dahil kinabibilangan ito ng isang library na kinakailangan para sa live na pagkuha ng data.
Available din ang application para sa Linux at karamihan sa iba pang mga platform tulad ng UNIX kabilang ang Red Hat, Solaris, at FreeBSD. Ang mga binary na kinakailangan para sa mga operating system na ito ay matatagpuan sa ilalim ng pahina ng pag-download sa seksyon ng Third-Party Packages. Maaari mo ring i-download ang source code ng Wireshark mula sa pahinang ito.
Paano Kumuha ng Mga Packet ng Data
Noong una mong ilunsad ang Wireshark, isang welcome screen ay lilitaw na naglalaman ng isang listahan ng magagamit na mga koneksyon sa network sa iyong kasalukuyang device. Sa halimbawang ito, mapapansin mo na ang mga sumusunod na uri ng koneksyon ay ipinapakita: Bluetooth Network Connection, Ethernet, VirtualBox Host-Only Network, at Wi-Fi. Ipinapakita sa kanan ng bawat isa ay isang linya ng estilo ng EKG na kumakatawan sa live na trapiko sa kani-kanilang network.
Upang simulan ang pagkuha ng mga packet, pumili ng isa o higit pa sa mga network sa pamamagitan ng pag-click sa iyong pinili at paggamit ng Shift o Ctrl key kung nais mong mag-record ng data mula sa maramihang mga network nang sabay-sabay. Pagkatapos ng isang uri ng koneksyon ay pinili para sa pagkuha ng mga layunin, ang background nito ay may kulay sa alinman sa asul o kulay-abo. Mag-click sa Kumuha sa pangunahing menu na matatagpuan patungo sa tuktok ng interface ng Wireshark. Kapag lumilitaw ang drop-down na menu, piliin ang Magsimula pagpipilian.
Maaari mo ring simulan ang packet capturing sa pamamagitan ng isa sa mga sumusunod na mga shortcut.
- Keyboard: Pindutin angCtrl + E.
- Mouse: Upang simulan ang pagkuha ng mga packet mula sa isang partikular na network, mag-double click sa pangalan nito.
- Toolbar: Mag-click sa pindutan ng asul na pating asul na matatagpuan sa malayong kaliwang bahagi ng toolbar ng Wireshark.
Nagsisimula ang live capture process, at ang Wireshark ay nagpapakita ng mga detalye ng packet habang ang mga ito ay naitala. Upang Itigil ang pagkuha:
- Keyboard: Pindutin ang Ctrl + E
- Toolbar: Mag-click sa pula Itigil pindutan na matatagpuan sa tabi ng pating palikpik sa Wireshark toolbar.
Pagtingin at Pagsusuri ng Mga Nilalaman ng Packet
Matapos mong i-record ang ilang data ng network, oras na upang tingnan ang mga nakunan packet. Ang nakuha na data interface ay naglalaman ng tatlong pangunahing seksyon: ang pane ng listahan ng packet, ang pane ng mga detalye ng packet, at ang pane ng byte ng packet.
Listahan ng Pakete
Ang pane ng listahan ng packet, na matatagpuan sa tuktok ng window, ay nagpapakita ng lahat ng mga packet na natagpuan sa aktibong file ng pagkuha. Ang bawat packet ay may sariling hanay at kaukulang bilang na itinalaga dito, kasama ang bawat isa sa mga puntong ito ng data.
- Oras: Ang timestamp ng kapag nakuha ang packet ay ipinapakita sa hanay na ito. Ang default na format ay ang bilang ng mga segundo o bahagyang segundo dahil ang partikular na file na ito ay unang nilikha. Upang baguhin ang format na ito sa isang bagay na maaaring mas kaunti kapaki-pakinabang, tulad ng aktwal na oras ng araw, piliin ang Format ng Oras ng Display opsyon mula sa Wireshark's Tingnan menu na matatagpuan sa tuktok ng pangunahing interface.
- Pinagmulan: Ang hanay na ito ay naglalaman ng address (IP o iba pang) kung saan nagmula ang packet.
- Destination: Ang hanay na ito ay naglalaman ng address na ipinadala sa packet.
- Protocol: Ang pangalan ng protocol ng packet, tulad ng TCP, ay matatagpuan sa hanay na ito.
- Haba: Ang haba ng packet, sa byte, ay ipinapakita sa hanay na ito.
- Impormasyon: Ang mga karagdagang detalye tungkol sa packet ay ipinakita dito. Ang mga nilalaman ng hanay na ito ay maaaring mag-iba nang malaki depende sa mga nilalaman ng packet.
Kapag ang isang packet ay pinili sa tuktok na pane, maaari mong mapansin ang isa o higit pang mga simbolo na lumilitaw sa unang hanay. Buksan o sarado ang mga braket at isang tuwid na pahalang na linya ay nagpapahiwatig kung ang isang packet o grupo ng mga packet ay bahagi ng parehong pag-uusap sa network. Ang isang sirang pahalang na linya ay nagpapahiwatig na ang isang packet ay hindi bahagi ng nasabing pag-uusap.
Mga Detalye ng Pakete
Ang pane ng detalye, na matatagpuan sa gitna, ay nagpapakita ng mga protocol at protocol field ng piniling packet sa isang collapsible na format. Bilang karagdagan sa pagpapalawak ng bawat seleksyon, maaari mong ilapat ang mga indibidwal na mga filter ng Wireshark batay sa mga tukoy na detalye at sundin ang mga stream ng data batay sa uri ng protocol sa pamamagitan ng menu ng konteksto ng detalye, na maa-access sa pamamagitan ng pag-right-click ng iyong mouse sa ninanais na item sa pane na ito.
Packet Bytes
Sa ibaba ay ang panali ng packet bytes, na nagpapakita ng raw data ng piniling packet sa isang hexadecimal view.Ang hex dump na ito ay naglalaman ng 16 hexadecimal bytes at 16 ASCII bytes sa tabi ng data offset.
Ang pagpili ng isang tukoy na bahagi ng data na ito ay awtomatikong nagha-highlight sa nararapat na seksyon sa pane ng mga detalye ng packet at vice versa. Ang anumang bytes na hindi maaaring ipalimbag ay sa halip ay kinakatawan ng isang panahon.
Maaari mong piliin na ipakita ang data na ito sa format na bit bilang kabaligtaran sa hexadecimal sa pamamagitan ng pag-right-click kahit saan sa loob ng pane at piliin ang naaangkop na opsyon mula sa menu ng konteksto.
04 ng 07Paggamit ng Mga Filter ng Wireshark
Ang isa sa pinakamahalagang tampok na nagtatakda sa Wireshark ay ang kakayahan sa pag-filter nito, lalo na kapag nakikipagtulungan ka sa mga file na makabuluhan sa laki. Maaaring i-set ang mga filter ng pagkuha bago ang katunayan, itinuturo ang Wireshark na i-record lamang ang mga packet na nakakatugon sa iyong tinukoy na pamantayan.
Ang mga filter ay maaari ring ilapat sa isang capture file na nalikha na upang ang ilang partikular na packet ay ipinapakita. Ang mga ito ay tinutukoy bilang mga display filter.
Ang Wireshark ay nagbibigay ng isang malaking bilang ng mga paunang natukoy na mga filter sa pamamagitan ng default, na nagpapahintulot sa iyo na paliitin ang bilang ng mga nakikitang packet na may ilang mga keystroke o mga pag-click ng mouse. Upang magamit ang isa sa mga kasalukuyang filter na ito, ilagay ang pangalan nito sa Mag-apply ng filter na display patlang ng entry na matatagpuan direkta sa ibaba ng Wireshark toolbar o sa Magpasok ng filter ng pagkuha entry field na matatagpuan sa gitna ng welcome screen.
Maraming mga paraan upang makamit ito. Kung alam mo na ang pangalan ng iyong filter, i-type ito sa naaangkop na field. Halimbawa, kung gusto mo lamang ipakita ang mga packet ng TCP, nagta-type ka tcp. Ipinapakita ng tampok na autocompleting ng Wireshark ang mga iminungkahing pangalan habang nagsisimula kang mag-type, na ginagawang mas madali upang mahanap ang tamang moniker para sa filter na hinahanap mo.
Ang isa pang paraan upang pumili ng isang filter ay mag-click sa icon na tulad ng bookmark na nakaposisyon sa kaliwang bahagi ng patlang ng entry. Nagtatanghal ito ng isang menu na naglalaman ng ilan sa mga filter na pinakakaraniwang ginagamit pati na rin ang isang opsyon sa Pamahalaan ang Mga Filter ng Capture o Pamahalaan ang Mga Filter ng Display. Kung pinili mong pamahalaan ang alinman sa uri, isang interface ay lilitaw na nagbibigay-daan sa iyo upang magdagdag, mag-alis, o mag-edit ng mga filter.
Maaari mo ring i-access ang mga naunang ginamit na mga filter sa pamamagitan ng pagpili ng pababang arrow sa kanang bahagi ng patlang ng entry upang magpakita ng drop-down na listahan ng kasaysayan.
Sa sandaling naka-set, ang mga filter ng pagkuha ay inilalapat sa lalong madaling simulan mo ang pagtatala ng trapiko sa network. Upang mag-aplay ng isang display filter, mag-click ka sa kanang pindutan ng arrow na makikita sa malayong kanang bahagi ng patlang ng entry.
05 ng 07Mga Panuntunan sa Kulay
Habang pinahihintulutan ka ng mga filter ng Capture at display ng Wireshark na limitahan kung aling mga packet ang naitala o ipinapakita sa screen, ang pag-andar ng pag-colorize nito ay tumatagal ng mga bagay nang higit pa sa pamamagitan ng paggawa ng madaling makilala sa pagitan ng iba't ibang mga uri ng packet batay sa kanilang indibidwal na kulay. Ang madaling-gamiting tampok na ito ay nagbibigay-daan sa mabilis mong mahanap ang ilang mga packet sa loob ng naka-save na hanay sa pamamagitan ng kanilang kulay ng hilera sa pane ng listahan ng packet.
Ang Wireshark ay may mga tungkol sa 20 default na mga panuntunan ng kulay na itinayo, na maaaring ma-edit, mapigilan, o matanggal kung nais mo. Maaari ka ring magdagdag ng bagong mga filter na batay sa lilim sa pamamagitan ng interface ng mga panuntunan ng kulay, naa-access mula sa Tingnan menu. Bilang karagdagan sa pagtukoy ng pamantayan ng pangalan at filter para sa bawat panuntunan, hinihiling ka rin na iugnay ang parehong kulay ng background at isang kulay ng teksto.
Ang colorization ng pakete ay maaaring i-toggle off at sa pamamagitan ng I-colorize ang Pakete ng Pakete opsyon, na matatagpuan din sa Tingnan menu.
06 ng 07Istatistika
Bilang karagdagan sa detalyadong impormasyon tungkol sa data ng iyong network na ipinapakita sa pangunahing window ng Wireshark, maraming iba pang magagamit na mga sukatan ay magagamit sa pamamagitan ng Istatistika drop-down na menu na natagpuan patungo sa tuktok ng screen. Kabilang dito ang laki at impormasyon ng oras tungkol sa pagkuha ng file mismo, kasama ang dose-dosenang mga chart at mga graph na sumasaklaw sa paksa mula sa mga breakdown ng packet na pag-uusap upang i-load ang pamamahagi ng mga kahilingan ng HTTP.
Maaaring mailapat ang mga filter ng display sa marami sa mga istatistika na ito sa pamamagitan ng kanilang mga interface, at ma-export ang mga resulta sa maraming karaniwang mga format ng file kabilang ang CSV, XML, at TXT.
07 ng 07Mga Advanced na Tampok
Bilang karagdagan sa pangunahing pag-andar ng Wireshark, mayroon ding isang koleksyon ng mga karagdagang tampok na magagamit sa makapangyarihang tool na karaniwang nakalaan para sa mga advanced na user. Kabilang dito ang kakayahang magsulat ng iyong sariling mga dissectors protocol sa Lua programming language.
