Ang Wireshark ay isang libreng application na nagbibigay-daan sa iyo upang makuha at tingnan ang data na naglalakbay pabalik-balik sa iyong network, na nagbibigay ng kakayahang mag-drill down at basahin ang mga nilalaman ng bawat packet na na-filter upang matugunan ang iyong partikular na mga pangangailangan. Karaniwang ginagamit ito upang ayusin ang mga problema sa network pati na rin upang bumuo at subukan ang software. Ang open-source protocol analyzer na ito ay malawak na tinatanggap bilang pamantayan ng industriya, na nanalo ng makatarungang bahagi ng mga parangal sa mga nakaraang taon.
Orihinal na kilala bilang Ethereal, ang Wireshark ay nagtatampok ng interface ng user-friendly na maaaring magpakita ng data mula sa daan-daang iba't ibang mga protocol sa lahat ng mga pangunahing uri ng network. Ang mga packet ng data na ito ay maaaring matingnan sa real-time o pinag-aralan ng offline, na may mga dose-dosenang mga format ng file ng capture / trace na suportado kabilang ang CAP at ERF . Pinapayagan ka ng mga pinagsamang mga tool sa pag-decryption na tingnan ang naka-encrypt na mga packet para sa ilang mga sikat na protocol tulad ng WEP at WPA / WPA2 .
01 ng 07
Pag-download at Pag-install ng Wireshark
Maaaring ma-download ang Wireshark nang walang gastos mula sa website ng Wireshark Foundation para sa parehong macOS at Windows operating system. Maliban kung ikaw ay isang advanced user, inirerekomenda na i-download mo lamang ang pinakabagong matatag na release. Sa panahon ng proseso ng pag-setup (Windows lamang) dapat mong piliin na i-install din WinPcap kung sinenyasan, dahil kinabibilangan ito ng isang library na kinakailangan para sa live na pagkuha ng data.
Available din ang application para sa Linux at karamihan sa iba pang mga platform tulad ng UNIX kabilang ang Red Hat , Solaris, at FreeBSD. Ang mga binary na kinakailangan para sa mga operating system na ito ay matatagpuan sa ilalim ng pahina ng pag-download sa seksyon ng Third-Party Packages.
Maaari mo ring i-download ang source code ng Wireshark mula sa pahinang ito.
02 ng 07
Paano Kumuha ng Mga Packet ng Data
Kapag una mong ilunsad ang Wireshark isang maligayang pagdating na screen na katulad ng ipinakita sa itaas ay dapat makita, na naglalaman ng isang listahan ng magagamit na mga koneksyon sa network sa iyong kasalukuyang aparato. Sa halimbawang ito, mapapansin mo na ang mga sumusunod na uri ng koneksyon ay ipinapakita: Bluetooth Network Connection , Ethernet , VirtualBox Host-Only Network , Wi-Fi . Ipinapakita sa kanan ng bawat isa ay isang linya ng estilo ng EKG na kumakatawan sa live na trapiko sa kani-kanilang network.
Upang simulan ang pagkuha ng mga packet, munang pumili ng isa o higit pa sa mga network na ito sa pamamagitan ng pag-click sa iyong (mga) pinili at gamitin ang Shift o Ctrl key kung nais mong mag-record ng data mula sa maraming network nang sabay-sabay. Kapag ang isang uri ng koneksyon ay pinili para sa pagkuha ng mga layunin, ang background nito ay may kulay sa alinman sa asul o kulay-abo. Mag-click sa Capture mula sa pangunahing menu, na matatagpuan patungo sa tuktok ng interface ng Wireshark. Kapag lumilitaw ang drop-down na menu, piliin ang pagpipiliang Start .
Maaari mo ring simulan ang packet capturing sa pamamagitan ng isa sa mga sumusunod na mga shortcut.
- Keyboard: Pindutin ang Ctrl + E
- Mouse: Upang simulan ang pagkuha ng mga packet mula sa isang partikular na network, i-double-click ang pangalan nito
- Toolbar: Mag-click sa button na asul na shark fin, na matatagpuan sa malayong kaliwang bahagi ng toolbar ng Wireshark
Magsisimula na ngayon ang live capture process, na may mga detalye ng packet na ipinapakita sa window ng Wireshark habang ang mga ito ay naitala. Gawin ang isa sa mga aksyon sa ibaba upang ihinto ang pagkuha.
- Keyboard: Pindutin ang Ctrl + E
- Toolbar: Mag-click sa pindutan ng red stop, na matatagpuan sa tabi ng pating palikpik sa Wireshark toolbar
03 ng 07
Pagtingin at Pagsusuri ng Mga Nilalaman ng Packet
Ngayon na naitala mo ang ilang data ng network na oras na para tingnan ang mga nakunan packet. Tulad ng ipinapakita sa screenshot sa itaas, ang nakuha na data interface ay naglalaman ng tatlong pangunahing mga seksyon: Ang pane ng listahan ng packet, ang pane ng mga detalye ng packet, at ang pane ng byte ng packet.
Listahan ng Pakete
Ang pane ng listahan ng packet, na matatagpuan sa tuktok ng window, ay nagpapakita ng lahat ng mga packet na natagpuan sa aktibong file ng pagkuha. Ang bawat packet ay may sariling hanay at kaukulang bilang na itinalaga dito, kasama ang bawat isa sa mga puntong ito ng data.
- Oras: Ang timestamp ng kapag nakunan ang packet ay ipinapakita sa hanay na ito, na ang default na format ay ang bilang ng mga segundo (o bahagyang segundo) dahil ang partikular na file na ito ay unang nilikha. Upang baguhin ang format na ito sa isang bagay na maaaring mas kaunting kapaki-pakinabang, tulad ng aktwal na oras ng araw, piliin ang opsyon na Oras Display Format mula sa menu ng View ng Wireshark - na matatagpuan sa tuktok ng pangunahing interface.
- Pinagmulan: Ang hanay na ito ay naglalaman ng address (IP o iba pang) kung saan nagmula ang packet.
- Destination: Ang haligi na ito ay naglalaman ng address na ipinadala sa packet.
- Protocol: Ang protocol name ng packet (ibig sabihin, TCP) ay matatagpuan sa hanay na ito.
- Haba: Ang haba ng packet, sa byte, ay ipinapakita sa hanay na ito.
- Impormasyon: Ang mga karagdagang detalye tungkol sa packet ay ipinakita dito. Ang mga nilalaman ng hanay na ito ay maaaring mag-iba nang malaki depende sa mga nilalaman ng packet.
Kapag ang isang packet ay pinili sa tuktok na pane, maaari mong mapansin ang isa o higit pang mga simbolo na lumilitaw sa unang hanay. Buksan at / o sarado na mga bracket, pati na rin ang isang tuwid na pahalang na linya, ay maaaring magpahiwatig kung ang isang packet o grupo ng mga packet ay bahagi ng parehong pag-uusap sa network. Ang isang sirang pahalang na linya ay nagpapahiwatig na ang isang packet ay hindi bahagi ng nasabing pag-uusap.
Mga Detalye ng Pakete
Ang pane ng detalye, na matatagpuan sa gitna, ay nagpapakita ng mga protocol at protocol field ng piniling packet sa isang collapsible na format. Bilang karagdagan sa pagpapalawak ng bawat seleksyon, maaari mo ring ilapat ang mga indibidwal na mga filter ng Wireshark batay sa mga tiyak na detalye pati na rin sundin ang mga stream ng data batay sa uri ng protocol sa pamamagitan ng menu ng konteksto ng detalye - naa-access sa pamamagitan ng pag-click ng iyong mouse sa ninanais na item sa loob ng pane na ito.
Packet Bytes
Sa ibaba ay ang panali ng packet bytes, na nagpapakita ng raw data ng piniling packet sa isang hexadecimal view. Ang hex dump na ito ay naglalaman ng 16 hexadecimal bytes at 16 ASCII bytes sa tabi ng data offset.
Ang pagpili ng isang tukoy na bahagi ng data na ito ay awtomatikong nagha-highlight sa nararapat na seksyon sa pane ng mga detalye ng packet at vice versa. Ang anumang bytes na hindi maaaring ipalimbag ay sa halip ay kinakatawan ng isang panahon.
Maaari mong piliin na ipakita ang data na ito sa format na bit bilang kabaligtaran sa hexadecimal sa pamamagitan ng pag-right-click kahit saan sa loob ng pane at piliin ang naaangkop na opsyon mula sa menu ng konteksto.
04 ng 07
Paggamit ng Mga Filter ng Wireshark
Ang isa sa mga pinakamahalagang tampok na nagtatakda sa Wireshark ay ang mga kakayahan sa pag-filter nito, lalo na kapag nakikipagtulungan ka sa mga file na makabuluhan sa laki. Maaaring i-set ang mga filter ng pagkuha bago ang katunayan, itinuturo ang Wireshark na i-record lamang ang mga packet na nakakatugon sa iyong tinukoy na pamantayan.
Ang mga filter ay maaari ring ilapat sa isang capture file na nalikha na upang ang ilang partikular na packet ay ipinapakita. Ang mga ito ay tinutukoy bilang mga display filter.
Ang Wireshark ay nagbibigay ng isang malaking bilang ng mga paunang natukoy na mga filter sa pamamagitan ng default, na nagpapahintulot sa iyo na paliitin ang bilang ng mga nakikitang packet na may ilang mga keystroke o mga pag-click ng mouse. Upang magamit ang isa sa mga umiiral na filter, ilagay ang pangalan nito sa Ilapat ang patlang ng entry ng filter na filter (matatagpuan nang direkta sa ibaba ng toolbar ng Wireshark) o sa Enter isang field ng entry ng filter ng capture (matatagpuan sa gitna ng welcome screen).
Maraming mga paraan upang makamit ito. Kung alam mo na ang pangalan ng iyong filter, i-type lamang ito sa naaangkop na field. Halimbawa, kung gusto mo lamang magpakita ng mga packet ng TCP gusto mong i-type ang tcp . Ang tampok na autocomplete ng Wireshark ay magpapakita ng mga iminumungkahing pangalan habang nagsisimula kang mag-type, na ginagawang mas madali upang mahanap ang tamang moniker para sa filter na iyong hinahanap.
Ang isa pang paraan upang pumili ng filter ay mag-click sa icon na tulad ng bookmark na nakaposisyon sa kaliwang bahagi ng field ng entry. Ipapakita nito ang isang menu na naglalaman ng ilan sa mga pinaka-karaniwang ginagamit na mga filter pati na rin ang isang pagpipilian upang Pamahalaan ang Mga Filter ng Capture o Pamahalaan ang Mga Filter ng Display . Kung pipiliin mong pamahalaan ang alinman sa uri ng isang interface ay lilitaw na nagpapahintulot sa iyo na magdagdag, mag-alis o mag-edit ng mga filter.
Maaari mo ring i-access ang mga filter na ginamit sa dati sa pamamagitan ng pagpili sa pababang arrow, na matatagpuan sa kanang bahagi ng field ng entry, na nagpapakita ng listahan ng drop-down na kasaysayan.
Sa sandaling naka-set, makukuha ang mga filter ng pagkuha sa lalong madaling simulan mo ang pagtatala ng trapiko sa network. Upang mag-aplay ng filter na display, gayunpaman, kakailanganin mong mag-click sa kanang pindutan ng arrow na makikita sa kanang bahagi ng patlang ng entry.
05 ng 07
Mga Panuntunan sa Pangkulay
Habang pinahihintulutan ka ng mga filter ng Capture at display ng Wireshark na limitahan kung aling mga packet ang naitala o ipinapakita sa screen, ang pag-andar ng pag-colorize nito ay tumatagal ng mga bagay nang higit pa sa pamamagitan ng paggawa ng madaling makilala sa pagitan ng iba't ibang mga uri ng packet batay sa kanilang indibidwal na kulay. Ang madaling-gamiting tampok na ito ay nagbibigay-daan sa mabilis mong mahanap ang ilang mga packet sa loob ng naka-save na hanay sa pamamagitan ng scheme ng kulay ng kanilang hanay sa pane ng listahan ng packet.
Ang wireshark ay may mga tungkol sa 20 default na mga panuntunan ng kulay na itinayo sa; bawat isa na maaaring i-edit, hindi pinagana o tinanggal kung nais mo. Maaari ka ring magdagdag ng mga bagong filter na batay sa lilim sa pamamagitan ng mga interface ng mga panuntunan ng kulay, hindi matatanggap mula sa menu ng View . Bilang karagdagan sa pagtukoy ng pamantayan ng pangalan at filter para sa bawat panuntunan, hinihiling ka rin na iugnay ang parehong kulay ng background at isang kulay ng teksto.
Ang colorization ng pakete ay maaaring i-toggle off at sa pamamagitan ng pagpipiliang Listahan ng Colorize Packet , na matatagpuan din sa loob ng View menu.
06 ng 07
Istatistika
Bilang karagdagan sa detalyadong impormasyon tungkol sa data ng iyong network na ipinapakita sa pangunahing window ng Wireshark, maraming iba pang mga kapaki-pakinabang na sukatan ay magagamit sa pamamagitan ng drop-down na menu ng Istatistika na natagpuan patungo sa tuktok ng screen. Kabilang dito ang laki at impormasyon ng oras tungkol sa pagkuha ng file mismo, kasama ang dose-dosenang mga chart at mga graph na sumasaklaw sa paksa mula sa mga breakdown ng packet na pag-uusap upang i-load ang pamamahagi ng mga kahilingan ng HTTP.
Maaaring mailapat ang mga filter ng display sa marami sa mga istatistika na ito sa pamamagitan ng kanilang mga indibidwal na interface, at maaaring i-export ang mga resulta sa maraming karaniwang mga format ng file kabilang ang CSV , XML , at TXT.
07 ng 07
Mga Advanced na Tampok
Bagaman sakop namin ang karamihan sa pangunahing pag-andar ng Wireshark sa artikulong ito, mayroon ding koleksyon ng mga karagdagang tampok na magagamit sa makapangyarihang tool na ito ay karaniwang nakalaan para sa mga advanced na gumagamit. Kabilang dito ang kakayahang magsulat ng iyong sariling mga dissectors protocol sa Lua programming language.
Para sa karagdagang impormasyon tungkol sa mga advanced na tampok na ito, sumangguni sa opisyal na gabay sa gumagamit ng Wireshark.