Główna » jak » Jak korzystać z Wireshark do przechwytywania, filtrowania i sprawdzania pakietów

    Jak korzystać z Wireshark do przechwytywania, filtrowania i sprawdzania pakietów

    Wireshark, narzędzie analizy sieci znane wcześniej jako Ethereal, przechwytuje pakiety w czasie rzeczywistym i wyświetla je w formacie czytelnym dla człowieka. Wireshark zawiera filtry, kodowanie kolorami i inne funkcje, które umożliwiają głębsze zagłębianie się w ruch sieciowy i sprawdzanie poszczególnych pakietów.

    W tym samouczku znajdziesz informacje o podstawach przechwytywania pakietów, filtrowaniu ich i inspekcji. Możesz użyć Wiresharka do inspekcji ruchu sieciowego podejrzanego programu, analizy przepływu ruchu w sieci lub rozwiązywania problemów z siecią.

    Pierwsze Wireshark

    Możesz pobrać Wireshark dla Windows lub macOS z jego oficjalnej strony internetowej. Jeśli używasz Linuksa lub innego systemu podobnego do systemu UNIX, prawdopodobnie znajdziesz Wireshark w repozytoriach pakietów. Na przykład, jeśli korzystasz z Ubuntu, znajdziesz Wireshark w Centrum Oprogramowania Ubuntu.

    Tylko szybkie ostrzeżenie: wiele organizacji nie zezwala na Wireshark i podobne narzędzia w swoich sieciach. Nie używaj tego narzędzia w pracy, chyba że masz pozwolenie.

    Przechwytywanie pakietów

    Po pobraniu i zainstalowaniu Wiresharka można go uruchomić i dwukrotnie kliknąć nazwę interfejsu sieciowego w obszarze Przechwytywanie, aby rozpocząć przechwytywanie pakietów w tym interfejsie. Na przykład, jeśli chcesz przechwycić ruch w sieci bezprzewodowej, kliknij swój interfejs bezprzewodowy. Możesz skonfigurować zaawansowane funkcje klikając Capture> Options, ale na razie nie jest to konieczne.

    Po kliknięciu nazwy interfejsu zobaczysz, że pakiety zaczynają się pojawiać w czasie rzeczywistym. Wireshark przechwytuje każdy pakiet wysłany do lub z twojego systemu.

    Jeśli masz włączony tryb promiscuous - jest on włączony domyślnie - zobaczysz także wszystkie inne pakiety w sieci, a nie tylko pakiety adresowane do karty sieciowej. Aby sprawdzić, czy włączony jest tryb promiscuous, kliknij Capture> Options i sprawdź "Enable promiscuous mode na wszystkich interfejsach" pole wyboru jest aktywne u dołu tego okna.

    Kliknij czerwony przycisk "Zatrzymaj" w lewym górnym rogu okna, aby zatrzymać przechwytywanie ruchu.

    Kodowanie kolorów

    Prawdopodobnie zobaczysz pakiety wyróżnione w różnych kolorach. Wireshark wykorzystuje kolory, aby łatwiej zidentyfikować rodzaje ruchu na pierwszy rzut oka. Domyślnie jasnopurpurowy to ruch TCP, jasnoniebieski to ruch UDP, a czarny identyfikuje pakiety z błędami - na przykład, mogły zostać dostarczone poza kolejnością.

    Aby zobaczyć dokładnie, co oznaczają kody kolorów, kliknij Widok> Zasady kolorowania. Możesz także dostosować i zmodyfikować reguły kolorowania stąd, jeśli chcesz.

    Przykładowe przechwytywanie

    Jeśli nie ma nic ciekawego do sprawdzenia we własnej sieci, wiki wiki Wireshark cię obejmuje. Wiki zawiera stronę z przykładowymi plikami przechwytywania, które można załadować i sprawdzić. Kliknij Plik> Otwórz w Wireshark i wyszukaj pobrany plik, aby go otworzyć.

    Możesz również zapisywać własne przechwytywania w Wireshark i otwierać je później. Kliknij Plik> Zapisz, aby zapisać przechwycone pakiety.

    Filtrowanie pakietów

    Jeśli próbujesz sprawdzić coś konkretnego, takie jak ruch, który program wysyła po telefonowaniu do domu, pomaga zamknąć wszystkie inne aplikacje korzystające z sieci, dzięki czemu możesz zawęzić ruch. Mimo to prawdopodobnie będziesz mieć dużą liczbę pakietów do przeskanowania. Tutaj pojawiają się filtry Wiresharka.

    Najprostszym sposobem zastosowania filtra jest wpisanie go w polu filtru u góry okna i kliknięcie przycisku Zastosuj (lub naciśnięcie klawisza Enter). Na przykład wpisz "dns", a zobaczysz tylko pakiety DNS. Gdy zaczniesz pisać, Wireshark pomoże Ci automatycznie uzupełnić filtr.

    Możesz także kliknąć Analiza> Filtry wyświetlania, aby wybrać filtr spośród domyślnych filtrów zawartych w Wireshark. Tutaj możesz dodawać własne filtry niestandardowe i zapisywać je, aby łatwo uzyskać do nich dostęp w przyszłości.

    Aby uzyskać więcej informacji na temat języka wyświetlania filtru Wireshark, przeczytaj stronę wyrażeń wyświetlania Budowanie ekranu w oficjalnej dokumentacji Wireshark.

    Kolejną interesującą rzeczą, którą możesz zrobić, to kliknąć prawym przyciskiem myszy pakiet i wybrać Follow> TCP Stream.

    Zobaczysz pełną konwersację TCP między klientem a serwerem. Możesz także kliknąć inne protokoły w menu Follow, aby zobaczyć pełne rozmowy dla innych protokołów, jeśli dotyczy.

    Zamknij okno, a zobaczysz, że filtr został zastosowany automatycznie. Wireshark pokazuje pakiety, które składają się na rozmowę.

    Sprawdzanie pakietów

    Kliknij pakiet, aby go wybrać, a możesz go odszukać, aby wyświetlić jego szczegóły.

    Możesz również tworzyć filtry tutaj - po prostu kliknij prawym przyciskiem myszy jeden ze szczegółów i użyj podmenu Zastosuj jako filtr, aby utworzyćfiltr na nim.


    Wireshark to niezwykle potężne narzędzie, a ten samouczek po prostu zarysowuje, co można z nim zrobić. Specjaliści używają go do debugowania implementacji protokołu sieciowego, sprawdzania problemów bezpieczeństwa i sprawdzania wewnętrznych protokołów sieciowych.

    Więcej szczegółowych informacji można znaleźć w oficjalnym Przewodniku użytkownika Wireshark i innych stronach dokumentacji na stronie internetowej Wireshark.