Cum să utilizați Wireshark: un tutorial complet

December 02, 2021
ÎnInternet, Rețele și Securitate Rețele De Acasă

Ce să știi

Wireshark este un sursa deschisa aplicație care captează și afișează date care circulă înainte și înapoi pe o rețea.
Pentru că poate detalia și poate citi conținutul fiecăruia pachet, este folosit pentru a depana problemele de rețea și a testa software-ul.

Instrucțiunile din acest articol se aplică Wireshark 3.0.3 pentru Windows și Mac.

Ce este Wireshark?

Cunoscut inițial ca Ethereal, Wireshark afișează date din sute de diferite protocoale pe toate tipurile majore de rețele. Pachetele de date pot fi vizualizate în timp real sau analizate offline. Wireshark acceptă zeci de formate de fișiere de captură/urmărire, inclusiv CAPAC și ERF. Instrumentele de decriptare integrate afișează pachetele criptate pentru mai multe protocoale comune, inclusiv WEP și WPA/WPA2.

Cum să descărcați și să instalați Wireshark

Wireshark poate fi descărcat gratuit de la Site-ul Fundației Wireshark atât pentru macOS, cât și pentru Windows. Veți vedea cea mai recentă versiune stabilă și versiunea de dezvoltare actuală. Dacă nu sunteți un utilizator avansat, descărcați versiunea stabilă.

Wireshark poate fi descărcat gratuit de pe site-ul Wireshark Foundation atât pentru sistemele de operare macOS, cât și pentru Windows.

În timpul procesului de configurare Windows, alegeți să instalați WinPcap sau Npcap dacă vi se solicită, deoarece acestea includ biblioteci necesare pentru captarea datelor în direct.

O captură de ecran a ecranului de instalare Wireshark cu opțiunea „Instalare Npcpap” evidențiată

Trebuie să fiți conectat la dispozitiv ca administrator pentru a utiliza Wireshark. În Windows 10, căutați Wireshark și selectați Rulat ca administrator. În macOS, faceți clic dreapta pe pictograma aplicației și selectați Obtine informatii. În Partajare și permisiuni setări, dați administratorului Citeste, scrie privilegii.

O captură de ecran a ecranului cu informații Wireshark în Windows 10 cu opțiunea „Rulează ca administrator” evidențiată

Aplicația este disponibilă și pentru Linux și alte platforme asemănătoare UNIX inclusiv Red Hat, Solaris și FreeBSD. Binarele necesare pentru aceste sisteme de operare pot fi găsite în partea de jos a fișierului Pagina de descărcare Wireshark sub Pachete terțe părți secțiune. De asemenea, puteți descărca codul sursă al Wireshark de pe această pagină.

Cum să capturați pachete de date cu Wireshark

Când lansați Wireshark, un ecran de bun venit listează conexiunile de rețea disponibile pe dispozitivul dvs. actual. În partea dreaptă a fiecăruia este afișat un grafic cu linii în stil EKG care reprezintă traficul în direct din acea rețea.

Pentru a începe capturarea pachetelor cu Wireshark:

Selectați una sau mai multe rețele, accesați bara de meniu, apoi selectați Captură.

Pentru a selecta mai multe rețele, țineți apăsat butonul Schimb tasta pe măsură ce faceți selecția.
În Interfețe Wireshark Capture fereastra, selectați start.

Există și alte moduri de a iniția capturarea pachetelor. Selectează aripi de rechin în partea stângă a barei de instrumente Wireshark, apăsațiCtrl+Esau faceți dublu clic pe rețea.
Selectați Fişier > Salvează ca sau alegeți un Export opțiunea de înregistrare a capturii.
Pentru a opri capturarea, apăsați Ctrl+E. Sau, accesați bara de instrumente Wireshark și selectați roșu Stop butonul care se află lângă înotătoarea de rechin.

Cum să vizualizați și să analizați conținutul pachetului

Interfața de date capturate conține trei secțiuni principale:

Panoul listei de pachete (secțiunea de sus)
Panoul cu detaliile pachetului (secțiunea din mijloc)
Panoul de octeți de pachete (secțiunea de jos)

Lista de pachete

Panoul cu listă de pachete, situat în partea de sus a ferestrei, arată toate pachetele găsite în fișierul de captură activ. Fiecare pachet are propriul rând și numărul corespunzător alocat, împreună cu fiecare dintre aceste puncte de date:

Nu: Acest câmp indică pachetele care fac parte din aceeași conversație. Rămâne necompletat până când selectați un pachet.
Timp: În această coloană este afișată marcajul de timp al când a fost capturat pachetul. Formatul implicit este numărul de secunde sau secunde parțiale de când acest fișier de captură specific a fost creat pentru prima dată.
Sursă: Această coloană conține adresa (IP sau alta) de unde provine pachetul.
Destinaţie: Această coloană conține adresa la care este trimis pachetul.
Protocol: Numele protocolului pachetului, cum ar fi TCP, poate fi găsit în această coloană.
Lungime: Lungimea pachetului, în octeți, este afișată în această coloană.
Info: Detalii suplimentare despre pachet sunt prezentate aici. Conținutul acestei coloane poate varia foarte mult în funcție de conținutul pachetului.

Pentru a schimba formatul orei în ceva mai util (cum ar fi ora reală a zilei), selectați Vedere > Format de afișare a timpului.

O captură de ecran a lui Wireshark cu comanda și opțiunile Time Display Format evidențiate

Când un pachet este selectat în panoul de sus, este posibil să observați că apar unul sau mai multe simboluri în Nu. coloană. Parantezele deschise sau închise și o linie orizontală dreaptă indică dacă un pachet sau un grup de pachete fac parte din aceeași conversație dus-întors în rețea. O linie orizontală întreruptă înseamnă că un pachet nu face parte din conversație.

O captură de ecran cu Wireshark cu panoul de pachete evidențiat

Detalii pachet

Panoul de detalii, aflat în mijloc, prezintă protocoalele și câmpurile de protocol ale pachetului selectat într-un format pliabil. Pe lângă extinderea fiecărei selecții, puteți aplica filtre Wireshark individuale pe baza unor detalii specifice și puteți urmări fluxuri de date în funcție de tipul de protocol făcând clic dreapta pe elementul dorit.

Pachetul de octeți

În partea de jos este panoul de octeți de pachete, care afișează datele brute ale pachetului selectat într-o vizualizare hexazecimală. Acest groapa hexagonală conține 16 octeți hexazecimali și 16 octeți ASCII alături de offset de date.

Selectarea unei anumite porțiuni din aceste date evidențiază automat secțiunea corespunzătoare în panoul cu detaliile pachetului și invers. Orice octeți care nu pot fi tipăriți sunt reprezentați de un punct.

O captură de ecran cu Wireshark cu panoul Packet Bytes evidențiat

Pentru a afișa aceste date în format de biți, spre deosebire de hexazecimal, faceți clic dreapta oriunde în panou și selectați ca niște biți.

O captură de ecran a ferestrei Packet Bytes a lui Wireshark, cu opțiunea „Ca biți” evidențiată

Cum să utilizați filtrele Wireshark

Filtrele de captură indică Wireshark să înregistreze numai pachetele care îndeplinesc criteriile specificate. Filtrele pot fi aplicate și unui fișier de captură care a fost creat astfel încât să fie afișate numai anumite pachete. Acestea sunt denumite filtre de afișare.

Wireshark oferă un număr mare de filtre predefinite în mod implicit. Pentru a utiliza unul dintre aceste filtre existente, introduceți numele acestuia în Aplicați un filtru de afișare câmp de intrare situat sub bara de instrumente Wireshark sau în Introduceți un filtru de captură câmp situat în centrul ecranului de întâmpinare.

De exemplu, dacă doriți să afișați pachete TCP, tastați tcp. Funcția de completare automată Wireshark afișează nume sugerate pe măsură ce începeți să tastați, făcând mai ușor să găsiți numele corect pentru filtrul pe care îl căutați.

O captură de ecran cu Wireshark cu bara de filtre evidențiată

Un alt mod de a alege un filtru este selectarea marcaj în partea stângă a câmpului de intrare. Alege Gestionați expresiile de filtrare sau Gestionați filtrele de afișare pentru a adăuga, elimina sau edita filtre.

O captură de ecran a Wireshark cu comenzile Manage Display Filters și Manage Filter Expressions evidențiate

De asemenea, puteți accesa filtrele utilizate anterior selectând săgeata în jos din partea dreaptă a câmpului de intrare pentru a afișa o listă derulantă a istoricului.

O captură de ecran cu Wireshark cu săgeata istoric evidențiată

Filtrele de captură sunt aplicate imediat ce începeți înregistrarea traficului de rețea. Pentru a aplica un filtru de afișare, selectați săgeata dreapta din partea dreaptă a câmpului de introducere.

Reguli de culoare Wireshark

În timp ce filtrele de captare și afișare ale Wireshark limitează pachetele care sunt înregistrate sau afișate pe ecran, acesta este Funcția de colorare duce lucrurile cu un pas mai departe: poate distinge între diferite tipuri de pachete în funcție de acestea nuanță individuală. Acest lucru localizează rapid anumite pachete într-un set salvat după culoarea rândului lor din panoul cu liste de pachete.

Caseta de dialog pentru regulile de colorare Wireshark a fost deschisă în fața ferestrei principale Wireshark

Wireshark vine cu aproximativ 20 de reguli de colorare implicite, fiecare putând fi editată, dezactivată sau ștearsă. Selectați Vedere > Reguli de colorare pentru o imagine de ansamblu asupra a ceea ce înseamnă fiecare culoare. De asemenea, puteți adăuga propriile filtre bazate pe culoare.

O captură de ecran a meniului View Wireshark cu comanda Reguli de colorare evidențiată

Selectați Vedere > Colorează lista de pachete pentru a activa și dezactiva colorarea pachetelor.

Statistici în Wireshark

Alte valori utile sunt disponibile prin intermediul Statistici meniul derulant. Acestea includ informații despre dimensiunea și sincronizarea fișierului de captură, împreună cu zeci de diagrame și grafice, variind în subiecte, de la defalcarea conversațiilor de pachete la distribuția încărcării solicitărilor HTTP.

Mai multe alte valori utile sunt disponibile prin meniul derulant Statistici aflat în partea de sus a ecranului.

Filtrele de afișare pot fi aplicate multor dintre aceste statistici prin interfețele lor, iar rezultatele pot fi exportate în formate de fișiere comune, inclusiv CSV, XML, și TXT.

Funcții avansate Wireshark

Wireshark acceptă, de asemenea, funcții avansate, inclusiv abilitatea de a scrie disecatoare de protocol în limbajul de programare Lua.