Så här använder du Wireshark: En komplett handledning

Wireshark är en gratis applikation som du använder för att fånga och visa data som reser fram och tillbaka på ditt nätverk. Det ger möjlighet att borra ner och läsa innehållet i varje paket och filtreras för att möta dina specifika behov. Det används vanligtvis för att felsöka nätverksproblem och att utveckla och testa programvara. Denna open-source protokollanalysator är allmänt accepterad som branschstandard och har vunnit sin rättvisa andel av utmärkelser genom åren.

Ursprungligen känt som Ethereal, har Wireshark ett användarvänligt gränssnitt som kan visa data från hundratals olika protokoll på alla större nätverkstyper. Datapaket kan ses i realtid eller analyseras offline. Wireshark stöder dussintals fångst / spårfilformat som stöds, inklusive CAP och ERF. Med integrerade dekrypteringsverktyg kan du visa krypterade paket för flera populära protokoll, inklusive WEP och WPA / WPA2.

01 av 07

Nedladdning och installation av Wireshark

Wireshark kan laddas ner utan kostnad från Wireshark Foundation webbplats för både MacOS och Windows operativsystem. Om du inte är en avancerad användare rekommenderas att du bara hämtar den senaste stabila utgåvan. Under installationsprocessen i Windows bör du välja att installera WinPcap om du uppmanas, eftersom det innehåller ett bibliotek som krävs för levande datainsamling.

Applikationen är också tillgänglig för Linux och de flesta andra UNIX-liknande plattformar, inklusive Red Hat, Solaris och FreeBSD. De binärer som krävs för dessa operativsystem kan hittas längst ned på nedladdningssidan i avsnittet Tredje part-paket. Du kan också ladda ner Wiresharks källkod från den här sidan.

02 av 07

Så här tar du in datapaket

När du först startar Wireshark visas en välkomstskärm med en lista över tillgängliga nätverksanslutningar på din nuvarande enhet. I det här exemplet märker du att följande anslutningstyper visas: Bluetooth-nätverksanslutning, Ethernet, VirtualBox-värdnätverk och Wi-Fi. Visad till höger om varje är en EKG-stillinjediagram som representerar levande trafik på det respektive nätverket.

För att börja fånga paket väljer du ett eller flera av nätverket genom att klicka på ditt val och använda Flytta eller Ctrl tangenter om du vill spela in data från flera nätverk samtidigt. När en anslutningstyp väljs för fångständamål skuggas bakgrunden antingen i blå eller grå. Klicka på Fånga i huvudmenyn belägen mot toppen av Wireshark-gränssnittet. När rullgardinsmenyn visas väljer du Start alternativ.

Du kan också initiera paketupptagning via en av följande genvägar.

• Tangentbord: Tryck påCtrl + E.
• Mus: För att börja fånga paket från ett visst nätverk, dubbelklicka på namnet.
• Toolbar: Klicka på den blå hajfinknappen som finns längst till vänster på Wireshark-verktygsfältet.

Live capture-processen börjar och Wireshark visar paketinformationen när de spelas in. Att sluta fånga:

• Tangentbord: Tryck Ctrl + E
• Toolbar: Klicka på den röda Sluta knappen bredvid hajfenyn på Wireshark verktygsfältet.

03 av 07

Visa och analysera paketinnehåll

När du har spelat in några nätverksdata är det dags att ta en titt på de fångade paketen. Det infångade datagränssnittet innehåller tre huvuddelar: rutan för paketlistan, rutan för paketdetalj och paketbytepanelen.

Paketlista

Paketlistan, som ligger längst upp i fönstret, visar alla paket som finns i den aktiva inspelningsfilen. Varje paket har sin egen rad och motsvarande nummer tilldelat det, tillsammans med var och en av dessa datapunkter.

• Tid: Tidstämpeln för när paketet fångades visas i denna kolumn. Standardformatet är antalet sekunder eller partiella sekunder sedan den här specifika infångningsfilen skapades. Om du vill ändra det här formatet till något som kan vara lite mer användbart, t.ex. den aktuella tiden på dagen, markerar du Tidskärmsformat alternativ från Wiresharks Se menyn ligger högst upp i huvudgränssnittet.
• Källa: Den här kolumnen innehåller adressen (IP eller annan) där paketet har sitt ursprung.
• Destination: Den här kolumnen innehåller adressen som paketet skickas till.
• Protokoll: Paketets protokollnamn, till exempel TCP, finns i den här kolumnen.
• Längd: Pakettlängden, i byte, visas i den här kolumnen.
• Info: Ytterligare detaljer om paketet presenteras här. Innehållet i denna kolumn kan variera kraftigt beroende på innehållet i paketet.

När ett paket väljs i toppruten kan du märka att en eller flera symboler visas i den första kolumnen. Öppna eller stängda fästen och en rak horisontell linje indikerar huruvida ett paket eller en grupp av paket alla ingår i samma fram och tillbaka samtal på nätverket. En trasig horisontell linje betyder att ett paket inte ingår i samtalet.

Paketdetaljer

Detaljeringsfönstret, som finns i mitten, presenterar protokoll- och protokollfälten för det valda paketet i ett hopfällbart format. Förutom att utöka varje urval kan du använda individuella Wireshark-filter baserat på specifika detaljer och följa dataströmmar baserat på protokolltyp via detaljeringsmenyn, vilket är tillgängligt genom att högerklicka med musen på önskat objekt i den här rutan.

Packbyte

I botten är paketbytefönstret, som visar raden data för det valda paketet i en hexadecimal vy.Denna hex-dump innehåller 16 hexadecimala byte och 16 ASCII-byte vid sidan av dataförskjutningen.

Val av en viss del av dessa data markerar automatiskt dess motsvarande avsnitt i fönstret för paketinformation och vice versa. Eventuella bitgrupper som inte kan skrivas ut representeras istället av en period.

Du kan välja att visa dessa data i bitformatet i motsats till hexadecimalt genom att högerklicka var som helst i rutan och välja lämpligt alternativ från snabbmenyn.

04 av 07

Använda Wireshark-filter

En av de viktigaste särdragssatserna i Wireshark är dess filterfunktion, speciellt när du hanterar filer som är signifikanta i storlek. Capture-filter kan ställas in före faktumet och instruerar Wireshark att bara spela in de paket som uppfyller dina angivna kriterier.

Filter kan också appliceras på en inspelningsfil som redan har skapats så att endast vissa paket visas. Dessa kallas visningsfilter.

Wireshark tillhandahåller ett stort antal fördefinierade filter som standard, så att du kan begränsa antalet synliga paket med bara några tangenttryckningar eller musklick. För att använda ett av dessa befintliga filter, placera sitt namn i Applicera ett visningsfilter Inmatningsfältet ligger direkt under Wireshark verktygsfält eller i Ange ett infångningsfilter inträdesfält beläget i mitten av välkomstskärmen.

Det finns flera sätt att uppnå detta. Om du redan vet namnet på ditt filter skriver du det i lämpligt fält. Om du till exempel bara vill visa TCP-paket skriver du in tcp. Wiresharks autokompletterande funktion visar föreslagna namn när du börjar skriva, vilket gör det enklare att hitta rätt moniker för filtret du söker.

Ett annat sätt att välja ett filter är att klicka på bokmärkesliknande ikonen placerad på vänster sida av inmatningsfältet. Detta presenterar en meny som innehåller några av de vanligaste filteren samt ett alternativ till Hantera Capture Filters eller Hantera visningsfilter. Om du väljer att hantera endera typen visas ett gränssnitt som låter dig lägga till, ta bort eller redigera filter.

Du kan också komma åt tidigare använda filter genom att välja nedpilen till höger om inmatningsfältet för att visa en historikmeny.

När de är inställda appliceras filtreringsfilerna så fort du börjar spela in nätverkstrafik. För att tillämpa ett visningsfilter klickar du på den högra pilknappen som finns längst till höger om inmatningsfältet.

05 av 07

Färgregler

Medan Wiresharks infångnings- och visningsfilter tillåter dig att begränsa vilka paket som spelas in eller visas på skärmen, tar dess färgfunktionalitet ett steg längre genom att göra det enkelt att skilja mellan olika pakettyper baserat på deras individuella nyans. Den här funktionen gör att du snabbt kan hitta vissa paket inom en sparad uppsättning av deras radfärg i listrutan.

Wireshark levereras med cirka 20 standardfärgregler inbyggda, vilka var och en kan redigeras, inaktiveras eller raderas om du vill. Du kan också lägga till nya skuggbaserade filter genom gränssnittet för färgreglering, tillgängligt från Se meny. Förutom att du definierar ett namn och filterkriterium för varje regel, är du också uppmanad att associera både en bakgrundsfärg och en textfärg.

Paketfärgning kan slås av och på via Colorize Packet List alternativ, som också finns i Se meny.

06 av 07

Statistik

Förutom den detaljerade informationen om ditt nätverks data som visas i Wiresharks huvudfönster finns flera andra användbara mätvärden tillgängliga via Statistik rullgardinsmenyn hittades mot toppen av skärmen. Dessa inkluderar storlek och timing information om själva filmen, tillsammans med dussintals diagram och grafer som spänner i ämnet från paketsamtalsavbrott för att ladda distribution av HTTP-förfrågningar.

Visningsfilter kan appliceras på många av dessa statistik via deras gränssnitt, och resultaten kan exporteras till flera vanliga filformat, inklusive CSV, XML och TXT.

07 av 07

Avancerade funktioner

Förutom Wiresharks huvudfunktionalitet finns också en samling av ytterligare funktioner som finns i detta kraftfulla verktyg som vanligtvis är reserverat för avancerade användare. Detta inkluderar möjligheten att skriva egna protokolldissektorer i Lua programmeringsspråk.