Za mnoge IT stručnjake, Wireshark je alat za analizu mrežnih paketa. Softver otvorenog koda omogućuje vam da pomno pregledate prikupljene podatke i utvrdite korijen problema s poboljšanom točnošću. Nadalje, Wireshark radi u stvarnom vremenu i koristi kodiranje bojama za prikaz uhvaćenih paketa, među ostalim zgodnim mehanizmima.
U ovom vodiču objasnit ćemo kako uhvatiti, čitati i filtrirati pakete pomoću Wiresharka. U nastavku ćete pronaći upute korak po korak i kvarove osnovnih funkcija analize mreže. Nakon što svladate ove temeljne korake, moći ćete provjeriti tok prometa svoje mreže i učinkovitije rješavati probleme.
Analiza paketa
Jednom kada su paketi uhvaćeni, Wireshark ih organizira u detaljan okvir popisa paketa koji je nevjerojatno lak za čitanje. Ako želite pristupiti informacijama o jednom paketu, sve što trebate učiniti je pronaći ga na popisu i kliknuti. Također možete dodatno proširiti stablo za pristup pojedinostima svakog protokola sadržanog u paketu.
Za sveobuhvatniji pregled, svaki uhvaćeni paket možete prikazati u zasebnom prozoru. Evo kako:
kako urediti popise prijatelja na facebooku -
- Odaberite paket s popisa pomoću pokazivača, a zatim kliknite desnom tipkom miša.
- Otvorite karticu Prikaz na gornjoj alatnoj traci.
- Odaberite Prikaži paket u novom prozoru s padajućeg izbornika.
Napomena: Mnogo je lakše usporediti uhvaćene pakete ako ih prikažete u zasebnim prozorima.
Kao što je spomenuto, Wireshark koristi sustav kodiranja boja za vizualizaciju podataka. Svaki paket je označen drugom bojom koja predstavlja različite vrste prometa. Na primjer, TCP promet obično je označen plavom bojom, dok se crna koristi za označavanje paketa koji sadrže pogreške.
Naravno, ne morate pamtiti značenje svake boje. Umjesto toga, možete provjeriti na licu mjesta:
- Desnom tipkom miša kliknite na paket koji želite ispitati.
- Odaberite karticu Prikaz na alatnoj traci pri vrhu zaslona.
- Na padajućoj ploči odaberite Pravila bojanja.
Vidjet ćete opciju za prilagodbu kolorizacije po svojoj želji. Međutim, ako samo privremeno želite promijeniti pravila bojanja, slijedite ove korake:
- Desnom tipkom miša kliknite paket u oknu popisa paketa.
- Na popisu opcija odaberite Colorize With Filter.
- Odaberite boju kojom ga želite označiti.
Broj
Okno popisa paketa će vam pokazati točan broj uhvaćenih bitova podataka. Budući da su paketi organizirani u nekoliko stupaca, prilično ih je lako interpretirati. Zadane kategorije su:
- Ne. (Broj): Kao što je spomenuto, u ovom stupcu možete pronaći točan broj zarobljenih paketa. Brojke će ostati iste čak i nakon filtriranja podataka.
- Vrijeme: Kao što ste mogli pretpostaviti, ovdje je prikazana vremenska oznaka paketa.
- Izvor: Pokazuje odakle potječe paket.
- Odredište: Pokazuje mjesto gdje će se paket čuvati.
- Protokol: Prikazuje naziv protokola, obično u kratici.
- Duljina: Prikazuje broj bajtova sadržanih u uhvaćenom paketu.
- Informacije: Stupac uključuje sve dodatne informacije o određenom paketu.
Vrijeme
Dok Wireshark analizira mrežni promet, svaki zarobljeni paket ima vremenski žig. Vremenske oznake su tada uključene u okno popisa paketa i dostupne za kasniju inspekciju.
Wireshark ne stvara same vremenske oznake. Umjesto toga, alat za analizu ih dobiva iz Npcap biblioteke. Međutim, izvor vremenske oznake zapravo je kernel. Zato se točnost vremenske oznake može razlikovati od datoteke do datoteke.
Možete odabrati format u kojem će se vremenske oznake prikazati na popisu paketa. Osim toga, možete postaviti željenu preciznost ili broj decimalnih mjesta koja se prikazuju. Osim zadane postavke preciznosti, tu su i:
- Sekunde
- Desetine sekunde
- Stotinki sekunde
- Milisekunde
- mikrosekunde
- Nanosekunde
Izvor
Kao što ime govori, izvor paketa je mjesto podrijetla. Ako želite dobiti izvorni kod Wireshark repozitorija, možete ga preuzeti pomoću Git klijenta. Međutim, metoda zahtijeva da imate GitLab račun. Moguće je i bez njega, ali je bolje da se prijavite za svaki slučaj.
Nakon što ste registrirali račun, slijedite ove korake:
- Provjerite je li Git funkcionalan pomoću ove naredbe: |_+_|
- Još jednom provjerite jesu li vaša adresa e-pošte i korisničko ime konfigurirani.
- Zatim napravite klon izvora Workshark. Koristite |_+_| SSH URL za izradu kopije.
- Ako nemate GitLab račun, pokušajte s HTTPS URL-om: |_+_|
Svi izvori će se naknadno kopirati na vaš uređaj. Imajte na umu da kloniranje može potrajati, pogotovo ako imate sporu mrežnu vezu.
Odredište
Ako želite znati IP adresu odredišta određenog paketa, možete ga locirati pomoću filtra za prikaz. Evo kako:
- Unesite |_+_| u Wireshark Filter Box. Zatim kliknite Enter.
- Okno s popisom paketa bit će rekonfigurirano samo za prikaz odredišta paketa. Pronađite IP adresu koja vas zanima pomicanjem kroz popis.
- Kada završite, odaberite Očisti na alatnoj traci da biste ponovno konfigurirali okno popisa paketa.
Protokol
Protokol je smjernica koja određuje prijenos podataka između različitih uređaja koji su spojeni na istu mrežu. Svaki Wireshark paket sadrži protokol, a možete ga prikazati pomoću filtera za prikaz. Evo kako:
- Na vrhu prozora Wireshark kliknite dijaloški okvir Filter.
- Unesite naziv protokola koji želite ispitati. Naslovi protokola obično se pišu malim slovima.
- Kliknite Enter ili Apply da biste omogućili filtar prikaza.
Duljina
Duljina Wireshark paketa određena je brojem bajtova zarobljenih u tom mrežnom isječku. Taj broj obično odgovara broju neobrađenih bajtova podataka navedenih na dnu prozora Wireshark.
Ako želite ispitati distribuciju duljina, otvorite prozor Paketne duljine. Sve informacije podijeljene su u sljedeće stupce:
- Duljine paketa
- Računati
- Prosječno
- Min Val / Max Val
- Stopa
- postotak
- Stopa rafala
- Rafalni početak
Info
Ako postoje bilo kakve anomalije ili slične stavke unutar određenog zarobljenog paketa, Wireshark će to zabilježiti. Informacije će se zatim prikazati u oknu popisa paketa za daljnje ispitivanje. Na taj ćete način imati jasnu sliku netipičnog ponašanja mreže, što će rezultirati bržim reakcijama.
Dodatna često postavljana pitanja
Kako mogu filtrirati paketne podatke?
Filtriranje je učinkovita značajka koja vam omogućuje da pogledate specifičnosti određenog niza podataka. Postoje dvije vrste Wireshark filtara: snimanje i prikaz. Filtri za hvatanje su tu da ograniče hvatanje paketa kako bi odgovarali specifičnim zahtjevima. Drugim riječima, možete procijediti različite vrste prometa primjenom filtra za snimanje. Kao što ime sugerira, filteri za prikaz omogućuju vam da se usredotočite na određeni element paketa, od duljine paketa do protokola.
Primjena filtra prilično je jednostavan proces. Možete upisati naslov filtra u dijaloški okvir na vrhu prozora Wireshark. Osim toga, softver obično automatski dovršava naziv filtra.
Alternativno, ako želite pročešljati zadane Wireshark filtere, učinite sljedeće:
1. Otvorite karticu Analiza na alatnoj traci na vrhu prozora Wireshark.
kako prepoznati je li vas netko blokirao naglo
2. S padajućeg popisa odaberite Filter za prikaz.
3. Pregledajte popis i kliknite na onu koju želite primijeniti.
Konačno, evo nekih uobičajenih Wireshark filtara koji mogu dobro doći:
• Za prikaz samo izvorne i odredišne IP adrese koristite: |_+_|
• Da biste vidjeli samo SMTP promet, upišite: |_+_|
• Da biste uhvatili sav promet podmreže, primijenite: |_+_|
• Za snimanje svega osim ARP i DNS prometa, koristite: |_+_|
Kako mogu uhvatiti paketne podatke u Wiresharku?
Nakon što preuzmete Wireshark na svoj uređaj, možete početi pratiti svoju mrežnu vezu. Da biste uhvatili pakete podataka za sveobuhvatnu analizu, evo što trebate učiniti:
1. Pokrenite Wireshark. Vidjet ćete popis dostupnih mreža, pa kliknite na onu koju želite ispitati. Također možete primijeniti filtar snimanja ako želite točno odrediti vrstu prometa.
2. Ako želite pregledati više mreža, upotrijebite kontrolu shift + lijevi klik.
3. Zatim kliknite na krajnje lijevu ikonu peraja morskog psa na gornjoj alatnoj traci.
4. Također možete pokrenuti snimanje klikom na karticu Capture i odabirom Start s padajućeg popisa.
5. Drugi način da to učinite je korištenje tipke Control – E.
Kako softver preuzima podatke, vidjet ćete da se pojavljuju na oknu popisa paketa u stvarnom vremenu.
Shark Byte
Iako je Wireshark vrlo napredan mrežni analizator, iznenađujuće ga je lako protumačiti. Okno s popisom paketa iznimno je opsežno i dobro organizirano. Sve informacije raspoređene su u sedam različitih boja i označene jasnim kodovima boja.
Nadalje, softver otvorenog koda dolazi s nizom lako primjenjivih filtara koji olakšavaju praćenje. Omogućavanjem filtra za snimanje možete točno odrediti kakvu vrstu prometa želite da Wireshark analizira. A nakon što se podaci dohvate, možete primijeniti nekoliko filtara prikaza za određena pretraživanja. Sve u svemu, to je vrlo učinkovit mehanizam kojim nije teško svladati.
Koristite li Wireshark za analizu mreže? Što mislite o funkciji filtracije? Javite nam u komentarima u nastavku postoji li korisna značajka analize paketa koju smo preskočili.