Wireshark er et gratis program, du bruger til at fange og se dataene, der rejser frem og tilbage på dit netværk. Det giver mulighed for at bore ned og læse indholdet af hver pakke og filtreres for at opfylde dine specifikke behov. Det bruges normalt til fejlfinding af netværksproblemer og udvikling og test af software. Denne open source-protokolanalysator er bredt accepteret som industristandard og vinder sin rimelige andel af priser gennem årene.
Oprindeligt kendt som Ethereal, har Wireshark en brugervenlig grænseflade, der kan vise data fra hundredvis af forskellige protokoller på alle større netværkstyper. Datapakker kan ses i realtid eller analyseres offline. Wireshark understøtter snesevis af capture / trace filformater understøttet, herunder CAP og ERF. Med integrerede dekrypteringsværktøjer kan du se krypterede pakker til flere populære protokoller, herunder WEP og WPA / WPA2.
01 af 07Download og installere Wireshark
Wireshark kan downloades uden omkostninger fra Wireshark Foundation hjemmeside for både MacOS og Windows operativsystemer. Medmindre du er en avanceret bruger, anbefales det kun at downloade den nyeste stabile udgivelse. Under Windows-installationsprocessen skal du vælge at installere WinPcap, hvis du bliver bedt om det, da det indeholder et bibliotek, der kræves til live data capture.
Ansøgningen er også tilgængelig for Linux og de fleste andre UNIX-lignende platforme, herunder Red Hat, Solaris og FreeBSD. De binære filer, der kræves for disse operativsystemer, findes i bunden af downloadsiden i afsnittet Tredjeparts pakker. Du kan også downloade Wiresharks kildekode fra denne side.
Sådan Capture Data Packets
Når du først starter Wireshark, vises en velkomstskærm med en liste over tilgængelige netværksforbindelser på din nuværende enhed. I dette eksempel vil du bemærke, at følgende forbindelsestyper vises: Bluetooth Netværksforbindelse, Ethernet, VirtualBox Host Only Network og Wi-Fi. Vist til højre for hver er en EKG-stil linjediagram, der repræsenterer live-trafik på det respektive netværk.
For at begynde at fange pakker skal du vælge et eller flere af netværkene ved at klikke på dit valg og bruge Flytte eller Ctrl taster, hvis du vil optage data fra flere netværk samtidigt. Når en forbindelsestype er valgt til optagelsesformål, skygges baggrunden i enten blå eller grå. Klik på Fange i hovedmenuen placeret øverst på Wireshark-grænsefladen. Når rullemenuen vises, skal du vælge Start mulighed.
Du kan også starte pakkefangst via en af følgende genveje.
- Tastatur: Tryk påCtrl + E.
- Mus: For at begynde at fange pakker fra et bestemt netværk skal du dobbeltklikke på dens navn.
- Toolbar: Klik på den blå hajfin-knap, der findes på den fjerneste venstre side af Wireshark-værktøjslinjen.
Live capture-processen begynder, og Wireshark viser pakken detaljer, som de er optaget. At stoppe med at fange:
- Tastatur: Trykke Ctrl + E
- Toolbar: Klik på den røde Hold op knappen ved siden af hajfinen på Wireshark værktøjslinjen.
Visning og analyse af pakkeindhold
Når du har optaget nogle netværksdata, er det tid til at se på de indfangede pakker. Den indfangede datagrænseflade indeholder tre hovedafsnit: pakkerelisten, pakkenhedsruden og pakkebytepanelet.
Pakke liste
Pakkeoversigten, der er placeret øverst i vinduet, viser alle pakker, der findes i den aktive optagelsesfil. Hver pakke har sin egen række og tilsvarende nummer tildelt det sammen med hvert af disse datapunkter.
- Tid: Tidsstempelet for, hvornår pakken blev taget, vises i denne kolonne. Standardformatet er antallet af sekunder eller delvise sekunder, siden denne specifikke fil blev først oprettet. For at ændre dette format til noget, der kan være lidt mere nyttigt, f.eks. Den aktuelle tid på dagen, skal du vælge Time Display Format mulighed fra Wiresharks Udsigt menuen placeret øverst på hovedgrænsefladen.
- Kilde: Denne kolonne indeholder adressen (IP eller andet), hvor pakken stammer fra.
- Bestemmelsessted: Denne kolonne indeholder den adresse, som pakken sendes til.
- protokol: Pakkenets protokollens navn, som f.eks. TCP, findes i denne kolonne.
- Længde: Paklængden, i bytes, vises i denne kolonne.
- Info: Yderligere oplysninger om pakken er præsenteret her. Indholdet af denne kolonne kan variere meget afhængigt af pakkens indhold.
Når en pakke er valgt i øverste rude, kan du bemærke, at et eller flere symboler vises i den første kolonne. Åbne eller lukkede parenteser og en lige vandret linje angiver, om en pakke eller gruppe af pakker alle er en del af den samme fremadrettede samtale på netværket. En brudt vandret linje betyder, at en pakke ikke er en del af samtalen.
Pakke detaljer
Detaljeringsruden, der findes i midten, præsenterer protokollerne og protokollens felter i den valgte pakke i et sammenklappeligt format. Ud over at udvide hvert valg kan du anvende individuelle Wireshark-filtre baseret på specifikke detaljer og følge datastrømme baseret på protokoltype via detaljeret kontekstmenu, som er tilgængeligt ved at højreklikke med musen på det ønskede emne i denne rude.
Pakkebyte
Nederst er pakkebytepanelet, som viser de rå data for den valgte pakke i en hexadecimal visning.Denne hex-dump indeholder 16 hexadecimale bytes og 16 ASCII bytes sammen med dataforskydningen.
Valg af en bestemt del af disse data fremhæver automatisk dens tilsvarende afsnit i pakkenhedsruden og omvendt. Eventuelle bytes, der ikke kan udskrives, repræsenteres i stedet af en periode.
Du kan vælge at vise disse data i bitformat i modsætning til hexadecimalt ved at højreklikke overalt i ruden og vælge den relevante indstilling fra kontekstmenuen.
04 af 07Brug af Wireshark-filtre
Et af de vigtigste egenskabssæt i Wireshark er dets filterfunktion, især når du beskæftiger dig med filer, der er signifikante i størrelse. Capture-filtre kan indstilles før faktum og instruerer Wireshark til kun at optage de pakker, der opfylder dine angivne kriterier.
Filtre kan også anvendes på en capture-fil, der allerede er oprettet, så kun visse pakker vises. Disse benævnes displayfiltre.
Wireshark giver som standard et stort antal foruddefinerede filtre, så du kan indsnævre antallet af synlige pakker med blot et par tastetryk eller museklik. For at bruge et af disse eksisterende filtre skal du placere sit navn i Anvend et displayfilter indtastningsfelt placeret direkte under Wireshark værktøjslinjen eller i Indtast et opsamlingsfilter indtastningsfelt beliggende i centrum af velkomstskærmen.
Der er flere måder at opnå dette på. Hvis du allerede kender navnet på dit filter, skal du skrive det i det relevante felt. Hvis du f.eks. Kun vil vise TCP-pakker, skal du skrive tcp. Wiresharks autofuldførende funktion viser foreslåede navne, når du begynder at skrive, hvilket gør det lettere at finde den korrekte moniker for det filter, du søger.
En anden måde at vælge et filter på er at klikke på det bogmærke-lignende ikon placeret på venstre side af indtastningsfeltet. Dette giver en menu, der indeholder nogle af de mest brugte filtre samt en mulighed for at Administrer optagelsesfiltre eller Administrer skærmfiltre. Hvis du vælger at styre begge typer, vises en grænseflade, så du kan tilføje, fjerne eller redigere filtre.
Du kan også få adgang til tidligere anvendte filtre ved at vælge nedpilen i højre side af indtastningsfeltet for at få vist en rulleliste med historik.
Når der er indstillet, anvendes filtre, så snart du begynder at optage netværkstrafik. For at anvende et displayfilter klikker du på den højre pileknap, der findes på den øverste højre side af indtastningsfeltet.
05 af 07Farve Regler
Mens Wiresharks optagelses- og displayfiltre giver dig mulighed for at begrænse hvilke pakker der er optaget eller vist på skærmen, tager dens farvningsfunktionalitet et skridt videre ved at gøre det let at skelne mellem forskellige pakketyper baseret på deres individuelle nuance. Denne praktiske funktion giver dig mulighed for hurtigt at finde bestemte pakker inden for et gemt sæt ved deres rækkefarve i pakkeoversigtruden.
Wireshark leveres med ca. 20 standard farvebestemmelser indbygget, som hver kan redigeres, deaktiveres eller slettes, hvis du ønsker det. Du kan også tilføje nye skyggebaserede filtre gennem farvestyringsgrænsefladen, der er tilgængelig fra Udsigt menu. Ud over at definere et navn og filter kriterier for hver regel, bliver du også bedt om at knytte både en baggrundsfarve og en tekstfarve.
Pakkefarvning kan slås fra og til via Farver pakke liste mulighed, også fundet i Udsigt menu.
06 af 07Statistik
Ud over de detaljerede oplysninger om dit netværks data, der vises i Wiresharks hovedvindue, findes flere andre nyttige beregninger via Statistik rullemenuen fundet øverst på skærmen. Disse omfatter størrelse og timing information om selve optagelsesfilen, sammen med snesevis af diagrammer og grafer, der spænder i emnet fra pakkesamtaleforstyrrelser for at indlæse distribution af HTTP-anmodninger.
Visningsfiltre kan anvendes til mange af disse statistikker via deres grænseflader, og resultaterne kan eksporteres til flere almindelige filformater, herunder CSV, XML og TXT.
07 af 07Avancerede egenskaber
Ud over Wiresharks hovedfunktionalitet er der også en samling af ekstra funktioner til rådighed i dette kraftfulde værktøj, der typisk er forbeholdt avancerede brugere. Dette inkluderer evnen til at skrive dine egne protokoldissektorer i Lua programmeringssprog.
