Wireshark: Network Analyzer i detalj

Wireshark: Network Analyzer i detalj

Den här gången kommer vi att prata om en av nätverksanalysatorer vanligaste som finns just nu, Wireshark Network Analyzer, som har mer än 500 000 nedladdningar per månad, och därför visar sin effektivitet, förtroende och stöd vid analys av en nätverksinfrastruktur.

Inom Wireshark -funktioner vi kan markera följande:

  • Finns för Windows- och Unix -system.
  • Vi kan filtrera paket enligt fastställda kriterier.
  • Det är möjligt att fånga ögonblicksbilder av paket på ett nätverksgränssnitt.
  • Det är möjligt att importera paket i textformat.
  • Vi kan söka efter paket med hjälp av en rad kriterier.
  • Låter dig bland annat skapa statistik.

Till kör Wireshark i Windows -miljöer vi behöver följande krav:

  • 400 MB RAM
  • Körs på alla versioner av Windows på både server- och skrivbordsnivå
  • 300 MB hårddiskutrymme

För UNIX -miljöer kan Wireshark arbeta på följande plattformar:

  • Debian
  • Apple OS X
  • FreeBSD
  • Sun solaris
  • Bland andra Mandriva Linux.

Innan vi börjar hur Wireshark fungerar, låt oss komma ihåg några koncept om nätverk, eftersom allt detta är nedsänkt i den här världen. Låt oss komma ihåg att huvudfunktionen för nätverk är att tillåta dataöverföring mellan två eller flera enheter och allt detta tack vare ett gemensamt arbete mellan hårdvara och programvara.

Utformningen av ett nätverk kan struktureras på två sätt:

  • Klient-server
  • Peer to peer

Wireshark har utformats för att visa din information mellan lager 2 till 7 i OSI -modellen. Med Wireshark kommer vi att kunna utföra liveövervakning av vår organisations nätverkstrafik, så att vi kan fastställa problem, utföra analyser och några fler uppgif.webpter som möjliggör korrekt nätverksmiljö. Som sådan kan vi dra slutsatsen att Wireshark är en paketanalysator.

För denna studie kommer vi att använda en Windows 7. -miljö. När vi har laddat ner Wireshark fortsätter vi med installationen enligt följande:

1. Ladda ner och installera Wireshark


Wireshark -programvaran kan laddas ner från följande länk:

Där hittar vi de kompatibla nedladdningsfilerna för systemen:

  • Windows
  • MAC
  • Linux

Vi kör filen för att installera den och processen börjar. Vi accepterar. Vi klickar på knappen jag håller med För att acceptera licensvillkoren måste vi välja komponenterna för att installera Wireshark när detta är gjort.

Vi klickar på Nästa och vi kan välja om vi ska lägga till genvägsikoner eller förresten, bestämma filtillägg som är associerade med Wireshark. Var kommer då Wireshark att installeras. Sedan berättar verktyget om vi vill installera eller inte WinPcap (detta krävs för live packet capture), vi väljer rutan, som standard är den och klickar på Nästa.

Sedan kan vi välja om verktyget ska installeras eller inte USB -kap, är gör att USB -trafik kan fångas, det mest rekommenderade är att installera det, vi markerar rutan och klickar på Installera för att starta installationsprocessen.

När den är klar, vi kommer redan att ha vår Wireshark Network Analyzer -applikation installerad redo att gå. Nu i lnos lär vi känna användningen och tarmarna i denna fantastiska applikation.

2. Hur man använder Wireshark

Vi kommer att se att paketet fångar som vi måste göra är baserade på en lokal anslutning, andra typer av anslutningar kan visas som Wi Fi, Bluetooth, etc. Genom att dubbelklicka på vårt gränssnitt ser vi att all aktuell trafik visas:

Genom att klicka på ikonen Vi kan redigera alla alternativ i vårt nätverk, låt oss se vilket fönster som visar oss när vi trycker på den här ikonen:

FÖRSTORA

Vi kan se att vi har systemets nuvarande IP -adress, buffertstorlek etc. På fliken alternativ Vi har alternativ som vi kan välja, till exempel att uppdatera paket i realtid, lösa bland annat nätverksnamn.

När vi har gjort ändringarna trycker vi på Start. Det bör noteras att i det här alternativet konfigurerar vi till exempel de viktigaste egenskaperna hos Wireshark aktivera promiskuöst läge (aktivera alla paket) eller begränsa paketstorleken för fångst. Låt oss ta en titt på Wireshark -miljön lite.

På första raden, innan vi lär känna menyn lite, ser vi följande:

Denna rad består av följande:

  • Antal: Identifiera processens interna nummer.
  • Tid: Anslutningstid mellan ursprung och destination
  • Källa: Käll -IP
  • Destination: Destinations -IP
  • Protokoll: Protokoll som används för överföring
  • Längd: Paketstorlek
  • Info: Ytterligare destinationsinformation

Om vi ​​vill spara det aktuella arbetet kan vi göra det via Arkiv -menyn, Spara eller Spara som. För att öppna den här filen använder vi alternativet Öppna på Arkiv -menyn.

Som vi ser i paketanalysator vi har mycket information, till exempel om vi granskar Protokollkolumn Vi kommer att se att det finns ARP, HTTP, TCP -protokoll bland andra, om vi bara vill se TCP -protokollen använder vi filtret, för detta anger vi termen TCP i rutan "Använd ett visningsfilter" ligger högst upp och vi ger Enter eller tryck på Apply this filter -knappen, vi ser att i Protocol -kolumnen finns bara TCP -protokoll.

FÖRSTORA

FÖRSTORA

Vi kan exportera våra data till olika typer av format för en bättre analys, dessa kan exporteras till HTTP, SMB, TFTP, etc. För att utföra exporten går vi till Arkiv -menyn och väljer Exportera objekt, väljer vi alternativet HTTP.

Detta är resultatet av vår export:

Låt oss ta en titt på de olika menyraden i Wireshark.

Arkiv> Arkiv
I denna meny hittar vi grundläggande alternativ som att öppna, spara, exportera, skriva ut, bland andra. Vi har just observerat processen för att exportera en fil.

Redigera> Redigera
Från den här menyn kan vi utföra uppgif.webpter som att kopiera, hitta paket, skapa kommentarer, etc. Vi kommer att granska några av dessa alternativ i detalj.

Till exempel om vi vill hitta alla DNS -paket inom ramen, vi öppnar Hitta alternativ och vi anger ordet DNS eller så kan vi använda kombinationen CTRL + F:

FÖRSTORA

Vi kan se att alla DNS -paket är markerade. För att lägga till en kommentar använder vi Paketkommentar alternativ.

Vi kommer att se det återspeglas i huvudmenyn:

FÖRSTORA

Visa> Visa
Från det här alternativet kan vi definiera de typer av vyer som vår Wireshark kommer att ha samt definiera tidsformat, kolumnernas storlek, färgregler, etc.

Vi kan köra Alternativ för färgläggning av regler för att bestämma, och om vi vill redigera, färgerna som tilldelats de olika protokollen.

Om du vill skapa ett nytt protokoll klickar du bara på +, definierar namn och färg och trycker på OK.

Capture> Capture
Med det här alternativet kan vi starta, stoppa eller starta om en paketinsamling

I Alternativet Capture Filters vi kan definiera parametrarna för fångst.

Analysera> Analys
Inom denna meny kan vi skapa filter, redigera filter, aktivera eller inaktivera protokoll, bland andra uppgif.webpter.

Vi kan distribuera Alternativet Visa filter att observera och vid behov ändra de aktuella filtren.

Om vi ​​vill lägga till fler filter trycker vi på knappen +, om vi vill ta bort ett filter trycker vi på knappen -. Vi kan analysera den fullständiga listan över alla aktiverade protokoll med alternativet Aktiverade protokoll eller med tangentkombinationen:

Ctrl + Skift + E

FÖRSTORA

Där observerar vi protokollet och dess beskrivning.

Statistik> Statistik
Det är kanske en av de mest kompletta menyerna sedan vi därifrån kan göra rapporter, grafer och andra verktyg för att se paketstatus.

Som vi kan se har vi flera alternativ för att se dess statistik, till exempel ska vi skapa en in- och utdata I / O -diagram.

I grafen kan vi skapa inställningar som linjens färg, frekvensintervall, specifik dag, etc. Om vi ​​väljer alternativet Fånga filegenskaper Vi kommer att se egenskaperna för fångningsfilerna, till exempel deras storlek, typen av kryptering, det första och det sista paketet, bland andra detaljer.

Om du väljer alternativet IPv4 -statistik och vi väljer Alla adresser Vi kommer att se följande detaljerade rapport:

Om vi ​​vill se beteendet hos TCP -streaming vi kan använda alternativet TCP Stream Graphs och välj typ av graf ser vi följande:

I Skriv Snabbflik vi kan ändra graftypen. Med tillval Protokollhierarki Vi kan se detaljerade paket som skickats, storleken etc.

Telefoni> Telefoni
I det här alternativet kan vi analysera allt som rör protokollen som är associerade med telefonmedlen (när vi använder detta medel) kan vi se information som:

  • UCP -meddelanden
  • ISUP -meddelanden
  • SIP -statistik etc.

Vi kan öppna något av dessa alternativ men eftersom vi inte arbetar med telefonprotokoll blir resultatet noll (0).

Trådlös
I denna meny hittar vi information relaterad till Trådlösa enheter ihopkopplade med Wireshark (till exempel när vi arbetar med en bärbar dator, mobil etc.)

Precis som i denna studie arbetar vi mer med LAN -nätverket (inte med WiFi) alla alternativ i den här menyn kommer att visas som noll eller tomma.

Verktyg> Verktyg
I den här menyn hittar vi allt som rör LUA -app, detta är en konsol som tillåter utvecklare att skapa skript för att förbättra eller utöka applikationer.

Hjälp> Hjälp
Från den här menyn kan vi komma åt Wireshark -hjälp, se skärmar om hur du kör den, bla bland annat på företagets webbplats. Vi kan inse det med alternativet Om Wireshark Vi kan se kortkommandon som ingår i det, detta kan hjälpa oss att påskynda vissa processer.

Till exempel, när vi använder filter måste vi tänka på att vi kan använda vissa parametrar som:

  • Lika med: eq eller ==
  • Inte det samma: ne eller! =
  • Större än: gt eller>
  • Mindre än: lt eller <
  • Större än eller lika med: ge eller> =
  • Mindre än eller lika: honom eller <=

Vi kan köra en sökning med följande syntax: 

 tcp innehåller "solvetic.com"
När det gäller protokollen kan vi nämna att följande är de vanligaste och med några av deras tillägg:
  • ssl > SSL (Socket Secure Layer) -protokoll.
  • telnet > Telnet.
  • dns > DNS. (Domännamnssystem)
  • msnms > Instant Messaging (Messenger).
  • ftp > FTP -protokoll (vi kunde se användarnamn och lösenord).
  • ftp-data > Gör det möjligt att visa FTP -protokolldata.
  • ip > IP -protokoll.
  • ip.src == 192.168.1.10 > Käll -IP -adress.
  • ip.dst == 192.168.1.30 > Destinationens IP -adress.
  • tcp > TCP -protokoll
  • tcp.port == 80 > Vi anger paketen med önskad port.
  • tcp.srcport == 80 > Vi anger ursprungshamnen.
  • tcp.dstport == 80 > Vi anger destinationsporten.
  • http > HTTP -protokoll
  • http.host == ”www.solvetic.com” > Vi vill se paketen som har Solvetic som värd.
  • http.date == "Ons, 25 maj 2016 17:08:35 GMT" > Paket angående ett datum
  • http.content_type == ”application / json” > Typ av ansökan kan variera
  • http.content_type == ”bild / png” > PNG -bilder
  • http.content_type == ”bild / gif.webp” > GIF.webp -bilder
  • http.content_type == ”image / jpeg.webp” > JPEG.webp -bilder
  • http.content_type == ”text / html” > HTML -filer
  • http.content_type == "text / css" > CSS -stilark
  • http.content_type == ”video / quicktime” > Videor
  • http.content_type == ”application / zip” > ZIP -filer
  • http.request.method == ”GET” > Hämta begäran typ
  • http.request.method == ”POST” > Typ av POST -begäran
  • http.user_agent innehåller "Mozilla" > Mozilla webbläsare
  • http.request.uri matchar "[0-9]" > Användning av reguljära uttryck.

Vi kan se den stora omfattningen vi har med Wireshark för att övervaka vår pakettrafik, ett enkelt exempel att avsluta, vi öppnar Solvetic -webbplatsen.

Vi kan se i Wireshark (Filtrering med DNS) den fråga vi just gjort (Öppna Solvetic -webbsidan).

FÖRSTORA

Om vi ​​dubbelklickar på den raden kan vi se mer detaljerad information om rutten:

Vi kommer att kunna se detaljer som gränssnitts -id, ungefärlig ankomsttid för begäran, typ av nätverkskort av både ursprung och destination, etc.

Vi ser att vi har ett mycket värdefullt (och gratis) verktyg till vårt förfogande som gör det möjligt för oss som administratörer utföra konstant övervakning av all nätverkstrafik att garantera kommunikationskvaliteten och korrekt och säker leverans av all information.

Fixa DNS på Windows, Linux och Mac

Du kommer att bidra till utvecklingen av webbplatsen, dela sidan med dina vänner

wave wave wave wave wave

Populära Inlägg

wave
1
post-title
Använd MOD_DEFLATE för att komprimera webbinnehåll från APACHE
2
post-title
▷ Hur vet jag från vilken enhet de kom in på min Instagram
3
post-title
Så här aktiverar eller inaktiverar du Windows Sandbox i Windows 10
4
post-title
Hur man visar och organiserar foton på macOS Sierra -kartan
5
post-title
▷ Se tid på Windows 10 PC - CMD, PowerShell och Meny

Rekommenderas

wave
- Sponsored Ad -

Redaktionen

wave
- Sponsored Ad -