Hur man använder Wireshark: En komplett handledning

Vad att veta

  • Wireshark är ett program med öppen källkod som registrerar och visar data som går fram och tillbaka i ett nätverk.
  • Eftersom det kan gå ner och läsa innehållet i varje paket används det för att felsöka nätverksproblem och testprogram.

Instruktionerna i den här artikeln gäller Wireshark 3.0.3 för Windows och Mac.


Vad är Wireshark?

Ursprungligen känd som Ethereal, visar Wireshark data från hundratals olika protokoll för alla större nätverkstyper. Datapaket kan visas i realtid eller analyseras offline. Wireshark stöder dussintals inspelnings- / spårningsfilformat, inklusive CAP och ERF. Integrerade dekrypteringsverktyg visar de krypterade paketen för flera vanliga protokoll, inklusive WEP och WPA / WPA2.

Hur man laddar ner och installerar Wireshark

Wireshark kan laddas ner utan kostnad från Wireshark Foundation-webbplatsen för både macOS och Windows. Du ser den senaste stabila versionen och den aktuella utvecklingsversionen. Om du inte är en avancerad användare, ladda ner den stabila versionen.

Under installationen av Windows väljer du att installera WinPcap or Npcap om du uppmanas till dessa inkluderar bibliotek som krävs för direkt datafångst.

Du måste vara inloggad på enheten som administratör för att kunna använda Wireshark. I Windows 10, sök efter Wireshark och välj Kör som administratör. Högerklicka på appikonen i macOS och välj Visa info. I Delning och behörigheter inställningar, ge admin Läs & Skriv privilegier.

Applikationen är också tillgänglig för Linux och andra UNIX-liknande plattformar inklusive Red Hat, Solaris och FreeBSD. De binära filer som krävs för dessa operativsystem finns längst ner på Wireshark-hämtningssidan under Tredjepartspaket sektion. Du kan också ladda ner Wiresharks källkod från den här sidan.


Hur man fångar datapaket med Wireshark

När du startar Wireshark visar en välkomstskärm tillgängliga nätverksanslutningar på din nuvarande enhet. Till höger om var och en visas ett EKG-linjediagram som representerar direkttrafik i det nätverket.

Så här börjar du fånga paket med Wireshark:

  1. Välj ett eller flera nätverk, gå till menyraden och välj sedan capture.

    Om du vill välja flera nätverk håller du ned shift när du gör ditt val.

  2. i Wireshark Capture-gränssnitt fönster, välj Start.

    Det finns andra sätt att initiera paketfångst. Välj hajfena på vänster sida av Wireshark-verktygsfältet, tryck påCtrl + E.eller dubbelklicka på nätverket.

  3. Välja Fil > Spara som eller välj en Exportera möjlighet att spela in inspelningen.

  4. Tryck på för att stoppa inspelningen Ctrl + E.. Eller gå till Wireshark-verktygsfältet och välj det röda Sluta knappen som ligger bredvid hajfenan.


Hur man visar och analyserar paketinnehåll

Det fångade datagränssnittet innehåller tre huvudavsnitt:

  • Fönstret för paketlista (det övre avsnittet)
  • Paketdetaljfönstret (mellansektionen)
  • Paketet paketbyte (det nedre avsnittet)

Paketlista

Paketlistan, högst upp i fönstret, visar alla paket som finns i den aktiva inspelningsfilen. Varje paket har sin egen rad och motsvarande nummer tilldelat, tillsammans med var och en av dessa datapunkter:

  • Nej: Det här fältet anger vilka paket som ingår i samma konversation. Det förblir tomt tills du väljer ett paket.
  • Tid: Tidsstämpeln för när paketet fångades visas i den här kolumnen. Standardformatet är antalet sekunder eller partiella sekunder sedan den här specifika inspelningsfilen skapades.
  • källa: Den här kolumnen innehåller adressen (IP eller annat) där paketet har sitt ursprung.
  • Destination: Den här kolumnen innehåller adressen som paketet skickas till.
  • Protokoll: Paketets protokollnamn, såsom TCP, finns i den här kolumnen.
  • Längd: Paketlängden i byte visas i den här kolumnen.
  • Info: Ytterligare detaljer om paketet presenteras här. Innehållet i den här kolumnen kan variera mycket beroende på paketinnehållet.

För att ändra tidsformatet till något mer användbart (till exempel den faktiska tiden på dagen), välj utsikt > Time Display Format.

När ett paket har valts i den övre rutan kanske du märker att en eller flera symboler visas i Nej. kolumn. Öppna eller stängda parenteser och en rak horisontell linje anger om ett paket eller en grupp paket är en del av samma fram och tillbaka-samtal i nätverket. En trasig horisontell linje betyder att ett paket inte ingår i konversationen.

Paketdetaljer

Detaljeringsfönstret, som finns i mitten, visar protokoll och protokollfält för det valda paketet i ett hopfällbart format. Förutom att utöka varje val kan du tillämpa enskilda Wireshark-filter baserat på specifika detaljer och följa dataströmmar baserat på protokolltyp genom att högerklicka på önskat objekt.

Packet Bytes

Längst ner finns rutan paketbyte, som visar rådata för det valda paketet i en hexadecimal vy. Denna hex dump innehåller 16 hexadecimala byte och 16 ASCII byte vid sidan av datakompensationen.

Att välja en specifik del av dessa data markerar automatiskt dess motsvarande avsnitt i paketdetaljfönstret och vice versa. Alla byte som inte kan skrivas ut representeras av en punkt.

För att visa dessa data i bitformat i motsats till hexadecimal, högerklicka var som helst i rutan och välj som bitar.

Hur man använder Wireshark-filter

Fångningsfilter instruerar Wireshark att bara spela in paket som uppfyller angivna kriterier. Filter kan också tillämpas på en inspelningsfil som har skapats så att endast vissa paket visas. Dessa kallas visningsfilter.

Wireshark tillhandahåller ett stort antal fördefinierade filter som standard. För att använda ett av dessa befintliga filter, ange dess namn i Applicera ett displayfilter inmatningsfält under Wireshark-verktygsfältet eller i Ange ett fångstfilter fält mitt i välkomstskärmen.

Om du till exempel vill visa TCP-paket skriver du tcp. Funktionen Wireshark autoslutförande visar föreslagna namn när du börjar skriva, vilket gör det lättare att hitta rätt moniker för det filter du söker.

Ett annat sätt att välja ett filter är att välja bokmärke på vänster sida av inmatningsfältet. Välja Hantera filteruttryck or Hantera displayfilter för att lägga till, ta bort eller redigera filter.

Du kan också komma åt tidigare använda filter genom att välja nedåtpilen till höger om inmatningsfältet för att visa en rullgardinslista med historik.

Fångningsfilter tillämpas så snart du börjar spela in nätverkstrafik. För att använda ett visningsfilter, välj högerpil till höger om inmatningsfältet.

Wireshark Color Rules

Medan Wiresharks infångnings- och visningsfilter begränsar vilka paket som spelas in eller visas på skärmen, tar dess färgfunktion saker ett steg längre: Den kan skilja mellan olika pakettyper baserat på deras individuella nyans. Detta lokaliserar snabbt vissa paket i en sparad uppsättning efter deras radfärg i paketlistan.

Wireshark levereras med cirka 20 standardregleringsregler, var och en kan redigeras, inaktiveras eller raderas. Välj utsikt > Färgregler för en översikt över vad varje färg betyder. Du kan också lägga till dina egna färgbaserade filter.

Välja utsikt > Colorize Packet List för att slå på och av paketfärgning.

Statistik i Wireshark

Andra användbara mätvärden är tillgängliga via Statistik rullgardinsmenyn. Dessa inkluderar storlek och timinginformation om fångningsfilen, tillsammans med dussintals diagram och grafer som sträcker sig från ämnesuppdelningar till paketkonversationer till laddningsfördelning av HTTP-begäranden.

Displayfilter kan tillämpas på många av denna statistik via deras gränssnitt, och resultaten kan exporteras till vanliga filformat, inklusive CSV, XML och TXT.

Wireshark avancerade funktioner

Wireshark stöder också avancerade funktioner, inklusive möjligheten att skriva protokolldissektorer i Lua-programmeringsspråket.

Lämna en kommentar