Internet

Cum să citiți pachetele în Wireshark

Pentru mulți experți IT, Wireshark este instrumentul de bază pentru analiza pachetelor de rețea. Software-ul open-source vă permite să examinați îndeaproape datele adunate și să determinați rădăcina problemei cu o precizie îmbunătățită. În plus, Wireshark funcționează în timp real și folosește codificarea culorilor pentru a afișa pachetele capturate, printre alte mecanisme ingenioase.

Cum să citiți pachetele în Wireshark

În acest tutorial, vom explica cum să capturați, citiți și filtrați pachetele folosind Wireshark. Mai jos, veți găsi instrucțiuni pas cu pas și defalcări ale funcțiilor de bază de analiză a rețelei. Odată ce stăpânești acești pași fundamentali, vei putea inspecta fluxul de trafic al rețelei tale și vei remedia problemele cu mai multă eficiență.

Analizarea pachetelor

Odată ce pachetele sunt capturate, Wireshark le organizează într-un panou cu listă de pachete detaliată, care este incredibil de ușor de citit. Dacă doriți să accesați informațiile referitoare la un singur pachet, tot ce trebuie să faceți este să îl localizați în listă și să dați clic. De asemenea, puteți extinde și mai mult arborele pentru a accesa detaliile fiecărui protocol conținut în pachet.

Pentru o imagine de ansamblu mai cuprinzătoare, puteți afișa fiecare pachet capturat într-o fereastră separată. Iată cum:

  1. Selectați pachetul din listă cu cursorul, apoi faceți clic dreapta.

  2. Deschideți fila „Vizualizare” din bara de instrumente de mai sus.

  3. Selectați „Afișați pachetul în fereastră nouă” din meniul derulant.

Notă: este mult mai ușor să comparați pachetele capturate dacă le afișați în ferestre separate.

După cum am menționat, Wireshark folosește un sistem de codare a culorilor pentru vizualizarea datelor. Fiecare pachet este marcat cu o culoare diferită care reprezintă diferite tipuri de trafic. De exemplu, traficul TCP este de obicei evidențiat cu albastru, în timp ce negru este folosit pentru a indica pachetele care conțin erori.

Desigur, nu trebuie să memorați semnificația din spatele fiecărei culori. În schimb, puteți verifica la fața locului:

  1. Faceți clic dreapta pe pachetul pe care doriți să îl examinați.

  2. Selectați fila „Vizualizare” din bara de instrumente din partea de sus a ecranului.

  3. Alegeți „Reguli de colorare” din panoul derulant.

Veți vedea opțiunea de a personaliza colorarea după bunul plac. Cu toate acestea, dacă doriți să schimbați doar temporar regulile de colorare, urmați acești pași:

  1. Faceți clic dreapta pe pachet în panoul listei de pachete.
  2. Din lista de opțiuni, selectați „Colorați cu filtru”.

  3. Alegeți culoarea cu care doriți să o etichetați.

Număr

Panoul cu lista de pachete vă va afișa numărul exact de biți de date capturați. Deoarece pachetele sunt organizate în mai multe coloane, este destul de ușor de interpretat. Categoriile implicite sunt:

  • Nr. (Număr): După cum sa menționat, puteți găsi numărul exact de pachete capturate în această coloană. Cifrele vor rămâne aceleași chiar și după filtrarea datelor.
  • Ora: După cum probabil ați ghicit, marca de timp a pachetului este afișată aici.
  • Sursa: Arată de unde provine pachetul.
  • Destinație: arată locul unde va fi păstrat pachetul.
  • Protocol: Afișează numele protocolului, de obicei într-o abreviere.
  • Lungime: arată numărul de octeți conținut în pachetul capturat.
  • Informații: coloana include orice informații suplimentare despre un anumit pachet.

Timp

Pe măsură ce Wireshark analizează traficul de rețea, fiecare pachet capturat este marcat cu ora. Marcajele de timp sunt apoi incluse în panoul listei de pachete și disponibile pentru inspecție ulterioară.

Wireshark nu creează marcajele de timp în sine. În schimb, instrumentul de analiză le obține din biblioteca Npcap. Cu toate acestea, sursa marcajului de timp este de fapt nucleul. De aceea, acuratețea marcajului de timp poate varia de la fișier la fișier.

Puteți alege formatul în care vor fi afișate marcajele de timp în lista de pachete. În plus, puteți seta precizia preferată sau numărul de zecimale care sunt afișate. În afară de setarea implicită de precizie, există și:

  • secunde
  • Zecimi de secundă
  • Sutimi de secundă
  • Milisecunde
  • Microsecunde
  • Nanosecunde

Sursă

După cum sugerează și numele, sursa pachetului este locul de origine. Dacă doriți să obțineți codul sursă al unui depozit Wireshark, îl puteți descărca folosind un client Git. Cu toate acestea, metoda necesită să aveți un cont GitLab. Este posibil să o faceți fără unul, dar este mai bine să vă înscrieți pentru orice eventualitate.

După ce ați înregistrat un cont, urmați acești pași:

  1. Asigurați-vă că Git este funcțional folosind această comandă: „$ git -–versiune.

  2. Verificați de două ori dacă adresa dvs. de e-mail și numele de utilizator sunt configurate.
  3. Apoi, faceți o clonă a sursei Workshark. Folosește "$ git clone -o upstream [email protected] :wireshark/wireshark.git” URL SSH pentru a face copia.
  4. Dacă nu aveți un cont GitLab, încercați adresa URL HTTPS: „$ git clone -o în amonte //gitlab.com/wireshark/wireshark.git.

Toate sursele vor fi ulterior copiate pe dispozitivul dvs. Rețineți că clonarea poate dura ceva timp, mai ales dacă aveți o conexiune la rețea lenta.

Destinaţie

Dacă doriți să aflați adresa IP a destinației unui anumit pachet, puteți utiliza filtrul de afișare pentru a o localiza. Iată cum:

  1. Introduce "ip.addr == 8.8.8.8” în „Cutia de filtrare” Wireshark. Apoi, faceți clic pe „Enter”.

  2. Panoul listei de pachete va fi reconfigurat doar pentru a afișa destinația pachetului. Găsiți adresa IP care vă interesează derulând prin listă.

  3. După ce ați terminat, selectați „Ștergeți” din bara de instrumente pentru a reconfigura panoul listei de pachete.

Protocol

Un protocol este un ghid care determină transmisia de date între diferite dispozitive care sunt conectate la aceeași rețea. Fiecare pachet Wireshark conține un protocol și îl puteți afișa folosind filtrul de afișare. Iată cum:

  1. În partea de sus a ferestrei Wireshark, faceți clic pe caseta de dialog „Filtru”.
  2. Introduceți numele protocolului pe care doriți să îl examinați. De obicei, titlurile de protocol sunt scrise cu litere mici.
  3. Faceți clic pe „Enter” sau „Apply” pentru a activa filtrul de afișare.

Lungime

Lungimea unui pachet Wireshark este determinată de numărul de octeți capturați în fragmentul respectiv de rețea. Acest număr corespunde de obicei cu numărul de octeți de date brute listat în partea de jos a ferestrei Wireshark.

Dacă doriți să examinați distribuția lungimii, deschideți fereastra „Lungimi pachet”. Toate informațiile sunt împărțite în următoarele coloane:

  • Lungimile pachetelor
  • Numara
  • In medie
  • Val. min./Val. max
  • Rată
  • La sută
  • Rata de explozie
  • Pornire în explozie

Info

Dacă există anomalii sau elemente similare într-un anumit pachet capturat, Wireshark le va nota. Informațiile vor fi apoi afișate în panoul cu liste de pachete pentru o examinare ulterioară. În acest fel, veți avea o imagine clară a comportamentului atipic al rețelei, care va duce la reacții mai rapide.

Întrebări frecvente suplimentare

Cum pot filtra pachetele de date?

Filtrarea este o caracteristică eficientă care vă permite să analizați specificul unei anumite secvențe de date. Există două tipuri de filtre Wireshark: captură și afișare. Filtrele de captare sunt disponibile pentru a restricționa capturarea pachetelor pentru a se potrivi cerințelor specifice. Cu alte cuvinte, puteți parcurge diferite tipuri de trafic prin aplicarea unui filtru de captură. După cum sugerează și numele, filtrele de afișare vă permit să vă concentrați asupra unui anumit element al pachetului, de la lungimea pachetului la protocol.

Aplicarea unui filtru este un proces destul de simplu. Puteți introduce titlul filtrului în caseta de dialog din partea de sus a ferestrei Wireshark. În plus, software-ul va completa de obicei automat numele filtrului.

Alternativ, dacă doriți să parcurgeți filtrele Wireshark implicite, faceți următoarele:

1. Deschideți fila „Analiză” din bara de instrumente din partea de sus a ferestrei Wireshark.

2. Din lista derulantă, selectați „Filtru de afișare”.

3. Răsfoiți lista și faceți clic pe cea pe care doriți să o aplicați.

În cele din urmă, iată câteva filtre Wireshark comune care pot fi utile:

• Pentru a vizualiza numai adresa IP sursă și destinație, utilizați: „ip.src==adresa-IP și ip.dst==adresa-IP

• Pentru a vizualiza numai traficul SMTP, tastați: „tcp.port eq 25

• Pentru a capta tot traficul de subrețea, aplicați: „net 192.168.0.0/24

• Pentru a captura totul, cu excepția traficului ARP și DNS, utilizați: „port nu 53 si nu arp

Cum capturez pachetele de date în Wireshark?

După ce ați descărcat Wireshark pe dispozitiv, puteți începe să vă monitorizați conexiunea la rețea. Pentru a captura pachete de date pentru o analiză cuprinzătoare, iată ce trebuie să faceți:

1. Lansați Wireshark. Veți vedea o listă de rețele disponibile, așa că faceți clic pe cea pe care doriți să o examinați. De asemenea, puteți aplica un filtru de captură dacă doriți să identificați tipul de trafic.

2. Dacă doriți să inspectați mai multe rețele, utilizați controlul „shift + clic stânga”.

3. Apoi, faceți clic pe pictograma înotătoare de rechin din extrema stângă din bara de instrumente de mai sus.

4. De asemenea, puteți începe captura făcând clic pe fila „Captură” și selectând „Start” din lista derulantă.

5. O altă modalitate de a face acest lucru este să utilizați apăsarea tastei „Control – E”.

Pe măsură ce software-ul preia datele, veți vedea că acestea apar în panoul listei de pachete în timp real.

Shark Byte

În timp ce Wireshark este un analizor de rețea foarte avansat, este surprinzător de ușor de interpretat. Panoul listei de pachete este extrem de cuprinzător și bine organizat. Toate informațiile sunt distribuite în șapte culori diferite și marcate cu coduri de culoare clare.

În plus, software-ul open-source vine cu o mulțime de filtre ușor de aplicat care facilitează monitorizarea. Prin activarea unui filtru de captură, puteți identifica tipul de trafic pe care doriți să îl analizeze Wireshark. Și odată ce datele sunt preluate, puteți aplica mai multe filtre de afișare pentru căutările specificate. Una peste alta, este un mecanism extrem de eficient, care nu este prea greu de stăpânit.

Folosiți Wireshark pentru analiza rețelei? Ce parere aveti de functia de filtrare? Spuneți-ne în comentariile de mai jos dacă există o funcție utilă de analiză a pachetelor pe care am omis-o.

Postări recente

Cum să resetați o parolă pentru Peacock TV
Divertisment

Cum să resetați o parolă pentru Peacock TV

Cum se schimbă culoarea textului în Pixlr
Gadget-uri

Cum se schimbă culoarea textului în Pixlr

$config[zx-auto] not found$config[zx-overlay] not found