Για πολλούς ειδικούς στον τομέα της πληροφορικής, το Wireshark είναι το βασικό εργαλείο για την ανάλυση πακέτων δικτύου. Το λογισμικό ανοιχτού κώδικα σάς δίνει τη δυνατότητα να εξετάσετε προσεκτικά τα συγκεντρωμένα δεδομένα και να προσδιορίσετε τη ρίζα του προβλήματος με βελτιωμένη ακρίβεια. Επιπλέον, το Wireshark λειτουργεί σε πραγματικό χρόνο και χρησιμοποιεί χρωματική κωδικοποίηση για την εμφάνιση των συλλεγόμενων πακέτων, μεταξύ άλλων έξυπνων μηχανισμών.
Σε αυτό το σεμινάριο, θα εξηγήσουμε πώς να συλλάβετε, να διαβάσετε και να φιλτράρετε πακέτα χρησιμοποιώντας το Wireshark. Παρακάτω, θα βρείτε οδηγίες βήμα προς βήμα και αναλύσεις των βασικών λειτουργιών ανάλυσης δικτύου. Μόλις κατακτήσετε αυτά τα βασικά βήματα, θα μπορείτε να επιθεωρήσετε τη ροή κυκλοφορίας του δικτύου σας και να αντιμετωπίσετε προβλήματα με μεγαλύτερη αποτελεσματικότητα.
Ανάλυση πακέτων
Μόλις συλληφθούν τα πακέτα, το Wireshark τα οργανώνει σε ένα παράθυρο λεπτομερούς λίστας πακέτων που είναι απίστευτα εύκολο στην ανάγνωση. Εάν θέλετε να αποκτήσετε πρόσβαση στις πληροφορίες σχετικά με ένα μόνο πακέτο, το μόνο που έχετε να κάνετε είναι να το εντοπίσετε στη λίστα και να κάνετε κλικ. Μπορείτε επίσης να επεκτείνετε περαιτέρω το δέντρο για να αποκτήσετε πρόσβαση στις λεπτομέρειες κάθε πρωτοκόλλου που περιέχεται στο πακέτο.
Για μια πιο ολοκληρωμένη επισκόπηση, μπορείτε να εμφανίσετε κάθε πακέτο που έχετε καταγράψει σε ξεχωριστό παράθυρο. Να πώς:
- Επιλέξτε το πακέτο από τη λίστα με τον δρομέα σας και, στη συνέχεια, κάντε δεξί κλικ.
- Ανοίξτε την καρτέλα "Προβολή" από τη γραμμή εργαλείων παραπάνω.
- Επιλέξτε "Εμφάνιση πακέτου σε νέο παράθυρο" από το αναπτυσσόμενο μενού.
Σημείωση: Είναι πολύ πιο εύκολο να συγκρίνετε τα πακέτα που έχετε καταγράψει εάν τα εμφανίσετε σε ξεχωριστά παράθυρα.
Όπως αναφέρθηκε, το Wireshark χρησιμοποιεί ένα σύστημα χρωματικής κωδικοποίησης για την οπτικοποίηση δεδομένων. Κάθε πακέτο επισημαίνεται με διαφορετικό χρώμα που αντιπροσωπεύει διαφορετικούς τύπους κίνησης. Για παράδειγμα, η κυκλοφορία TCP συνήθως επισημαίνεται με μπλε, ενώ το μαύρο χρησιμοποιείται για να υποδείξει πακέτα που περιέχουν σφάλματα.
Φυσικά, δεν χρειάζεται να απομνημονεύσετε το νόημα πίσω από κάθε χρώμα. Αντίθετα, μπορείτε να ελέγξετε επιτόπου:
- Κάντε δεξί κλικ στο πακέτο που θέλετε να εξετάσετε.
- Επιλέξτε την καρτέλα "Προβολή" από τη γραμμή εργαλείων στο επάνω μέρος της οθόνης.
- Επιλέξτε "Κανόνες χρωματισμού" από τον αναπτυσσόμενο πίνακα.
Θα δείτε την επιλογή να προσαρμόσετε τον χρωματισμό σύμφωνα με τις προτιμήσεις σας. Ωστόσο, εάν θέλετε να αλλάξετε μόνο προσωρινά τους κανόνες χρωματισμού, ακολουθήστε αυτά τα βήματα:
- Κάντε δεξί κλικ στο πακέτο στο παράθυρο λίστας πακέτων.
- Από τη λίστα επιλογών, επιλέξτε "Χρωματισμός με φίλτρο".
- Επιλέξτε το χρώμα με το οποίο θέλετε να το επισημάνετε.
Αριθμός
Το παράθυρο λίστας πακέτων θα σας δείξει τον ακριβή αριθμό των συλλεγόμενων bit δεδομένων. Δεδομένου ότι τα πακέτα είναι οργανωμένα σε πολλές στήλες, είναι αρκετά εύκολο να ερμηνευθούν. Οι προεπιλεγμένες κατηγορίες είναι:
- Αρ. (Αριθμός): Όπως αναφέρθηκε, μπορείτε να βρείτε τον ακριβή αριθμό των πακέτων που έχουν συλληφθεί σε αυτή τη στήλη. Τα ψηφία θα παραμείνουν ίδια ακόμα και μετά το φιλτράρισμα των δεδομένων.
- Ώρα: Όπως ίσως έχετε μαντέψει, η χρονική σήμανση του πακέτου εμφανίζεται εδώ.
- Πηγή: Δείχνει από πού προήλθε το πακέτο.
- Προορισμός: Δείχνει το μέρος όπου θα φυλάσσεται το πακέτο.
- Πρωτόκολλο: Εμφανίζει το όνομα του πρωτοκόλλου, συνήθως σε συντομογραφία.
- Μήκος: Δείχνει τον αριθμό των byte που περιέχονται στο συλλεγμένο πακέτο.
- Πληροφορίες: Η στήλη περιλαμβάνει τυχόν πρόσθετες πληροφορίες σχετικά με ένα συγκεκριμένο πακέτο.
χρόνος
Καθώς το Wireshark αναλύει την κίνηση του δικτύου, κάθε πακέτο που καταγράφεται είναι χρονικά σφραγισμένο. Στη συνέχεια, οι χρονικές σημάνσεις περιλαμβάνονται στο παράθυρο λίστας πακέτων και είναι διαθέσιμες για μελλοντική επιθεώρηση.
Το Wireshark δεν δημιουργεί οι ίδιοι τις χρονικές σημάνσεις. Αντίθετα, το εργαλείο αναλυτής τα παίρνει από τη βιβλιοθήκη Npcap. Ωστόσο, η πηγή της χρονικής σφραγίδας είναι στην πραγματικότητα ο πυρήνας. Γι' αυτό η ακρίβεια της χρονικής σφραγίδας μπορεί να διαφέρει από αρχείο σε αρχείο.
Μπορείτε να επιλέξετε τη μορφή με την οποία θα εμφανίζονται οι χρονικές σημάνσεις στη λίστα πακέτων. Επιπλέον, μπορείτε να ορίσετε την προτιμώμενη ακρίβεια ή τον αριθμό των δεκαδικών ψηφίων που εμφανίζονται. Εκτός από την προεπιλεγμένη ρύθμιση ακριβείας, υπάρχουν επίσης:
- Δευτερόλεπτα
- Δέκατα του δευτερολέπτου
- Εκατοντάδες του δευτερολέπτου
- χιλιοστά του δευτερολέπτου
- Μικροδευτερόλεπτα
- Νανοδευτερόλεπτα
Πηγή
Όπως υποδηλώνει το όνομα, η πηγή του πακέτου είναι ο τόπος προέλευσης. Εάν θέλετε να αποκτήσετε τον πηγαίο κώδικα ενός αποθετηρίου Wireshark, μπορείτε να το κατεβάσετε χρησιμοποιώντας έναν πελάτη Git. Ωστόσο, η μέθοδος απαιτεί να έχετε λογαριασμό GitLab. Είναι δυνατό να το κάνετε χωρίς ένα, αλλά είναι καλύτερο να εγγραφείτε για κάθε ενδεχόμενο.
Αφού καταχωρήσετε έναν λογαριασμό, ακολουθήστε τα παρακάτω βήματα:
- Βεβαιωθείτε ότι το Git είναι λειτουργικό χρησιμοποιώντας αυτήν την εντολή:
$ git -- έκδοση.
” - Ελέγξτε ξανά εάν η διεύθυνση email και το όνομα χρήστη σας έχουν διαμορφωθεί.
- Στη συνέχεια, δημιουργήστε έναν κλώνο της πηγής Workshark. Χρησιμοποιήστε το "
$ git clone -o upstream [email protected] :wireshark/wireshark.git
” URL SSH για να κάνετε το αντίγραφο. - Εάν δεν έχετε λογαριασμό GitLab, δοκιμάστε τη διεύθυνση URL HTTPS:
$ git clone -o upstream //gitlab.com/wireshark/wireshark.git.
”
Όλες οι πηγές θα αντιγραφούν στη συνέχεια στη συσκευή σας. Λάβετε υπόψη ότι η κλωνοποίηση μπορεί να διαρκέσει λίγο, ειδικά εάν έχετε υποτονική σύνδεση δικτύου.
Προορισμός
Εάν θέλετε να μάθετε τη διεύθυνση IP του προορισμού ενός συγκεκριμένου πακέτου, μπορείτε να χρησιμοποιήσετε το φίλτρο οθόνης για να το εντοπίσετε. Να πώς:
- Εισαγω "
ip.addr == 8.8.8.8
" στο Wireshark "Filter Box". Στη συνέχεια, κάντε κλικ στο "Enter". - Το παράθυρο λίστας πακέτων θα διαμορφωθεί εκ νέου μόνο για να εμφανίζει τον προορισμό του πακέτου. Βρείτε τη διεύθυνση IP που σας ενδιαφέρει κάνοντας κύλιση στη λίστα.
- Μόλις τελειώσετε, επιλέξτε "Διαγραφή" από τη γραμμή εργαλείων για να διαμορφώσετε εκ νέου το παράθυρο λίστας πακέτων.
Πρωτόκολλο
Ένα πρωτόκολλο είναι μια κατευθυντήρια γραμμή που καθορίζει τη μετάδοση δεδομένων μεταξύ διαφορετικών συσκευών που είναι συνδεδεμένες στο ίδιο δίκτυο. Κάθε πακέτο Wireshark περιέχει ένα πρωτόκολλο και μπορείτε να το εμφανίσετε χρησιμοποιώντας το φίλτρο οθόνης. Να πώς:
- Στο επάνω μέρος του παραθύρου Wireshark, κάντε κλικ στο πλαίσιο διαλόγου «Φίλτρο».
- Εισαγάγετε το όνομα του πρωτοκόλλου που θέλετε να εξετάσετε. Συνήθως, οι τίτλοι πρωτοκόλλου γράφονται με πεζά γράμματα.
- Κάντε κλικ στο "Enter" ή "Apply" για να ενεργοποιήσετε το φίλτρο οθόνης.
Μήκος
Το μήκος ενός πακέτου Wireshark καθορίζεται από τον αριθμό των byte που καταγράφονται σε αυτό το συγκεκριμένο απόσπασμα δικτύου. Αυτός ο αριθμός αντιστοιχεί συνήθως με τον αριθμό των ακατέργαστων byte δεδομένων που αναφέρονται στο κάτω μέρος του παραθύρου του Wireshark.
Εάν θέλετε να εξετάσετε την κατανομή των μηκών, ανοίξτε το παράθυρο «Μήκη πακέτων». Όλες οι πληροφορίες χωρίζονται στις ακόλουθες στήλες:
- Μήκη πακέτων
- μετρώ
- Μέση τιμή
- Min Val/Max Val
- Τιμή
- Τοις εκατό
- Ρυθμός ριπής
- Εκκίνηση ριπής
Πληροφορίες
Εάν υπάρχουν οποιεσδήποτε ανωμαλίες ή παρόμοια στοιχεία σε ένα συγκεκριμένο πακέτο που έχει καταγραφεί, το Wireshark θα το σημειώσει. Στη συνέχεια, οι πληροφορίες θα εμφανιστούν στο παράθυρο της λίστας πακέτων για περαιτέρω εξέταση. Με αυτόν τον τρόπο, θα έχετε μια σαφή εικόνα της άτυπης συμπεριφοράς του δικτύου, η οποία θα οδηγήσει σε ταχύτερες αντιδράσεις.
Πρόσθετες συχνές ερωτήσεις
Πώς μπορώ να φιλτράρω τα δεδομένα πακέτων;
Το φιλτράρισμα είναι μια αποτελεσματική δυνατότητα που σας επιτρέπει να εξετάσετε τις ιδιαιτερότητες μιας συγκεκριμένης ακολουθίας δεδομένων. Υπάρχουν δύο τύποι φίλτρων Wireshark: λήψη και εμφάνιση. Τα φίλτρα καταγραφής υπάρχουν για να περιορίσουν τη σύλληψη πακέτων για να ανταποκρίνονται σε συγκεκριμένες απαιτήσεις. Με άλλα λόγια, μπορείτε να περιηγηθείτε σε διαφορετικούς τύπους κίνησης εφαρμόζοντας ένα φίλτρο λήψης. Όπως υποδηλώνει το όνομα, τα φίλτρα οθόνης σάς επιτρέπουν να ακονίσετε ένα συγκεκριμένο στοιχείο του πακέτου, από το μήκος του πακέτου μέχρι το πρωτόκολλο.
Η εφαρμογή ενός φίλτρου είναι μια αρκετά απλή διαδικασία. Μπορείτε να πληκτρολογήσετε τον τίτλο του φίλτρου στο πλαίσιο διαλόγου στο επάνω μέρος του παραθύρου Wireshark. Επιπλέον, το λογισμικό συνήθως συμπληρώνει αυτόματα το όνομα του φίλτρου.
Εναλλακτικά, εάν θέλετε να χτενίσετε τα προεπιλεγμένα φίλτρα Wireshark, κάντε τα εξής:
1. Ανοίξτε την καρτέλα «Ανάλυση» στη γραμμή εργαλείων στο επάνω μέρος του παραθύρου του Wireshark.
2. Από την αναπτυσσόμενη λίστα, επιλέξτε "Φίλτρο οθόνης".
3. Περιηγηθείτε στη λίστα και κάντε κλικ σε αυτήν που θέλετε να υποβάλετε αίτηση.
Τέλος, εδώ είναι μερικά κοινά φίλτρα Wireshark που μπορούν να σας φανούν χρήσιμα:
• Για να δείτε μόνο τη διεύθυνση IP προέλευσης και προορισμού, χρησιμοποιήστε:ip.src==διεύθυνση IP και ip.dst==διεύθυνση IP
”
• Για να δείτε μόνο την κίνηση SMTP, πληκτρολογήστε:tcp.port eq 25
”
• Για να καταγράψετε όλη την κίνηση υποδικτύου, εφαρμόστε:καθαρά 192.168.0.0/24
”
• Για να καταγράψετε τα πάντα εκτός από την κυκλοφορία ARP και DNS, χρησιμοποιήστε:θύρα όχι 53 και όχι αρπ
”
Πώς μπορώ να καταγράψω τα δεδομένα πακέτων στο Wireshark;
Αφού κατεβάσετε το Wireshark στη συσκευή σας, μπορείτε να αρχίσετε να παρακολουθείτε τη σύνδεση δικτύου σας. Για να συλλάβετε πακέτα δεδομένων για μια ολοκληρωμένη ανάλυση, πρέπει να κάνετε τα εξής:
1. Εκκινήστε το Wireshark. Θα δείτε μια λίστα με τα διαθέσιμα δίκτυα, οπότε κάντε κλικ σε αυτό που θέλετε να εξετάσετε. Μπορείτε επίσης να εφαρμόσετε ένα φίλτρο λήψης εάν θέλετε να προσδιορίσετε με ακρίβεια τον τύπο της επισκεψιμότητας.
2. Εάν θέλετε να επιθεωρήσετε πολλά δίκτυα, χρησιμοποιήστε το στοιχείο ελέγχου "shift + αριστερό κλικ".
3. Στη συνέχεια, κάντε κλικ στο εικονίδιο πτερυγίου καρχαρία στην άκρα αριστερά στη γραμμή εργαλείων παραπάνω.
4. Μπορείτε επίσης να ξεκινήσετε τη λήψη κάνοντας κλικ στην καρτέλα «Λήψη» και επιλέγοντας «Έναρξη» από την αναπτυσσόμενη λίστα.
5. Ένας άλλος τρόπος για να το κάνετε είναι να χρησιμοποιήσετε το πάτημα του πλήκτρου «Control – E».
Καθώς το λογισμικό συλλαμβάνει τα δεδομένα, θα τα δείτε να εμφανίζονται στο παράθυρο λίστας πακέτων σε πραγματικό χρόνο.
Shark Byte
Ενώ το Wireshark είναι ένας εξαιρετικά προηγμένος αναλυτής δικτύου, είναι εκπληκτικά εύκολο να ερμηνευτεί. Το παράθυρο λίστας πακέτων είναι εξαιρετικά περιεκτικό και καλά οργανωμένο. Όλες οι πληροφορίες διανέμονται σε επτά διαφορετικά χρώματα και επισημαίνονται με καθαρούς χρωματικούς κωδικούς.
Επιπλέον, το λογισμικό ανοιχτού κώδικα συνοδεύεται από μια σειρά από εύκολα εφαρμόσιμα φίλτρα που διευκολύνουν την παρακολούθηση. Ενεργοποιώντας ένα φίλτρο λήψης, μπορείτε να προσδιορίσετε με ακρίβεια το είδος της επισκεψιμότητας που θέλετε να αναλύσει το Wireshark. Και μόλις συλληφθούν τα δεδομένα, μπορείτε να εφαρμόσετε πολλά φίλτρα εμφάνισης για συγκεκριμένες αναζητήσεις. Συνολικά, είναι ένας εξαιρετικά αποδοτικός μηχανισμός που δεν είναι πολύ δύσκολο να κυριαρχήσετε.
Χρησιμοποιείτε το Wireshark για ανάλυση δικτύου; Πώς σας φαίνεται η λειτουργία φιλτραρίσματος; Ενημερώστε μας στα παρακάτω σχόλια εάν υπάρχει μια χρήσιμη λειτουργία ανάλυσης πακέτων που παραλείψαμε.