Захват, фильтрация и анализ пакетов в Wireshark

Захват, фильтрация и анализ пакетов в Wireshark

Wireshark, сетевой аналитический инструмент, ранее известный как Ethereal, захватывает пакеты в режиме реального времени и выводит их на экран в «человекочитаемом» формате. Wireshark содержит фильтры, цветовое кодирование и другие функции, которые позволяют Вам внедриться глубоко в сетевой трафик и осмотреть отдельные пакеты.

Это учебное руководство научит Вас быстрым основам захвата пакетов, фильтрации их, их анализа с помощью программы Wireshark. Вы сможете анализировать с помощью программы Wireshark сетевой трафик подозрительных программ, анализировать трафик в Вашей сети или решать сетевые проблемы.

Скачиваем Wireshark

Вы можете скачать Wireshark для Windows или Mac OS X с официального сайта. Если вы используете Linux или другую Unix-подобную систему, скорее всего Wireshark уже присутствует в репозитории Вашего дистрибутива. К примеру, если Вы используете Ubuntu, вы найдете Wireshark в Ubuntu Software Center.

Небольшое предупреждение: многие организации запрещают использовать программу Wireshark и подобные ей программы сканирования сети в своей сети. Не используйте систему на работе, если не обладаете достаточными полномочиями.

Захват пакетов программой Wireshark

После скачивания и установки Wireshark, вы можете запустить его и кликнуть на сетевом устройстве которое Вас интересует, выбрав его из перечня сетевых интерфейсов. Например, если Вы хотите захватить сетевой трафик беспроводной сети программой Wireshark? кликните на своем беспроводном интерфейсе. Вы можете так же перейти в продвинутые настройки захвата сетевого трафика, но этот пункт будет рассмотрен в другой статье.

Выбор сетевого устройства в программе Wireshark

После того, как Вы кликните на имени сетевого интерфейса, вы увидите пакеты, передаваемые по нему, в реальном времени. Wireshark захватывает каждый сетевой пакет отправляемый системой или системе. Если вы захватываете трафик беспроводной сети и включили мод «promiscuous» (мод неразборчивого режима), вы так же увидите и другие пакеты сети.

Захват беспроводной сети программой Wireshark

Нажмите на кнопку остановки захвата в верхнем левом углу окна когда заходите остановить захват сетевого трафика в Wireshark.

Остановить захват трафика в программе Wireshark

Цветное кодирование трафика в программе Wireshark

Вы скорее всего видите пакеты подсвеченными в зеленый, синий, черный цвет. Wireshark использует цвета, для упрощения идентификации типов трафика в списке. По-умолчанию трафик TCP — зеленый, темно-синый — DNS-трафик, светло-голубой — трафик UDP, а черным выделен TCP трафик с проблемными пакетами, например такой, который отправлен с ошибочным получателем.

Выделение различного трафика различными цветами в Wireshark

Примеры захватов трафика из Wiki Wireshark

Если в вашей сети нет ничего интересного для сканирования, Wireshark  Wiki вас спасет. Wiki содержит файлы с примерами захвата сетевого трафика, которые вы можете загрузить и проинспектировать.

Открыть файл захвата в программе Wireshark просто, для этого нажмите «Открыть» в окне главного меню и выбрать файл. Вы можете сохранить и открыть позже и собственные файлы захвата трафика.

Открытие файла захвата трафика в программе Wireshark

Фильтрация пакетов в программе Wireshark

Если вы когда либо попробуете проанализировать сетевой трафик, такой как трафик программы, звонящей домой, фильтрация пакетов поможет вам выделить трафик только этой программы из этого массива. Наконец всегда, когда у вас будет большое количество пакетов в списке — фильтры Wireshark придут вам на помощь.

Простейший способ применения фильтра — ввод его в текстовое поле вверху и применение по нажатию на Enter. К примеру — наберите «dns» и вы выделите со списка все DNS пакеты. Кстати, когда вы начнете набирать фильтр — Wireshark поможет Вам с автозавершением названия фильтра, что очень удобно.

Быстрые фильтры пакетов в Wireshark

Вы так же можете кликнуть на меню анализа и выбрать «Display Filters» для создания нового фильтра.

Создание нового фильтра пакетов в Wireshark

Другой интересной возможностью Wireshark является возможность просмотреть содержимое пакета, кликнув правой кнопкой мыши и выбрав «Follow TCP Stream».

Просмотр содержимого сетевого пакета в Wireshark

Так вы увидите весь «разговор» между сервером и клиентом по выбранному протоколу.

Расшифрованный протокол в Wireshark

Закройте окно и вы увидите, что ваш фильтр принят автоматически — Wireshark покажет все пакеты, участвующие в этом общении сервера и клиента.

Выделение сетевых пакетов в Wireshark

Анализ сетевых пакетов с помощью Wireshark

По клику на пакете из списка вы увидите снизу описание пакета и его содержимое.

Просмотр пакета в Wireshark

С этого места так же можно создать фильтр — выделите какую-то деталь и нажмите применить в качестве фильтра для создания фильтра и применения его.

Создание фильтра из деталей пакета Wireshark


Wireshark — экстремально мощная программа, и эта статья просто камешек в горе возможностей этой программы. Профессионалы используют эту программу для наладки сетевого стека своих программ, анализа сетевой безопасности и прочего…

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*
*
Website