Захват, фильтрация и анализ пакетов в Wireshark

24.11.2014 0 Автор Jeff

Wireshark, сетевой аналитический инструмент, ранее известный как Ethereal, захватывает пакеты в режиме реального времени и выводит их на экран в «человекочитаемом» формате. Wireshark содержит фильтры, цветовое кодирование и другие функции, которые позволяют Вам внедриться глубоко в сетевой трафик и осмотреть отдельные пакеты.

Это учебное руководство научит Вас быстрым основам захвата пакетов, фильтрации их, их анализа с помощью программы Wireshark. Вы сможете анализировать с помощью программы Wireshark сетевой трафик подозрительных программ, анализировать трафик в Вашей сети или решать сетевые проблемы.

Скачиваем Wireshark

Вы можете скачать Wireshark для Windows или Mac OS X с официального сайта. Если вы используете Linux или другую Unix-подобную систему, скорее всего Wireshark уже присутствует в репозитории Вашего дистрибутива. К примеру, если Вы используете Ubuntu, вы найдете Wireshark в Ubuntu Software Center.

Небольшое предупреждение: многие организации запрещают использовать программу Wireshark и подобные ей программы сканирования сети в своей сети. Не используйте систему на работе, если не обладаете достаточными полномочиями.

Захват пакетов программой Wireshark

После скачивания и установки Wireshark, вы можете запустить его и кликнуть на сетевом устройстве которое Вас интересует, выбрав его из перечня сетевых интерфейсов. Например, если Вы хотите захватить сетевой трафик беспроводной сети программой Wireshark? кликните на своем беспроводном интерфейсе. Вы можете так же перейти в продвинутые настройки захвата сетевого трафика, но этот пункт будет рассмотрен в другой статье.

После того, как Вы кликните на имени сетевого интерфейса, вы увидите пакеты, передаваемые по нему, в реальном времени. Wireshark захватывает каждый сетевой пакет отправляемый системой или системе. Если вы захватываете трафик беспроводной сети и включили мод «promiscuous» (мод неразборчивого режима), вы так же увидите и другие пакеты сети.

Нажмите на кнопку остановки захвата в верхнем левом углу окна когда заходите остановить захват сетевого трафика в Wireshark.

Цветное кодирование трафика в программе Wireshark

Вы скорее всего видите пакеты подсвеченными в зеленый, синий, черный цвет. Wireshark использует цвета, для упрощения идентификации типов трафика в списке. По-умолчанию трафик TCP — зеленый, темно-синый — DNS-трафик, светло-голубой — трафик UDP, а черным выделен TCP трафик с проблемными пакетами, например такой, который отправлен с ошибочным получателем.

Примеры захватов трафика из Wiki Wireshark

Если в вашей сети нет ничего интересного для сканирования, Wireshark Wiki вас спасет. Wiki содержит файлы с примерами захвата сетевого трафика, которые вы можете загрузить и проинспектировать.

Открыть файл захвата в программе Wireshark просто, для этого нажмите «Открыть» в окне главного меню и выбрать файл. Вы можете сохранить и открыть позже и собственные файлы захвата трафика.

Фильтрация пакетов в программе Wireshark

Если вы когда либо попробуете проанализировать сетевой трафик, такой как трафик программы, звонящей домой, фильтрация пакетов поможет вам выделить трафик только этой программы из этого массива. Наконец всегда, когда у вас будет большое количество пакетов в списке — фильтры Wireshark придут вам на помощь.

Простейший способ применения фильтра — ввод его в текстовое поле вверху и применение по нажатию на Enter. К примеру — наберите «dns» и вы выделите со списка все DNS пакеты. Кстати, когда вы начнете набирать фильтр — Wireshark поможет Вам с автозавершением названия фильтра, что очень удобно.

Вы так же можете кликнуть на меню анализа и выбрать «Display Filters» для создания нового фильтра.

Другой интересной возможностью Wireshark является возможность просмотреть содержимое пакета, кликнув правой кнопкой мыши и выбрав «Follow TCP Stream».

Так вы увидите весь «разговор» между сервером и клиентом по выбранному протоколу.

Закройте окно и вы увидите, что ваш фильтр принят автоматически — Wireshark покажет все пакеты, участвующие в этом общении сервера и клиента.

Анализ сетевых пакетов с помощью Wireshark

По клику на пакете из списка вы увидите снизу описание пакета и его содержимое.

С этого места так же можно создать фильтр — выделите какую-то деталь и нажмите применить в качестве фильтра для создания фильтра и применения его.

Wireshark — экстремально мощная программа, и эта статья просто камешек в горе возможностей этой программы. Профессионалы используют эту программу для наладки сетевого стека своих программ, анализа сетевой безопасности и прочего…