Wiresharkin käyttäminen pakettien sieppaamiseen, suodattamiseen ja tarkastamiseen
Wireshark, verkkoanalyysityökalu, joka tunnetaan aiemmin nimellä Ethereal, tallentaa paketteja reaaliajassa ja näyttää ne ihmisen luettavassa muodossa. Wireshark sisältää suodattimia, värikoodeja ja muita ominaisuuksia, joiden avulla voit kaivaa syvälle verkkoliikenteeseen ja tarkastaa yksittäisiä paketteja.
Tämä opetusohjelma auttaa sinua nopeuttamaan pakettien tallentamisen perusteet, suodattamalla ne ja tarkastamalla ne. Wiresharkin avulla voit tarkistaa epäilyttävän ohjelman verkkoliikenteen, analysoida verkkosi liikennevirtaa tai ratkaista verkko-ongelmia.
Getting Wireshark
Voit ladata Wireshark for Windows tai macOS viralliselta verkkosivustolta. Jos käytät Linuxia tai muuta UNIX-tyyppistä järjestelmää, löydät todennäköisesti Wiresharkin pakettivarastoistaan. Jos esimerkiksi käytät Ubuntua, löydät Wiresharkin Ubuntu Software Centeristä.
Vain nopea varoitus: Monet organisaatiot eivät salli Wiresharkia ja vastaavia työkaluja verkkoissaan. Älä käytä tätä työkalua työssä, ellei sinulla ole lupaa.
Pakettien sieppaaminen
Kun olet ladannut ja asentanut Wiresharkin, voit käynnistää sen ja kaksoisnapsauttaa verkkokortin nimeä Capture-ohjelman alla, jotta voit aloittaa pakettien sieppaamisen kyseisellä rajapinnalla. Jos esimerkiksi haluat kaapata langattoman verkon liikennettä, napsauta langatonta käyttöliittymääsi. Voit määrittää lisäominaisuuksia napsauttamalla Tallenna> Asetukset, mutta tämä ei ole välttämätöntä.
Kun napsautat käyttöliittymän nimeä, paketit alkavat näkyä reaaliajassa. Wireshark tallentaa jokaisen paketin, joka lähetetään järjestelmään tai järjestelmästäsi.
Jos sinulla on lupaava tila, se on oletusarvoisesti käytössä - näet myös kaikki muut verkon paketit vain verkkosovittimelle osoitettujen pakettien sijasta. Jos haluat tarkistaa, onko pelkistetty tila käytössä, napsauta Capture> Options ja tarkista, että "Ennen kuin sallit pelkkä tila kaikilla rajapinnoilla" -valintaruutu on aktivoitu tämän ikkunan alaosassa.
Napsauta punaista “Stop” -painiketta ikkunan vasemmassa yläkulmassa, kun haluat lopettaa liikenteen.
Värikoodaus
Näet todennäköisesti paketteja, jotka on korostettu useilla eri väreillä. Wireshark käyttää värejä, joiden avulla voit tunnistaa liikennetyypit yhdellä silmäyksellä. Oletuksena valo violetti on TCP-liikenne, vaaleansininen on UDP-liikenne, ja musta tunnistaa paketit, joissa on virheitä, esimerkiksi ne olisi voitu toimittaa pois tilauksesta.
Voit tarkastella värikoodien tarkkuutta napsauttamalla Näytä> Värityssäännöt. Voit myös muokata ja muokata väritysohjeita täältä, jos haluat.
Näytteenotto
Jos omalla verkostossasi ei ole mitään mielenkiintoista tarkastaa, Wiresharkin wiki on katsonut. Wiki sisältää sivun, jossa on otettavia tiedostoja, joita voit ladata ja tarkastaa. Valitse Tiedosto> Avaa Wiresharkissa ja selaa ladatun tiedoston avaamiseen.
Voit myös tallentaa omia otoksiasi Wiresharkissa ja avata ne myöhemmin. Tallenna tiedostot valitsemalla Tiedosto> Tallenna.
Suodatuspaketit
Jos yrität tarkistaa jotain erityistä, kuten liikennettä, jonka ohjelma lähettää kotona, se auttaa sulkemaan kaikki muut verkkoa käyttävät sovellukset, jotta voit kaventaa liikennettä. Silti sinulla on todennäköisesti suuri määrä paketteja, jotta voit siivilöidä. Siellä tulevat Wiresharkin suodattimet.
Perusmenetelmä suodattimen käyttämiseen on kirjoittamalla se ikkunan yläosassa olevaan suodatinlaatikkoon ja napsauttamalla Käytä (tai painamalla Enter). Kirjoita esimerkiksi “dns” ja näet vain DNS-paketit. Kun aloitat kirjoittamisen, Wireshark auttaa sinua täydentämään suodatinta.
Voit myös valita Analysoi> Näyttösuodattimet ja valita suodattimen Wiresharkin sisältämistä oletussuodattimista. Täältä voit lisätä omia mukautettuja suodattimia ja tallentaa ne helposti niihin tulevaisuudessa.
Lisätietoja Wiresharkin näytön suodatuskielestä on Building Wireshark -asiakirjojen sivulla..
Toinen mielenkiintoinen asia, jota voit tehdä, on napsauttaa pakettia hiiren kakkospainikkeella ja valitse Seuraa> TCP-virta.
Näet koko TCP-keskustelun asiakkaan ja palvelimen välillä. Voit myös napsauttaa muita protokollia Seuraa-valikossa nähdäksesi täydelliset keskustelut muista protokollista, jos sellaisia on.
Sulje ikkuna ja löydät suodattimen automaattisesti. Wireshark näyttää sinulle keskustelun muodostavat paketit.
Tarkastavat paketit
Valitse paketti napsauttamalla sitä ja voit kaivaa alaspäin nähdäksesi sen tiedot.
Voit myös luoda suodattimia täältä - napsauta hiiren kakkospainikkeella jotakin yksityiskohtaa ja käytä Käytä suodatinta -alivalikkoa, jos haluat luoda siihen perustuvan suodattimen.
Wireshark on erittäin tehokas työkalu, ja tämä opetusohjelma vain naarmuttaa sen, mitä voit tehdä sen kanssa. Ammattilaiset käyttävät sitä verkkoprotokollan toteutusten vianmääritykseen, turvallisuusongelmien tutkimiseen ja verkkoprotokollan sisäisten tarkastusten tarkastamiseen.
Yksityiskohtaisempia tietoja on Wiresharkin virallisessa käyttöoppaassa ja muissa Wiresharkin verkkosivuilla.