Sok IT-szakértő számára a Wireshark a hálózati csomagok elemzéséhez szükséges eszköz. A nyílt forráskódú szoftver lehetővé teszi az összegyűjtött adatok alapos vizsgálatát és a probléma gyökerének pontosabb meghatározását. Ezenkívül a Wireshark valós időben működik, és színkódolást használ a rögzített csomagok megjelenítéséhez, egyéb remek mechanizmusok mellett.
Ebben az oktatóanyagban elmagyarázzuk, hogyan lehet rögzíteni, olvasni és szűrni a csomagokat a Wireshark segítségével. Az alábbiakban lépésről lépésre találja meg az alapvető hálózati elemzési funkciók leírását. Miután elsajátította ezeket az alapvető lépéseket, képes lesz ellenőrizni a hálózat forgalmát, és hatékonyabban tudja elhárítani a problémákat.
Csomagok elemzése
A csomagok rögzítése után a Wireshark egy részletes csomaglista ablaktáblába rendezi őket, amely hihetetlenül könnyen olvasható. Ha egyetlen csomag információit szeretné elérni, csak meg kell keresnie azt a listában, és rá kell kattintania. A fát tovább bővítheti, hogy hozzáférjen a csomagban található egyes protokollok részleteihez.
Az átfogóbb áttekintés érdekében az egyes rögzített csomagokat külön ablakban jelenítheti meg. Itt van, hogyan:
hogyan lehet megosztani a bejegyzést a facebook-on
- Válassza ki a csomagot a listából a kurzorral, majd kattintson a jobb gombbal.
- Nyissa meg a Nézet lapot a fenti eszköztárról.
- Válassza a Csomag megjelenítése új ablakban lehetőséget a legördülő menüből.
Megjegyzés: Sokkal egyszerűbb összehasonlítani a rögzített csomagokat, ha külön ablakban jeleníti meg őket.
Mint említettük, a Wireshark színkódoló rendszert használ az adatok megjelenítéséhez. Minden csomag más-más színnel van megjelölve, ami a forgalom különböző típusait jelzi. Például a TCP forgalmat általában kékkel jelölik, míg a feketét a hibákat tartalmazó csomagok jelzésére használják.
Természetesen nem kell megjegyezni az egyes színek mögött rejlő jelentést. Ehelyett a helyszínen ellenőrizheti:
- Kattintson a jobb gombbal a vizsgálni kívánt csomagra.
- Válassza a Nézet lapot a képernyő tetején található eszköztáron.
- Válassza a Színezési szabályok lehetőséget a legördülő panelen.
Megjelenik a színezés testreszabásának lehetősége. Ha azonban csak ideiglenesen szeretné megváltoztatni a színezési szabályokat, kövesse az alábbi lépéseket:
- Kattintson a jobb gombbal a csomagra a csomaglista panelen.
- A lehetőségek listájából válassza a Színezés szűrővel lehetőséget.
- Válassza ki a színt, amellyel címkézni szeretné.
Szám
A csomaglista ablaktábla megmutatja a rögzített adatbitek pontos számát. Mivel a csomagok több oszlopba vannak rendezve, meglehetősen könnyen értelmezhető. Az alapértelmezett kategóriák a következők:
- No. (Szám): Mint említettük, ebben az oszlopban találhatja meg a rögzített csomagok pontos számát. A számjegyek az adatok szűrése után is változatlanok maradnak.
- Idő: Ahogy azt sejteni lehetett, a csomag időbélyegzője itt jelenik meg.
- Forrás: Megmutatja, honnan származik a csomag.
- Cél: Azt a helyet mutatja, ahol a csomagot tárolni fogják.
- Protokoll: Megjeleníti a protokoll nevét, jellemzően rövidítésben.
- Hossz: A rögzített csomagban található bájtok számát mutatja.
- Info: Az oszlop minden további információt tartalmaz egy adott csomagról.
Idő
Miközben a Wireshark elemzi a hálózati forgalmat, minden rögzített csomagot időbélyeggel látnak el. Az időbélyegek ezután megjelennek a csomaglista panelen, és későbbi ellenőrzés céljából elérhetők.
A Wireshark nem maga hozza létre az időbélyegeket. Ehelyett az elemző eszköz az Npcap könyvtárból szerzi be őket. Az időbélyeg forrása azonban valójában a kernel. Ezért az időbélyeg pontossága fájlonként változhat.
Kiválaszthatja, hogy az időbélyegek milyen formátumban jelenjenek meg a csomaglistában. Ezenkívül beállíthatja a kívánt pontosságot vagy a megjelenítendő tizedesjegyek számát. Az alapértelmezett precíziós beállításon kívül a következők is megtalálhatók:
- Másodpercek
- Tizedmásodperc
- Száz másodperc
- Ezredmásodperc
- Mikroszekundum
- Nanoszekundum
Forrás
Ahogy a neve is sugallja, a csomag forrása a származási hely. Ha egy Wireshark-tárhely forráskódját szeretné megszerezni, egy Git-kliens segítségével töltheti le. A módszerhez azonban szükség van egy GitLab-fiókra. Enélkül is megtehető, de jobb, ha minden esetre bejelentkezik.
Miután regisztrált egy fiókot, kövesse az alábbi lépéseket:
- Győződjön meg arról, hogy a Git működik a következő paranccsal: |_+_|
- Ellenőrizze még egyszer, hogy e-mail címe és felhasználóneve be van-e állítva.
- Ezután készítse el a Workshark forrás klónját. Használja a |_+_| SSH URL a másolat elkészítéséhez.
- Ha nincs GitLab-fiókja, próbálja ki a HTTPS URL-t: |_+_|
Ezt követően az összes forrást átmásoljuk a készülékére. Ne feledje, hogy a klónozás eltarthat egy ideig, különösen, ha lassú a hálózati kapcsolata.
Rendeltetési hely
Ha tudni szeretné egy adott csomag célállomásának IP-címét, akkor a megjelenítési szűrő segítségével megtalálhatja azt. Itt van, hogyan:
- Írja be: |_+_| a Wireshark szűrődobozba. Ezután kattintson az Enter gombra.
- A csomaglista ablaktábla csak a csomag rendeltetési helyének megjelenítéséhez lesz újrakonfigurálva. Keresse meg az Önt érdeklő IP-címet a lista görgetésével.
- Ha végzett, válassza a Törlés lehetőséget az eszköztáron a csomaglista panel újrakonfigurálásához.
Jegyzőkönyv
A protokoll egy olyan irányelv, amely meghatározza az adatátvitelt a különböző, ugyanahhoz a hálózathoz kapcsolódó eszközök között. Minden Wireshark-csomag tartalmaz egy protokollt, amelyet a kijelzőszűrő használatával hozhat létre. Itt van, hogyan:
- A Wireshark ablak tetején kattintson a Szűrő párbeszédpanelre.
- Adja meg a vizsgálni kívánt protokoll nevét. A protokollok címeit általában kisbetűkkel írják.
- Kattintson az Enter vagy az Alkalmaz gombra a megjelenítési szűrő engedélyezéséhez.
Hossz
A Wireshark-csomag hosszát az adott hálózati részletben rögzített bájtok száma határozza meg. Ez a szám általában megegyezik a Wireshark ablak alján felsorolt nyers adatbájtok számával.
Ha szeretné megvizsgálni a hosszúságok eloszlását, nyissa meg a Csomaghosszak ablakot. Minden információ a következő oszlopokra van osztva:
- Csomag hosszak
- Számol
- Átlagos
- Min Val / Max Val
- Mérték
- Százalék
- Burst rate
- Burst start
Info
Ha egy adott rögzített csomagon belül anomáliák vagy hasonló elemek vannak, a Wireshark észreveszi. Az információ ezután megjelenik a csomaglista panelen további vizsgálat céljából. Így tiszta képet kaphat az atipikus hálózati viselkedésről, ami gyorsabb reakciókat eredményez.
További GYIK
Hogyan szűrhetem a csomagadatokat?
A szűrés egy hatékony funkció, amely lehetővé teszi egy adott adatsorozat sajátosságainak megismerését. Kétféle Wireshark szűrő létezik: rögzítés és megjelenítés. A rögzítési szűrők arra szolgálnak, hogy korlátozzák a csomagrögzítést, hogy megfeleljen az adott igényeknek. Más szóval, rögzítési szűrő alkalmazásával átszűrheti a különböző típusú forgalmat. Ahogy a neve is sugallja, a megjelenítési szűrők lehetővé teszik a csomag egy adott elemének pontosítását, a csomag hosszától a protokollig.
A szűrő alkalmazása meglehetősen egyszerű folyamat. A szűrő címét beírhatja a Wireshark ablak tetején lévő párbeszédpanelbe. Ezenkívül a szoftver általában automatikusan kiegészíti a szűrő nevét.
Alternatív megoldásként, ha át akarja fésülni az alapértelmezett Wireshark szűrőket, tegye a következőket:
1. Nyissa meg az Elemzés lapot a Wireshark ablak tetején található eszköztáron.
hogyan blokkolhatok valakit a Google Hangouts-beszélgetéseken
2. A legördülő listából válassza a Megjelenítési szűrő lehetőséget.
3. Böngésszen a listában, és kattintson arra, amelyiket alkalmazni kívánja.
Végül itt van néhány gyakori Wireshark szűrő, amelyek jól jöhetnek:
• Csak a forrás és a cél IP-címének megtekintéséhez használja: |_+_|
• Csak az SMTP-forgalom megtekintéséhez írja be: |_+_|
• A teljes alhálózati forgalom rögzítéséhez alkalmazza: |_+_|
• Az ARP- és DNS-forgalom kivételével mindent rögzíteni szeretne: |_+_|
Hogyan rögzíthetem a csomagadatokat a Wiresharkban?
Miután letöltötte a Wiresharkot eszközére, elkezdheti figyelni a hálózati kapcsolatot. Az átfogó elemzéshez szükséges adatcsomagok rögzítéséhez a következőket kell tennie:
1. Indítsa el a Wiresharkot. Megjelenik az elérhető hálózatok listája, ezért kattintson a megvizsgálni kívánt hálózatra. Rögzítési szűrőt is alkalmazhat, ha pontosan meg szeretné határozni a forgalom típusát.
2. Ha több hálózatot szeretne megvizsgálni, használja a Shift + bal kattintás vezérlőt.
3. Ezután kattintson a bal szélső cápauszony ikonra a fenti eszköztáron.
4. A rögzítést úgy is elindíthatja, hogy a Capture (Rögzítés) fülre kattint, és a legördülő listából a Start (Indítás) elemet választja.
5. Ennek másik módja a Control – E billentyűleütés.
Ahogy a szoftver megragadja az adatokat, azok valós időben megjelennek a csomaglista panelen.
Shark Byte
Míg a Wireshark egy rendkívül fejlett hálózati elemző, meglepően könnyen értelmezhető. A csomaglista ablaktábla rendkívül átfogó és jól szervezett. Minden információ hét különböző színben van elosztva, és világos színkódokkal van jelölve.
Ezenkívül a nyílt forráskódú szoftver számos könnyen alkalmazható szűrőt tartalmaz, amelyek megkönnyítik a megfigyelést. A rögzítési szűrő engedélyezésével pontosan meghatározhatja, hogy a Wireshark milyen típusú forgalmat szeretne elemezni. Az adatok lefoglalása után pedig több megjelenítési szűrőt is alkalmazhat a megadott keresésekhez. Összességében ez egy rendkívül hatékony mechanizmus, amelyet nem túl nehéz elsajátítani.
Használja a Wiresharkot hálózatelemzésre? Mi a véleményed a szűrő funkcióról? Az alábbi megjegyzésekben tudassa velünk, ha van olyan hasznos csomagelemzési funkció, amelyet kihagytunk.
