Главная » Интернет

Как читать пакеты в Wireshark

Интернет

Для многих ИТ-специалистов Wireshark – это инструмент для анализа сетевых пакетов. Программное обеспечение с открытым исходным кодом позволяет вам тщательно изучить собранные данные и определить корень проблемы с повышенной точностью. Кроме того, Wireshark работает в режиме реального времени и использует цветовое кодирование для отображения перехваченных пакетов, а также другие изящные механизмы.

<р>В этом руководстве мы объясним, как захватывать, читать и фильтровать пакеты с помощью Wireshark. Ниже вы найдете пошаговые инструкции и описание основных функций сетевого анализа. Освоив эти основные шаги, вы сможете более эффективно проверять поток трафика в вашей сети и устранять проблемы.

Анализ пакетов

После захвата пакетов Wireshark упорядочивает их на панели подробного списка пакетов, которую невероятно легко читать. Если вы хотите получить доступ к информации об одном пакете, все, что вам нужно сделать, это найти его в списке и щелкнуть. Вы также можете расширить дерево, чтобы получить доступ к сведениям о каждом протоколе, содержащемся в пакете.

Для более полного обзора вы можете отобразить каждый захваченный пакет в отдельном окне. Вот как это сделать:

  1. выберите пакет из списка с помощью курсора, затем щелкните правой кнопкой мыши.
  2. Откройте “Просмотр” на панели инструментов выше.
  3. Выберите “Показать пакет в новом Окно” из раскрывающегося меню.

Примечание. Это намного проще. для сравнения захваченных пакетов, если вы открываете их в отдельных окнах.

Как уже упоминалось, Wireshark использует систему цветового кодирования для визуализации данных. Каждый пакет помечен своим цветом, который представляет разные типы трафика. Например, TCP-трафик обычно выделяется синим цветом, а черный используется для обозначения пакетов, содержащих ошибки.

Конечно, вам не нужно запоминать значение каждого цвета. Вместо этого вы можете проверить на месте:

  1. щелкните правой кнопкой мыши пакет, который хотите проверить.
  2. Выберите “Просмотр” на панели инструментов в верхней части экрана.
  3. Выберите &ldquo ;Правила раскраски” в раскрывающемся списке.

Вы увидите возможность настроить раскраску по своему вкусу. Однако, если вы хотите только временно изменить правила раскраски, выполните следующие действия:

  1. щелкните правой кнопкой мыши пакет в области списка пакетов.< /li>
  2. В списке параметров выберите “Раскрасить с помощью фильтра”
  3. Выберите цвет, которым вы хотите его пометить.
    < /li>

Число

Панель списка пакетов покажет вам точное количество захваченных битов данных. Поскольку пакеты организованы в несколько столбцов, их довольно легко интерпретировать. Категории по умолчанию:

  • Нет. (Число): Как уже упоминалось, вы можете найти точное количество захваченных пакетов в этом столбце. Цифры останутся прежними даже после фильтрации данных.
  • Время. Как вы уже догадались, здесь отображается временная метка пакета.
  • Источник: показывает, откуда поступил пакет.
  • Назначение: показывает место, где будет храниться пакет.
  • Протокол: показывает имя протокола, обычно в виде аббревиатуры.
  • Длина: показывает количество байтов, содержащихся в захваченном пакете.
  • Информация : столбец включает любую дополнительную информацию о конкретном пакете.

Время

Поскольку Wireshark анализирует сетевой трафик, каждому захваченному пакету присваивается отметка времени. Затем метки времени включаются в панель списка пакетов и доступны для последующего просмотра.

Wireshark не создает метки времени самостоятельно. Вместо этого инструмент-анализатор получает их из библиотеки Npcap. Однако источником метки времени на самом деле является ядро. Вот почему точность метки времени может варьироваться от файла к файлу.

Вы можете выбрать формат, в котором временные метки будут отображаться в списке пакетов. Кроме того, вы можете установить предпочтительную точность или количество отображаемых десятичных разрядов. Помимо настройки точности по умолчанию, также есть:

  • секунды
  • десятые доли секунды
  • Сотые доли секунды
  • Миллисекунды
  • Микросекунды
  • Наносекунды< /li>

Источник

Как следует из названия, источником пакета является место происхождения. Если вы хотите получить исходный код репозитория Wireshark, вы можете загрузить его с помощью клиента Git. Однако этот метод требует наличия учетной записи GitLab. Можно обойтись и без него, но на всякий случай лучше зарегистрироваться.

Зарегистрировав аккаунт, выполните следующие действия:

  1. Убедитесь, что Git работает, с помощью этой команды: “$ git -–версия”
  2. Дважды проверьте, настроены ли ваш адрес электронной почты и имя пользователя.
  3. Затем создайте клон исходного кода Workshark. Используйте “$ git clone -o upstream [email protected]:wireshark/wireshark.git” URL-адрес SSH для создания копии.
  4. Если у вас нет учетной записи GitLab, попробуйте URL-адрес HTTPS: “$ git clone -o upstream https://gitlab.com/wireshark/wireshark.git.”

Все исходники впоследствии будут скопированы на ваше устройство. Имейте в виду, что клонирование может занять некоторое время, особенно если у вас медленное сетевое соединение.

Назначение

Если вы хотите узнать IP-адрес определенного адресата пакета, вы можете использовать фильтр отображения, чтобы найти его. Вот как это сделать:

  1. Введите “ip.addr == 8.8.8.8” в окно «Фильтр» Wireshark. Затем нажмите “Ввод”
  2. Панель списка пакетов будет перенастроена только для отображения адресата пакета. Найдите интересующий вас IP-адрес, прокрутив список.
  3. После того, как вы закончите, выберите “Очистить” с панели инструментов, чтобы перенастроить панель списка пакетов.

Протокол

Протокол — это руководство, определяющее передачу данных между различными устройствами, подключенными к одной и той же сети. Каждый пакет Wireshark содержит протокол, и вы можете вызвать его с помощью фильтра отображения. Вот как это сделать:

  1. В верхней части окна Wireshark нажмите “Фильтр” диалоговое окно.
  2. Введите имя протокола, который хотите проверить. Обычно заголовки протоколов пишутся строчными буквами.
  3. Нажмите “Ввод” или «Применить» чтобы включить фильтр отображения.

Длина

Длина пакета Wireshark определяется количеством байтов, захваченных в этой конкретной сети. фрагмент. Это число обычно соответствует количеству байтов необработанных данных, указанному в нижней части окна Wireshark.

Если вы хотите изучить распределение длин, откройте вкладку “Длины пакетов” окно. Вся информация разделена на следующие столбцы:

  • Длина пакетов
  • Количество
  • Среднее
  • Мин. значение/макс. значение
  • Скорость
  • Процент
  • Скорость серийной съемки
  • Начало серийной съемки

Информация

Если в конкретном захваченном пакете есть какие-либо аномалии или подобные элементы, Wireshark заметит это. Затем информация будет отображаться на панели списка пакетов для дальнейшего изучения. Таким образом, вы получите четкое представление о нетипичном поведении сети, что приведет к более быстрой реакции.

Дополнительные часто задаваемые вопросы

Как фильтровать данные пакета?

Фильтрация — это эффективная функция, позволяющая изучить особенности конкретной последовательности данных. Существует два типа фильтров Wireshark: захват и отображение. Фильтры захвата предназначены для ограничения захвата пакетов в соответствии с конкретными требованиями. Другими словами, вы можете просеивать различные типы трафика, применяя фильтр захвата. Как следует из названия, фильтры отображения позволяют оттачивать определенный элемент пакета, от длины пакета до протокола.

Применение фильтра — довольно простой процесс. Вы можете ввести название фильтра в диалоговом окне в верхней части окна Wireshark. Кроме того, программа обычно автоматически дополняет имя фильтра.

Кроме того, если вы хотите просмотреть стандартные фильтры Wireshark, сделайте следующее:

1. Откройте “Анализ” на панели инструментов в верхней части окна Wireshark.

2. В раскрывающемся списке выберите “Фильтр отображения”

3. Просмотрите список и выберите тот, который хотите применить.

Наконец, вот несколько распространенных фильтров Wireshark, которые могут пригодиться:

• Чтобы просмотреть только IP-адрес источника и получателя, используйте: “ip.src==IP-адрес и ip.dst==IP-адрес”

• Чтобы просмотреть только SMTP-трафик, введите: “tcp.port eq 25”

• Чтобы захватить весь трафик подсети, примените: “net 192.168.0.0/24”

• Чтобы захватить все, кроме трафика ARP и DNS, используйте: “port not 53 and not arp”

Как захватить данные пакета в Wireshark?

После того как вы загрузили Wireshark на свое устройство, вы можете начать отслеживать сетевое подключение . Чтобы захватить пакеты данных для всестороннего анализа, вам нужно сделать следующее:

1. Запустите Wireshark. Вы увидите список доступных сетей, поэтому выберите ту, которую хотите изучить. Вы также можете применить фильтр захвата, если хотите точно определить тип трафика.

2. Если вы хотите проверить несколько сетей, используйте сочетание клавиш “shift + щелчок левой кнопкой мыши” контроль.

3. Затем нажмите крайний левый значок плавника акулы на панели инструментов выше.

4. Вы также можете начать захват, нажав кнопку “Capture” вкладку и выбрав “Пуск” из выпадающего списка.

5. Другой способ сделать это — использовать “Control – E” нажатия клавиши.

По мере того, как программа захватывает данные, вы увидите их в панели списка пакетов в режиме реального времени.

Shark Byte

Несмотря на то, что Wireshark — это высокотехнологичный сетевой анализатор, его удивительно легко интерпретировать. Панель списка пакетов чрезвычайно обширна и хорошо организована. Вся информация разделена на семь различных цветов и помечена четкими цветовыми кодами.

Кроме того, программное обеспечение с открытым исходным кодом поставляется с множеством легко применимых фильтров, облегчающих мониторинг. Включив фильтр захвата, вы можете точно определить, какой трафик вы хотите анализировать Wireshark. И как только данные собраны, вы можете применить несколько фильтров отображения для определенных поисков. В целом, это очень эффективный механизм, который не так уж сложно освоить.

Используете ли вы Wireshark для анализа сети? Что вы думаете о функции фильтрации? Сообщите нам в комментариях ниже, есть ли полезная функция анализа пакетов, которую мы пропустили.

0 320 просмотров
Валентин Павлов/ автор статьи
Страсть Влентина к играм началась с Resident Evil, и с тех пор он не переставал играть в хоррор-игры. Пишет экспертные руководства для самых сложных игр и обзоры для самых громких релизов. Является магистром журналистики и имеет степень бакалавра лингвистики. Любимые игры: GTA 5, Silent Hill 2, Call of Duty: Modern Warfare 2, Heavy Rain, Metro 2033 и другие.
Понравилась статья? Поделиться с друзьями:
Вам также может быть интересно
Интернет 0 603 просмотров
Figma: Как сделать изогнутые линии
В зависимости от того, что вы хотите создать, вы можете использовать различные параметры, такие
Интернет 0 279 просмотров
Как исправить приложение Amazon Photos, которое не отображается на Fire Stick
Amazon Photos — отличное облачное решение, позволяющее создавать резервные копии ваших фотографий и беспрепятственно просматривать
Интернет 0 337 просмотров
Chromebook: как исправить проблему «Камера не найдена»
Chromebook значительно превосходит обычные ноутбуки, особенно с точки зрения доступности, простоты и доступности. Многие
Интернет 0 299 просмотров
WordPress: как добавить публикацию на страницу
Публикация публикаций — важная часть ведения блога на WordPress. Именно так вы выпускаете свой
Добавить комментарий
Мы используем cookie-файлы для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием cookie-файлов.