Hogyan olvassunk csomagokat a Wiresharkban

Sok IT-szakértő számára a Wireshark a hálózati csomagok elemzéséhez szükséges eszköz. A nyílt forráskódú szoftver lehetővé teszi az összegyűjtött adatok alapos vizsgálatát és a probléma gyökerének pontosabb meghatározását. Ezenkívül a Wireshark valós időben működik, és színkódolást használ a rögzített csomagok megjelenítéséhez, egyéb remek mechanizmusok mellett.

Hogyan olvassunk csomagokat a Wiresharkban

Ebben az oktatóanyagban elmagyarázzuk, hogyan lehet rögzíteni, olvasni és szűrni a csomagokat a Wireshark segítségével. Az alábbiakban lépésről lépésre találja meg az alapvető hálózati elemzési funkciók leírását. Miután elsajátította ezeket az alapvető lépéseket, képes lesz ellenőrizni a hálózat forgalmát, és hatékonyabban tudja elhárítani a problémákat.

Csomagok elemzése

A csomagok rögzítése után a Wireshark egy részletes csomaglista ablaktáblába rendezi őket, amely hihetetlenül könnyen olvasható. Ha egyetlen csomag információit szeretné elérni, csak meg kell keresnie azt a listában, és rá kell kattintania. A fát tovább bővítheti, hogy hozzáférjen a csomagban található egyes protokollok részleteihez.

Az átfogóbb áttekintés érdekében az egyes rögzített csomagokat külön ablakban jelenítheti meg. Itt van, hogyan:

  1. Válassza ki a csomagot a listából a kurzorral, majd kattintson a jobb gombbal.

  2. Nyissa meg a „Nézet” lapot a fenti eszköztáron.

  3. A legördülő menüből válassza a „Csomag megjelenítése új ablakban” lehetőséget.

Megjegyzés: Sokkal egyszerűbb összehasonlítani a rögzített csomagokat, ha külön ablakban jeleníti meg őket.

Mint említettük, a Wireshark színkódoló rendszert használ az adatok megjelenítéséhez. Minden csomag más-más színnel van megjelölve, ami a forgalom különböző típusait jelzi. Például a TCP forgalmat általában kékkel jelölik, míg a feketét a hibákat tartalmazó csomagok jelzésére használják.

Természetesen nem kell megjegyezni az egyes színek mögött rejlő jelentést. Ehelyett a helyszínen ellenőrizheti:

  1. Kattintson a jobb gombbal a vizsgálni kívánt csomagra.

  2. Válassza a „Nézet” lapot a képernyő tetején található eszköztáron.

  3. A legördülő panelen válassza a „Színezési szabályok” lehetőséget.

Megjelenik a színezés testreszabásának lehetősége. Ha azonban csak ideiglenesen szeretné megváltoztatni a színezési szabályokat, kövesse az alábbi lépéseket:

  1. Kattintson a jobb gombbal a csomagra a csomaglista panelen.
  2. A lehetőségek listájából válassza a „Színezés szűrővel” lehetőséget.

  3. Válassza ki a színt, amellyel címkézni szeretné.

Szám

A csomaglista ablaktábla megmutatja a rögzített adatbitek pontos számát. Mivel a csomagok több oszlopba vannak rendezve, meglehetősen könnyen értelmezhető. Az alapértelmezett kategóriák a következők:

  • No. (Szám): Mint említettük, ebben az oszlopban találhatja meg a rögzített csomagok pontos számát. A számjegyek az adatok szűrése után is változatlanok maradnak.
  • Idő: Ahogy azt sejteni lehetett, a csomag időbélyegzője itt jelenik meg.
  • Forrás: Megmutatja, honnan származik a csomag.
  • Cél: Azt a helyet mutatja, ahol a csomagot tárolni fogják.
  • Protokoll: Megjeleníti a protokoll nevét, jellemzően rövidítésben.
  • Hossz: A rögzített csomagban található bájtok számát mutatja.
  • Info: Az oszlop minden további információt tartalmaz egy adott csomagról.

Idő

Miközben a Wireshark elemzi a hálózati forgalmat, minden rögzített csomagot időbélyeggel látnak el. Az időbélyegek ezután megjelennek a csomaglista panelen, és későbbi ellenőrzés céljából elérhetők.

A Wireshark nem maga hozza létre az időbélyegeket. Ehelyett az elemző eszköz az Npcap könyvtárból szerzi be őket. Az időbélyeg forrása azonban valójában a kernel. Ezért az időbélyeg pontossága fájlonként változhat.

Kiválaszthatja, hogy az időbélyegek milyen formátumban jelenjenek meg a csomaglistában. Ezenkívül beállíthatja a kívánt pontosságot vagy a megjelenítendő tizedesjegyek számát. Az alapértelmezett precíziós beállításon kívül a következők is megtalálhatók:

  • Másodpercek
  • Tizedmásodperc
  • Száz másodperc
  • Ezredmásodperc
  • Mikroszekundum
  • Nanoszekundum

Forrás

Ahogy a neve is sugallja, a csomag forrása a származási hely. Ha egy Wireshark-tárhely forráskódját szeretné megszerezni, egy Git-kliens segítségével töltheti le. A módszerhez azonban szükség van egy GitLab-fiókra. Enélkül is megtehető, de jobb, ha minden esetre bejelentkezik.

Miután regisztrált egy fiókot, kövesse az alábbi lépéseket:

  1. Győződjön meg arról, hogy a Git működik a következő paranccsal: "$ git --verzió.

  2. Ellenőrizze még egyszer, hogy e-mail címe és felhasználóneve be van-e állítva.
  3. Ezután készítse el a Workshark forrás klónját. Használja a "$ git klón -o upstream [email protected] :wireshark/wireshark.git” SSH URL a másolat elkészítéséhez.
  4. Ha nincs GitLab-fiókja, próbálja meg a HTTPS URL-t: "$ git klón -o upstream //gitlab.com/wireshark/wireshark.git.

Ezt követően az összes forrást átmásoljuk a készülékére. Ne feledje, hogy a klónozás eltarthat egy ideig, különösen, ha lassú a hálózati kapcsolata.

Rendeltetési hely

Ha tudni szeretné egy adott csomag célállomásának IP-címét, akkor a megjelenítési szűrő segítségével megtalálhatja azt. Itt van, hogyan:

  1. Belép "ip.addr == 8.8.8.8” a Wireshark „Filter Box”-ba. Ezután kattintson az „Enter” gombra.

  2. A csomaglista ablaktábla csak a csomag rendeltetési helyének megjelenítéséhez lesz újrakonfigurálva. Keresse meg az Önt érdeklő IP-címet a lista görgetésével.

  3. Ha végzett, válassza a „Törlés” lehetőséget az eszköztáron a csomaglista panel újrakonfigurálásához.

Jegyzőkönyv

A protokoll egy olyan irányelv, amely meghatározza az adatátvitelt a különböző, ugyanahhoz a hálózathoz kapcsolódó eszközök között. Minden Wireshark-csomag tartalmaz egy protokollt, amelyet a kijelzőszűrő használatával hozhat létre. Itt van, hogyan:

  1. A Wireshark ablak tetején kattintson a „Szűrő” párbeszédpanelre.
  2. Adja meg a vizsgálni kívánt protokoll nevét. A protokollok címeit általában kisbetűkkel írják.
  3. Kattintson az „Enter” vagy az „Apply” gombra a megjelenítési szűrő engedélyezéséhez.

Hossz

A Wireshark-csomag hosszát az adott hálózati részletben rögzített bájtok száma határozza meg. Ez a szám általában megegyezik a Wireshark ablak alján felsorolt ​​nyers adatbájtok számával.

Ha szeretné megvizsgálni a hosszúságok eloszlását, nyissa meg a „Packet Lengths” ablakot. Minden információ a következő oszlopokra van osztva:

  • Csomag hosszak
  • Számol
  • Átlagos
  • Min Val/Max Val
  • Mérték
  • Százalék
  • Burst rate
  • Burst start

Info

Ha egy adott rögzített csomagon belül anomáliák vagy hasonló elemek vannak, a Wireshark észreveszi. Az információ ezután megjelenik a csomaglista panelen további vizsgálat céljából. Így tiszta képet kaphat az atipikus hálózati viselkedésről, ami gyorsabb reakciókat eredményez.

További GYIK

Hogyan szűrhetem a csomagadatokat?

A szűrés egy hatékony funkció, amely lehetővé teszi egy adott adatsorozat sajátosságainak megismerését. Kétféle Wireshark szűrő létezik: rögzítés és megjelenítés. A rögzítési szűrők arra szolgálnak, hogy korlátozzák a csomagrögzítést, hogy megfeleljen az adott igényeknek. Más szóval, rögzítési szűrő alkalmazásával átszűrheti a különböző típusú forgalmat. Ahogy a neve is sugallja, a megjelenítési szűrők lehetővé teszik a csomag egy adott elemének pontosítását, a csomag hosszától a protokollig.

A szűrő alkalmazása meglehetősen egyszerű folyamat. A szűrő címét beírhatja a Wireshark ablak tetején lévő párbeszédpanelbe. Ezenkívül a szoftver általában automatikusan kiegészíti a szűrő nevét.

Alternatív megoldásként, ha át akarja fésülni az alapértelmezett Wireshark szűrőket, tegye a következőket:

1. Nyissa meg az „Elemzés” lapot a Wireshark ablakának tetején található eszköztáron.

2. A legördülő listából válassza a „Megjelenítési szűrő” lehetőséget.

3. Böngésszen a listában, és kattintson arra, amelyiket alkalmazni kívánja.

Végül itt van néhány gyakori Wireshark szűrő, amelyek jól jöhetnek:

• Ha csak a forrás és a cél IP-címét szeretné megtekinteni, használja: “ip.src==IP-cím és ip.dst==IP-cím

• Csak az SMTP-forgalom megtekintéséhez írja be: "tcp.port eq 25

• A teljes alhálózati forgalom rögzítéséhez alkalmazza: “nettó 192.168.0.0/24

• Az ARP- és DNS-forgalom kivételével mindent rögzíteni szeretne: "port nem 53 és nem arp

Hogyan rögzíthetem a csomagadatokat a Wiresharkban?

Miután letöltötte a Wiresharkot eszközére, elkezdheti figyelni a hálózati kapcsolatot. Az átfogó elemzéshez szükséges adatcsomagok rögzítéséhez a következőket kell tennie:

1. Indítsa el a Wiresharkot. Megjelenik az elérhető hálózatok listája, ezért kattintson a megvizsgálni kívánt hálózatra. Rögzítési szűrőt is alkalmazhat, ha pontosan meg szeretné határozni a forgalom típusát.

2. Ha több hálózatot szeretne megvizsgálni, használja a „Shift + bal kattintás” vezérlőt.

3. Ezután kattintson a bal szélső cápauszony ikonra a fenti eszköztáron.

4. A rögzítést úgy is elindíthatja, hogy a „Rögzítés” fülre kattint, és a legördülő listából a „Start” elemet választja.

5. Ennek másik módja a „Control – E” billentyűleütés.

Ahogy a szoftver megragadja az adatokat, azok valós időben megjelennek a csomaglista panelen.

Shark Byte

Míg a Wireshark egy rendkívül fejlett hálózati elemző, meglepően könnyen értelmezhető. A csomaglista ablaktábla rendkívül átfogó és jól szervezett. Minden információ hét különböző színben van elosztva, és világos színkódokkal van jelölve.

Ezenkívül a nyílt forráskódú szoftver számos könnyen alkalmazható szűrőt tartalmaz, amelyek megkönnyítik a megfigyelést. A rögzítési szűrő engedélyezésével pontosan meghatározhatja, hogy a Wireshark milyen típusú forgalmat szeretne elemezni. Az adatok lefoglalása után pedig több megjelenítési szűrőt is alkalmazhat a megadott keresésekhez. Összességében ez egy rendkívül hatékony mechanizmus, amelyet nem túl nehéz elsajátítani.

Használja a Wiresharkot hálózatelemzésre? Mi a véleményed a szűrő funkcióról? Az alábbi megjegyzésekben tudassa velünk, ha van olyan hasznos csomagelemzési funkció, amelyet kihagytunk.