Co je dobré vědět
- Wireshark je open-source aplikace, která zachycuje a zobrazuje data putující tam a zpět po síti.
- Protože může procházet a číst obsah každého paketu, používá se k odstraňování problémů se sítí a testování softwaru.
Pokyny v tomto článku platí pro Wireshark 3.0.3 pro Windows a Mac.
Sečteno podtrženo
Wireshark, původně známý jako Ethereal, zobrazuje data ze stovek různých protokolů na všech hlavních typech sítí. Datové pakety lze prohlížet v reálném čase nebo analyzovat offline. Wireshark podporuje desítky formátů souborů pro zachycení/trasování, včetně CAP a ERF. Integrované dešifrovací nástroje zobrazují zašifrované pakety pro několik běžných protokolů, včetně WEP a WPA/WPA2.
Jak stáhnout a nainstalovat Wireshark
Wireshark lze zdarma stáhnout z webu Wireshark Foundation pro macOS i Windows. Uvidíte nejnovější stabilní verzi a aktuální vývojovou verzi. Pokud nejste pokročilý uživatel, stáhněte si stabilní verzi.
Během procesu nastavení systému Windows zvolte instalaci WinPcap nebo Npcap, pokud se zobrazí výzva, protože tyto zahrnují knihovny potřebné pro zachycení živých dat.
Abyste mohli používat Wireshark, musíte být přihlášeni k zařízení jako správce. Ve Windows 10 vyhledejte Wireshark a vyberte Spustit jako správce V macOS klikněte pravým tlačítkem na ikonu aplikace a vyberte Získat informaceV nastavení Sharing & Permissions udělte administrátorovi oprávnění Čtení a zápis.
Aplikace je dostupná také pro Linux a další platformy podobné UNIXu, včetně Red Hat, Solaris a FreeBSD. Binární soubory požadované pro tyto operační systémy naleznete ve spodní části stránky pro stahování Wireshark v části Balíčky třetích stran. Z této stránky si také můžete stáhnout zdrojový kód Wiresharku.
Jak zachytit datové pakety pomocí Wireshark
Když spustíte Wireshark, na uvítací obrazovce se zobrazí seznam dostupných síťových připojení na vašem aktuálním zařízení. Napravo od každého je zobrazen spojnicový graf ve stylu EKG, který představuje aktuální provoz v dané síti.
Zahájení zachycování paketů pomocí Wireshark:
-
Vyberte jednu nebo více sítí, přejděte na lištu nabídek a poté vyberte Capture.
Chcete-li vybrat více sítí, podržte při výběru klávesu Shift.
-
V okně Wireshark Capture Interfaces vyberte Start.
Existují další způsoby, jak zahájit zachycování paketů. Vyberte žraločí ploutev na levé straně panelu nástrojů Wireshark, stiskněte Ctrl+E nebo dvakrát klikněte na síť.
-
Vyberte File > Uložit jako nebo vyberte možnost Export pro záznam zachycení.
-
Nahrávání zastavíte stisknutím Ctrl+E. Nebo přejděte na panel nástrojů Wireshark a vyberte červené tlačítko Stop, které se nachází vedle žraločí ploutve.
Jak zobrazit a analyzovat obsah paketu
Zachycené datové rozhraní obsahuje tři hlavní části:
- Podokno seznamu paketů (horní část)
- Podokno podrobností paketu (střední část)
- Podokno bajtů paketů (spodní část)
Seznam paketů
Podokno seznamu paketů, umístěné v horní části okna, zobrazuje všechny pakety nalezené v aktivním zachyceném souboru. Každý paket má svůj vlastní řádek a odpovídající číslo, které je mu přiřazeno, spolu s každým z těchto datových bodů:
- No: Toto pole označuje, které pakety jsou součástí stejné konverzace. Zůstane prázdné, dokud nevyberete paket.
- Time: V tomto sloupci je zobrazeno časové razítko, kdy byl paket zachycen. Výchozí formát je počet sekund nebo částečné sekundy od prvního vytvoření tohoto konkrétního souboru zachycení.
- Zdroj: Tento sloupec obsahuje adresu (IP nebo jinou), odkud paket pochází.
- Destination: Tento sloupec obsahuje adresu, na kterou je paket odesílán.
- Protokol: Název protokolu paketu, například TCP, lze nalézt v tomto sloupci.
- Length: V tomto sloupci je zobrazena délka paketu v bajtech.
- Info: Zde jsou uvedeny další podrobnosti o paketu. Obsah tohoto sloupce se může značně lišit v závislosti na obsahu paketu.
Chcete-li změnit formát času na něco užitečnějšího (jako je skutečný čas dne), vyberte View > Formát zobrazení času.
Když je paket vybrán v horním panelu, můžete si všimnout, že se ve sloupci No. objeví jeden nebo více symbolů. Otevřené nebo uzavřené závorky a rovná vodorovná čára označují, zda je paket nebo skupina paketů součástí stejné konverzace tam a zpět v síti. Přerušovaná vodorovná čára znamená, že paket není součástí konverzace.
Podrobnosti balíčku
Podokno podrobností, které se nachází uprostřed, představuje protokoly a pole protokolu vybraného paketu ve sbalitelném formátu. Kromě rozšíření každého výběru můžete použít jednotlivé filtry Wireshark založené na konkrétních podrobnostech a sledovat proudy dat na základě typu protokolu kliknutím pravým tlačítkem na požadovanou položku.
Packet bajtů
Ve spodní části je panel bajtů paketů, který zobrazuje nezpracovaná data vybraného paketu v hexadecimálním zobrazení. Tento hexadecimální výpis obsahuje 16 hexadecimálních bajtů a 16 ASCII bajtů spolu s posunem dat.
Výběr konkrétní části těchto dat automaticky zvýrazní její odpovídající část v podokně podrobností paketu a naopak. Všechny bajty, které nelze vytisknout, jsou reprezentovány tečkou.
Chcete-li tato data zobrazit v bitovém formátu na rozdíl od hexadecimálního, klikněte pravým tlačítkem kamkoli v podokně a vyberte as bits.
Jak používat filtry Wireshark
Zachycovací filtry instruují Wireshark, aby zaznamenával pouze pakety, které splňují zadaná kritéria. Filtry lze také použít na zachycený soubor, který byl vytvořen tak, aby byly zobrazeny pouze určité pakety. Tyto filtry se označují jako filtry zobrazení.
Wireshark ve výchozím nastavení poskytuje velké množství předdefinovaných filtrů. Chcete-li použít některý z těchto existujících filtrů, zadejte jeho název do pole Použít filtr zobrazení umístěného pod panelem nástrojů Wireshark nebo do pole Zadejte filtr zachycenípole umístěné uprostřed uvítací obrazovky.
Pokud například chcete zobrazit pakety TCP, zadejte tcp. Funkce automatického doplňování Wireshark zobrazuje navrhovaná jména, když začnete psát, což usnadňuje nalezení správné přezdívky pro filtr, který hledáte.
Další způsob, jak vybrat filtr, je vybrat záložku na levé straně vstupního pole. Chcete-li přidat, odebrat nebo upravit filtry, vyberte Spravovat výrazy filtrů nebo Spravovat filtry zobrazení.
Můžete také přistupovat k dříve používaným filtrům výběrem šipky dolů na pravé straně vstupního pole pro zobrazení rozevíracího seznamu historie.
Filtry zachycení se použijí, jakmile začnete zaznamenávat síťový provoz. Chcete-li použít filtr zobrazení, vyberte šipku vpravo na pravé straně vstupního pole.
Wireshark barevná pravidla
Zatímco zachycovací a zobrazovací filtry Wireshark omezují, které pakety jsou zaznamenány nebo zobrazeny na obrazovce, jeho funkce zbarvení posouvá věci ještě o krok dále: Dokáže rozlišit různé typy paketů na základě jejich individuálního odstínu. To rychle vyhledá určité pakety v uložené sadě podle barvy řádku v podokně seznamu paketů.
Wireshark přichází s asi 20 výchozími pravidly barvení, z nichž každé lze upravit, zakázat nebo smazat. Vyberte View > Coloring Rules pro přehled toho, co jednotlivé barvy znamenají. Můžete také přidat své vlastní barevné filtry.
Vyberte View > Colorize Packet List pro zapnutí a vypnutí zbarvení paketů.
Statistiky ve Wireshark
Další užitečné metriky jsou dostupné v rozbalovací nabídce Statistiky. Patří mezi ně informace o velikosti a načasování zachyceného souboru spolu s desítkami tabulek a grafů v různých tématech od zhroucení konverzace paketů až po distribuci zatížení požadavků
Na mnoho z těchto statistik lze prostřednictvím jejich rozhraní použít filtry zobrazení a výsledky lze exportovat do běžných formátů souborů, včetně CSV, XML a TXT.
Pokročilé funkce Wireshark
Wireshark také podporuje pokročilé funkce, včetně schopnosti zapisovat disektory protokolů v programovacím jazyce Lua.