Здравствуйте, дорогие друзья. В этой статье мы поговорим о глобальных и персональных настройках Wireshark, и ответим на следующие вопросы:
- Как настроить общие и персональные установки?
- Как настроить Wireshark под себя?
- Резолюция имен.
- Что такое выражение фильтров?
- Как изменить настройки протокола?
У Wireshark есть два типа настроек: глобальные и персональные.
Глобальные настройки включают следующие файлы:
- Cfilters (в котором сохранены фильтры захвата).
- Dfilters (с сохраненными фильтрами отображения).
- Colorfilers (с правилами цветового подсвечивания).
- Manuf.
- Services (в котором находится список портов по умолчанию).
- Smi-modules.
Вы можете вручную редактировать эти файлы, с помощью текстового редактора. Если Вы отредактируете: cfilters, dfilters или colorfilters, Wireshark скопирует их из папки «global_configuration», в папку «personal_configuration».
Полный курс по WireShark (часть 1)
Также, если Вы измените какие-либо настройки Wireshark, в папке «personal configuration» будет создан новый файл «preferences». Вы можете устанавливать эти файлы на другие компьютеры, но будьте осторожны, так как файл «preferences» может содержать путь, который будет отличаться на других компьютерах. В дополнение, Вы можете создавать профили, для различных ситуаций, с различными настройками.
Установите и используйте Wireshark в Ubuntu Linux
Wireshark — это бесплатный анализатор сетевых протоколов с открытым исходным кодом, широко используемый во всем мире.
С помощью Wireshark вы можете захватывать входящие и исходящие пакеты сети в режиме реального времени и использовать его для устранения неполадок в сети, анализа пакетов, разработки программного обеспечения и протоколов связи и многого другого.
Он доступен во всех основных настольных операционных системах, таких как Windows, Linux, macOS, BSD и других.
В этом руководстве я расскажу вам, как установить Wireshark в Ubuntu и других дистрибутивах на основе Ubuntu. Я также покажу немного о настройке и конфигурации Wireshark для захвата пакетов.
Установка Wireshark в дистрибутивах Linux на основе Ubuntu
Wireshark доступен во всех основных дистрибутивах Linux. В этом руководстве я сосредоточусь на установке последней версии Wireshark только в дистрибутивах на основе Ubuntu, поэтому если вы пользуетесь другими операционными системами на основе Linux, вам стоит почитать официальную документацию и советы по установке.
Wireshark доступен в репозитории «Universe» Ubuntu. Вы можете подключить этот репозиторий и затем установить его с помощью этих команд:
sudo add-apt-repository universe sudo apt install wireshark
Одна небольшая проблема этого подхода заключается в том, что вы не всегда можете получить последнюю версию Wireshark.
Анализатор сети Wireshark | Практика по курсу «Компьютерные сети»
Например, в Ubuntu 18.04, если вы используете команду apt для проверки доступной версии Wireshark, это будет версия 2.6.
apt show wireshark Package: wireshark Version: 2.6.10-1~ubuntu18.04.0 Priority: optional Section: universe/net Origin: Ubuntu Maintainer: Balint Reczey
Тогда как стабильная версия Wireshark 3.2 была выпущена несколько месяцев назад. А новый релиз, конечно, приносит новые возможности.
Итак, что вы делаете в таком случае? К счастью, разработчики Wiresshark предоставляют официальный PPA, который вы можете использовать для установки последней стабильной версии Wireshark в Ubuntu и других дистрибутивах на основе Ubuntu.
Я надеюсь, что вы знакомы с PPA. Если нет, пожалуйста, прочитайте наше превосходное руководство по PPA, чтобы разобраться в этом вопросе до конца.
Откройте терминал и используйте следующие команды одну за другой:
sudo add-apt-repository ppa:wireshark-dev/stable sudo apt update sudo apt install wireshark
Даже если у вас установлена достаточно старая версия Wireshark, она будет обновлена до более новой версии.
Во время установки вам будет предложено разрешить не-суперпользователям перехватывать пакеты. Выберите «Да», чтобы разрешить, или «Нет», чтобы запретить не-суперпользователям захватывать пакеты, после этого завершите установку.
Запуск Wireshark без sudo
Если вы выбрали «Нет» в предыдущей установке, выполните следующую команду от имени пользователя root:
sudo dpkg-reconfigure wireshark-common
И выберите «Да», используя клавишу табуляции и затем клавишу ввода:
Поскольку вы разрешили не-суперпользователю перехватывать пакеты, вы должны добавить пользователя в группу wireshark. Используйте команду usermod, чтобы добавить себя в группу wireshark.
sudo usermod -aG wireshark $(whoami)
Наконец, перезапустите систему Ubuntu, чтобы внесенные изменения вступили в силу.
Забавный факт:
Впервые выпущенный в 1998 году, Wireshark изначально был известен как Ethereal. Разработчикам пришлось изменить его название на Wireshark в 2006 году из-за проблем с товарными знаками.
Запуск Wireshark
Запуск приложения Wireshark можно выполнить из панели запуска приложений или интерфейса командной строки.
Чтобы начать с CLI, просто введите wireshark в вашей консоли:
wiresshark
В графическом интерфейсе, напишите Wireshark в строке поиска и нажмите Enter.
Теперь давайте поиграем с Wireshark.
Захват пакетов с помощью Wireshark
Когда вы запустите Wireshark, вы увидите список интерфейсов, которые вы можете использовать для захвата пакетов.
Существует много типов доступных интерфейсов, которые вы можете отслеживать с помощью Wireshark, таких как проводные, внешние устройства и т.д. В зависимости от ваших предпочтений вы можете выбрать отображение определенных типов интерфейсов на экране приветствия из отмеченной области на приведенном ниже рисунке.
Например, я перечислил только проводные сетевые интерфейсы.
Затем, чтобы начать захват пакетов, вы должны выбрать интерфейс (в моем случае это ens33) и щелкнуть значок «Начать захват пакетов», как показано на рисунке ниже.
Вы также можете захватывать пакеты с нескольких интерфейсов одновременно. Просто нажмите и удерживайте кнопку CTRL, нажимая на интерфейсы, которые вы хотите захватить, и затем нажмите значок «Начать захват пакетов», как отмечено на изображении ниже.
Затем я попытался использовать команду ping google.com в терминале, и, как вы можете видеть, захватил много пакетов.
Теперь вы можете выбрать любой пакет для проверки. После нажатия на конкретный пакет вы можете увидеть информацию о различных уровнях протокола TCP / IP, связанных с ним.
Вы также можете увидеть RAW-данные этого конкретного пакета внизу, как показано на рисунке ниже.
Вот почему так важно сквозное шифрование
Представьте, что вы заходите на сайт, который не использует HTTPS. Любой в той же сети, что и вы, может перехватывать ваши пакеты, видеть имя пользователя и пароль в данных RAW.
Вот почему большинство приложений для чатов используют сквозное шифрование, и большинство веб-сайтов в наши дни используют https (вместо http).
Остановка захвата пакета в Wireshark
Вы можете нажать на красный значок, как отмечено на данном изображении, чтобы прекратить захват пакетов Wireshark.
Сохранить захваченные пакеты в файл
Вы можете нажать на отмеченный значок на изображении ниже, чтобы сохранить захваченные пакеты в файл для дальнейшего использования.
Примечание: вывод можно экспортировать в XML, PostScript®, CSV или обычный текст.
Затем выберите папку назначения, введите имя файла и нажмите «Сохранить».
Потом выберите файл и нажмите «Открыть».
Теперь вы можете открывать и анализировать сохраненные пакеты в любое время. Чтобы открыть файл, нажмите + o или перейдите в File > Open из интерфейса Wireshark.
Захваченные пакеты будут загружены из файла.
Заключение.
Wireshark поддерживает множество различных протоколов связи. Существует множество опций и функций, которые дают вам возможность захватывать и анализировать сетевые пакеты уникальным способом. Вы можете узнать больше о Wireshark из их официальной документации.
Я надеюсь, что это руководство помогло вам установить Wireshark в Ubuntu. Пожалуйста, дайте мне знать, если у вас остались вопросы или появились предложения.
Источник: omgubuntu.ru
10 советов в работе с Wireshark по анализу пакетов в сети
Мануал
Автор cryptoparty На чтение 5 мин Опубликовано 15.07.2020
В любой сети с коммутацией пакеты представляют собой единицы данных, которые передаются между компьютерами.
Сетевые инженеры и системные администраторы несут ответственность за мониторинг и проверку пакетов в целях безопасности и устранения неполадок.
Для этого они используют программы, называемые анализаторами сетевых пакетов, причем Wireshark, пожалуй, является наиболее популярным и часто используемым благодаря своей универсальности и простоте.
Кроме того, Wireshark позволяет не только отслеживать трафик в режиме реального времени, но и сохранять его в файл для последующей проверки.
В этой статье мы поделимся 10 советами о том, как использовать Wireshark для анализа пакетов в вашей сети.
Установка Wireshark на Linux
Чтобы установить Wireshark, выберите правильный установщик для вашей операционной системы / архитектуры по адресу https://www.wireshark.org/download.html.
В частности, если вы используете Linux, Wireshark должен быть доступен непосредственно из репозиториев вашего дистрибутива, чтобы его было легче установить.
Хотя версии могут отличаться, параметры и меню должны быть похожими – если не идентичны в каждой версии.
———— На Debian/Ubuntu ———— $ sudo apt-get install wireshark ———— На CentOS/RHEL ———— $ sudo yum install wireshark ———— На Fedora 22+ ———— $ sudo dnf install wireshark
В Debian и его производных есть известная ошибка, которая может помешать перечислению сетевых интерфейсов, если вы не используете sudo для запуска Wireshark.
Чтобы это исправить, следуйте инструкции https://osqa-ask.wireshark.org/questions/7523/ubuntu-machine-no-interfaces-listed
Когда Wireshark запущен, вы можете выбрать сетевой интерфейс, который вы хотите отслеживать, в Capture:
В этой статье мы будем использовать eth0, но вы можете выбрать другой интерфейс, если захотите.
Пока не нажимайте на интерфейс – мы сделаем это позже, как только мы рассмотрим несколько вариантов захвата.
Настройка параметров захвата
Наиболее полезные варианты захвата, которые мы рассмотрим:
- Network interface – Как мы объясняли ранее, мы будем анализировать только пакеты, проходящие через eth0, либо входящие, либо исходящие.
- Capture filter – Эта опция позволяет нам указать, какой тип трафика мы хотим отслеживать по порту, протоколу или типу.
Прежде чем перейти к советам, важно отметить, что некоторые организации запрещают использование Wireshark в своих сетях. Тем не менее, если вы не используете Wireshark в личных целях, убедитесь, что ваша организация разрешает его использование.
Теперь просто выберите eth0 из выпадающего списка и нажмите кнопку Start .
Вы начнете видеть весь трафик, проходящий через этот интерфейс.
Это не очень полезно в целях мониторинга из-за большого количества проверенных пакетов, но это только начало.
На изображении , показанном выше мы также видим значки для отображения списка доступных интерфейсов, остановки текущего захвата и его перезапуска (красное поле слева), а также для настройки и редактирования фильтра (красное поле справа).
Когда вы наводите курсор на один из этих значков, отображается подсказка, указывающая, что он делает.