Основные функциональные возможности программы wireshark

Добро пожаловать на официальный сайт русской локализации сниффера Wireshark. Что же такое сниффер? Сниффер сети — это программа для анализа и перехвата трафика сети другого узла компьютерной сети. Только те данные, которые проходят через сетевую карту самого сниффера могут быть перехвачены и анализированы.

Таким образом, это делает ее нужной для моделирования, диагностики и перехвата личных паролей. Прослушивающий режим является базой для сетевых карт в снифферах, поэтому доступной является вся нужная информация.

Использование аппарата, являющегося определяющим для соединения нескольких узлов сети компьютера и передающего информацию непосредственно самому потребителю, таковым является коммутатор, именно он и служит непосредственной защитой от прослушивания. В настоящее время, на рынке снифферы представлены в огромных количествах, все являются различными по индивидуальным характеристикам.

Анализатор сети Wireshark | Практика по курсу «Компьютерные сети»

Одним из них является Wireshark. Снифферы бывают двух видов, один из них Win-снифферы, их также еще называют Linux-снифферы, характеризующиеся тем же перехватом сетевого трафика по сети WiFi, использующие Windows-конфигурации, а также другой тип – online-снифферы, которые извлекают данные, в основном из сети Ethernet. Снифферы сети используются лишь с одной целью, чтобы изъять информацию о пользователе в максимальном объеме, такой информацией может быть как данные о местонахождении личности, так и чужой ip-адрес. Все это возможно при помощи данного приложения.

Основные возможности Wireshark

Перед тем, как переходить к рассмотрению способов анализа трафика, нужно рассмотреть, какие возможности поддерживает программа более подробно, с какими протоколами она может работать и что делать. Вот основные возможности программы:

• Захват пакетов в реальном времени из проводного или любого другого типа сетевых интерфейсов, а также чтение из файла;
• Поддерживаются такие интерфейсы захвата: Ethernet, IEEE 802.11, PPP и локальные виртуальные интерфейсы;
• Пакеты можно отсеивать по множеству параметров с помощью фильтров;
• Все известные протоколы подсвечиваются в списке разными цветами, например TCP, HTTP, FTP, DNS, ICMP и так далее;
• Поддержка захвата трафика VoIP-звонков;
• Поддерживается расшифровка HTTPS-трафика при наличии сертификата;
• Расшифровка WEP-, WPA-трафика беспроводных сетей при наличии ключа и handshake;
• Отображение статистики нагрузки на сеть;
• Просмотр содержимого пакетов для всех сетевых уровней;
• Отображение времени отправки и получения пакетов.

Программа имеет множество других функций, но это были те основные, которые могут вас заинтересовать.

Основы Wireshark. Настройка, захват и расшифровка трафика

Преимущества и недостатки Wireshark

• захват и анализ данных в режиме онлайн + цветовые подсказки;
• поддержка множества существующих протоколов;
• работа с захваченными файлами других программ (импорт, экспорт) + распаковка;
• кроссплатформенность (функционирует на базе Windows, Linux, Android, MacOS, Solaris и т.д.), имеется Portable версия без инсталляции;
• вывод на экран статистических данных и отчетности (с возможностью их дальнейшего сохранения);
• опция восстановления TCP сессий;
• графический и лаконичный интерфейс + простая установка;
• отсутствует русский язык.

Сегодня мы обсуждали мощный сниффер, обладающий высокими стандартами надежности. О нем написано много обзоров и подробных статей с инструкциями, с ним легко работать (несмотря на англоязычное меню и сетевые «тонкости», а его расширяемая функциональность позволяет достигнуть отличного результата в сфере сетевого мониторинга. Поверьте, у приложения масса незаменимых достоинств и по сути отсутствуют значительные недостатки.
Рекомендуем скачать Wireshark на нашем сайте – это абсолютно бесплатно. Обязательно тестируйте, пробуйте и оставляйте свои отзывы – нам будет очень интересно.

Как пользоваться Wireshark

Я предполагаю, что программа у вас уже установлена, но если нет, то вы можете ее установить из официальных репозиториев. Для этого наберите команду в Ubuntu:

sudo apt install wireshark

После установки вы сможете найти программу в главном меню дистрибутива. Запускать Wireshark нужно с правами суперпользователя, потому что иначе она не сможет анализировать сетевые пакеты. Это можно сделать из главного меню или через терминал с помощью команды для KDE:

А для Gnome / Unity:

Главное окно программы разделено на три части: первая колонка содержит список доступных для анализа сетевых интерфейсов, вторая — опции для открытия файлов, а третья — помощь.

Анализ сетевого трафика

Для начала анализа выберите сетевой интерфейс, например eth0, и нажмите кнопку Start.

После этого откроется следующее окно, уже с потоком пакетов, которые проходят через интерфейс. Это окно тоже разделено на несколько частей:

• Верхняя часть — это меню и панели с различными кнопками;
• Список пакетов — дальше отображается поток сетевых пакетов, которые вы будете анализировать;
• Содержимое пакета — чуть ниже расположено содержимое выбранного пакета, оно разбито по категориям в зависимости от транспортного уровня;
• Реальное представление — в самом низу отображается содержимое пакета в реальном виде, а также в виде HEX.

Вы можете кликнуть по любому пакету, чтобы проанализировать его содержимое:

Здесь мы видим пакет запроса к DNS, чтобы получить IP-адрес сайта, в самом запросе отправляется домен, а в пакете ответа мы получаем наш вопрос, а также ответ.

Для более удобного просмотра можно открыть пакет в новом окне, выполнив двойной клик по записи:

Фильтры Wireshark

Перебирать пакеты вручную, чтобы найти нужные, очень неудобно, особенно при активном потоке. Поэтому для такой задачи лучше использовать фильтры. Для ввода фильтров под меню есть специальная строка. Вы можете нажать Expression, чтобы открыть конструктор фильтров, но там их очень много, поэтому мы рассмотрим самые основные:

• ip.dst — целевой IP-адрес;
• ip.src — IP-адрес отправителя;
• ip.addr — IP отправителя или получателя;
• ip.proto — протокол;
• tcp.dstport — порт назначения;
• tcp.srcport — порт отправителя;
• ip.ttl — фильтр по ttl, определяет сетевое расстояние;
• http.request_uri — запрашиваемый адрес сайта.

Для указания отношения между полем и значением в фильтре можно использовать такие операторы:

Для объединения нескольких выражений можно применять:

• — оба выражения должны быть верными для пакета;
• || — может быть верным одно из выражений.

Теперь рассмотрим подробнее на примерах несколько фильтров и попытаемся понять все знаки отношений.

Сначала отфильтруем все пакеты, отправленные на 194.67.215.125 (losst.ru). Наберите строку в поле фильтра и нажмите Apply. Для удобства фильтры Wireshark можно сохранять с помощью кнопки Save:

А чтобы получить не только отправленные пакеты, но и полученные в ответ от этого узла, можно объединить два условия:

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

Дальше отберём пакеты с ttl меньше 10:

Также мы можем отобрать переданные большие файлы:

Отфильтровав Content-Type, мы можем выбрать все картинки, которые были загружены; выполним анализ трафика Wireshark, пакеты, которого содержат слово image:

http.content_type contains image

Чтобы очистить фильтр, вы можете нажать кнопку Clear. Бывает, вы не всегда знаете всю необходимую для фильтрации информацию, а просто хотите изучить сеть. Вы можете добавить любое поле пакета в качестве колонки и посмотреть его содержимое в общем окне для каждого пакета.

Например, я хочу вывести в виде колонки ttl (время жизни) пакета. Для этого откройте информацию о пакете, найдите это поле в разделе IP. Затем вызовите контекстное меню и выберите опцию Apply As Column:

Далее вы увидите нужную колонку после обновления:

Таким же образом можно создать фильтр на основе любого нужного поля. Выберите его и вызовите контекстное меню, затем нажмите Apply as filter или Prepare as filter, затем выбираем Selected, чтобы вывести только выбранные значения, или Not selected, чтобы их убрать:

Указанное поле и его значение будет применено или во втором случае подставлено в поле фильтра:

Таким способом вы можете добавить в фильтр поле любого пакета или колонку. Там тоже есть эта опция в контекстном меню. Для фильтрации протоколов вы можете использовать и более простые условия. Например, выполним анализ трафика Wireshark для протоколов HTTP и DNS:

Еще одна интересная возможность программы — использование Wireshark для отслеживания определённого сеанса между компьютером пользователя и сервером. Для этого откройте контекстное меню для пакета и выберите Follow TCP stream.

Затем откроется окно, в котором вы найдете все данные, переданные между сервером и клиентом:

Диагностика проблем Wireshark

Возможно, вам интересно, как пользоваться Wireshark 2.0 для обнаружения проблем в сети. Для этого в левом нижнем углу окна есть круглая кнопка, при нажатии на неё открывается окно Expet Tools. В нём Wireshark собирает все сообщения об ошибках и неполадках в сети:

Окно разделено на такие вкладки, как Errors, Warnings, Notices, Chats. Программа умеет фильтровать и находить множество проблем с сетью, и тут вы можете их очень быстро увидеть. Здесь тоже поддерживаются фильтры Wireshark.

Анализ трафика Wireshark

Вы можете очень просто понять, что именно скачивали пользователи и какие файлы они смотрели, если соединение не было зашифровано. Программа очень хорошо справляется с извлечением контента.

Для этого сначала нужно остановить захват трафика с помощью красного квадрата на панели. Затем откройте меню File -> Export Objects -> HTTP:

Далее в открывшемся окне вы увидите все доступные перехваченные объекты. Вам достаточно экспортировать их в файловую систему. Вы можете сохранять как картинки, так и музыку.

Дальше вы можете выполнить анализ сетевого трафика Wireshark или сразу открыть полученный файл другой программой, например плеером.

Выводы

В этой статье мы рассмотрели, как пользоваться Wireshark 2 для анализа сетевого трафика, а также примеры решения проблем с сетью. Это очень мощная утилита, которая имеет очень много функций. Всю её функциональность невозможно охватить в одной статье, но приведенной здесь базовой информации будет вполне достаточно, чтобы вы могли сами освоить всё необходимое.

• Как установить Tor Browser на Ubuntu 29 октября, 2016
• Песочница программ Linux 18 ноября, 2016
• Как установить ClamAV в Ubuntu 10 января, 2017
• Шифрование usb флешки 5 августа, 2017

Введение

Из всех методов изучения компьютерных сетей анализ трафика, пожалуй, самый кропотливый и трудоемкий. Интенсивные потоки современных сетей порождают очень много «сырого» материала, отыскать в котором крупицы полезной информации далеко не просто. За время своего существования стек TCP/IP оброс многочисленными приложениями и дополнениями, счет которым идет на сотни и тысячи. Это прикладные и служебные протоколы, протоколы аутентификации, туннелирования, доступа к сети и так далее. Кроме знания азов сетевых взаимодействий, исследователю трафика (то есть тебе) нужно свободно ориентироваться во всем этом протокольном многообразии и уметь работать со специфичными программными инструментами — снифферами, или, по-научному, анализаторами трафика (протоколов).

Функциональность сниффера — это не только возможность использования «неразборчивого» (promiscuos) режима работы сетевой карты для перехвата. Подобный софт должен уметь эффективно фильтровать трафик как на этапе сбора, так и во время изучения отдельных единиц передачи (фреймов, пакетов, сегментов, датаграмм, сообщений). Причем чем больше протоколов сниффер «знает», тем лучше.

Современные анализаторы протоколов много чего умеют: считать статистику трафика, рисовать графики хода сетевых взаимодействий, извлекать данные прикладных протоколов, экспортировать результаты работы в различные форматы… Поэтому подбор инструментария для анализа сетевого трафика — это тема для отдельного разговора. Если ты не знаешь, что выбрать, или же не хочешь тратить деньги на платное ПО, то воспользуйся простым советом: установи Wireshark.

Источник: mycomp.su

Как использовать Wireshark: полное руководство

Wireshark — это приложение с открытым исходным кодом, которое собирает и отображает данные, передаваемые по сети туда и обратно. Он обычно используется для устранения неполадок в сети и тестирования программного обеспечения, поскольку он предоставляет возможность развернуть и прочитать содержимое каждого пакета .

Инструкции в этой статье относятся к Wireshark 3.0.3 для Windows и Mac.

Что такое Wireshark?

Изначально известный как Ethereal, Wireshark отображает данные из сотен различных протоколов для всех основных типов сетей. Пакеты данных можно просматривать в режиме реального времени или анализировать в автономном режиме. Wireshark поддерживает десятки форматов файлов захвата / трассировки, включая CAP и ERF . Интегрированные инструменты дешифрования отображают зашифрованные пакеты для нескольких общих протоколов, включая WEP и WPA / WPA2 .

Как скачать и установить Wireshark

Wireshark можно бесплатно загрузить с веб-сайта Wireshark Foundation для MacOS и Windows. Вы увидите последний стабильный выпуск и текущий выпуск для разработчиков. Если вы не являетесь опытным пользователем, загрузите стабильную версию.

В процессе установки Windows выберите установку WinPcap или Npcap, если это будет предложено, поскольку они включают библиотеки, необходимые для сбора данных в реальном времени.

Вы должны войти в систему как администратор, чтобы использовать Wireshark. В Windows 10 найдите Wireshark и выберите « Запуск от имени администратора» . В macOS щелкните правой кнопкой мыши значок приложения и выберите « Информация» . В настройках « Общий доступ и разрешения» дайте администратору права на чтение и запись .

Приложение также доступно для Linux и других UNIX-подобных платформ, включая Red Hat, Solaris и FreeBSD. Двоичные файлы, необходимые для этих операционных систем, можно найти в нижней части страницы загрузки Wireshark в разделе « Сторонние пакеты ». Вы также можете скачать исходный код Wireshark с этой страницы.

Как захватить пакеты данных с Wireshark

Когда вы запускаете Wireshark, на экране приветствия перечисляются доступные сетевые подключения на вашем текущем устройстве. Справа от каждого из них представлен линейный график в стиле ЭКГ, представляющий живой трафик в этой сети.

Чтобы начать захват пакетов с помощью Wireshark:

Выберите одну или несколько сетей, перейдите в строку меню, затем выберите « Захват» .
Чтобы выбрать несколько сетей, удерживайте клавишу Shift во время выбора.

В окне « Интерфейсы захвата Wireshark» выберите « Пуск» .

Существуют и другие способы инициирования захвата пакетов. Выберите акульи плавники на левой стороне панели инструментов Wireshark, нажмите Ctrl + E , или дважды щелкните по сети.

Выберите « Файл» > « Сохранить как» или выберите опцию « Экспорт» для записи записи.

Чтобы остановить запись, нажмите Ctrl + E . Или перейдите на панель инструментов Wireshark и выберите красную кнопку « Стоп» , расположенную рядом с плавником акулы.

Как просмотреть и проанализировать содержимое пакета

Интерфейс захваченных данных содержит три основных раздела:

• Панель списка пакетов (верхняя часть)
• Панель сведений о пакете (средняя часть)
• Панель байтов пакета (нижняя часть)

Список пакетов

Панель списка пакетов, расположенная в верхней части окна, показывает все пакеты, найденные в активном файле захвата. Каждый пакет имеет свою собственную строку и соответствующий ему номер вместе с каждой из этих точек данных:

• Нет : это поле указывает, какие пакеты являются частью одного и того же диалога. Он остается пустым, пока вы не выберете пакет.
• Время: в этом столбце отображается отметка времени, когда пакет был захвачен. Формат по умолчанию — это количество секунд или неполных секунд с момента создания этого конкретного файла захвата.
• Источник: этот столбец содержит адрес (IP или другой), из которого был получен пакет.
• Назначение: этот столбец содержит адрес, на который отправляется пакет.
• Протокол. В этом столбце можно найти имя протокола пакета, например TCP.
• Длина: длина пакета в байтах отображается в этом столбце.
• Информация: Дополнительные сведения о пакете представлены здесь. Содержимое этого столбца может сильно различаться в зависимости от содержимого пакета.

Чтобы изменить формат времени на более полезный (например, фактическое время дня), выберите « Просмотр» > «Формат отображения времени» .

Когда пакет выбран в верхней панели, вы можете заметить, что один или несколько символов появляются в столбце № . Открытые или закрытые скобки и прямая горизонтальная линия указывают, являются ли пакет или группа пакетов частью одного и того же разговора в сети. Пунктирная горизонтальная линия означает, что пакет не является частью диалога.

Детали пакета

Панель сведений, расположенная посередине, представляет протоколы и поля протоколов выбранного пакета в разборном формате. В дополнение к расширению каждого выбора вы можете применять отдельные фильтры Wireshark на основе конкретных сведений и отслеживать потоки данных на основе типа протокола, щелкая правой кнопкой мыши нужный элемент.

Пакетные байты

Внизу находится панель байтов пакетов, которая отображает необработанные данные выбранного пакета в шестнадцатеричном представлении. Этот шестнадцатеричный дамп содержит 16 шестнадцатеричных байтов и 16 ASCII-байтов вместе со смещением данных.

Выбор определенной части этих данных автоматически выделяет соответствующий раздел в области сведений о пакете и наоборот. Любые байты, которые не могут быть напечатаны, представлены точкой.

Чтобы отобразить эти данные в битовом формате, а не в шестнадцатеричном, щелкните правой кнопкой мыши в любом месте панели и выберите в качестве битов .

Как использовать Wireshark Filters

Фильтры захвата инструктируют Wireshark записывать только пакеты, соответствующие указанным критериям. Фильтры также можно применять к файлу захвата, который был создан, так что отображаются только определенные пакеты. Они называются фильтрами отображения.

Wireshark предоставляет большое количество предопределенных фильтров по умолчанию. Чтобы использовать один из этих существующих фильтров, введите его имя в поле « Применить фильтр отображения», расположенное под панелью инструментов Wireshark, или в поле « Ввести фильтр захвата», расположенное в центре экрана приветствия.

Например, если вы хотите отобразить TCP-пакеты, введите tcp . Функция автозаполнения Wireshark показывает предлагаемые имена, когда вы начинаете печатать, упрощая поиск правильного названия для фильтра, который вы ищете.

Другой способ выбрать фильтр — выбрать закладку в левой части поля ввода. Выберите « Управление выражениями фильтров» или « Управление фильтрами отображения» для добавления, удаления или редактирования фильтров.

Вы также можете получить доступ к ранее использованным фильтрам, нажав стрелку вниз в правой части поля ввода, чтобы отобразить раскрывающийся список истории.

Фильтры захвата применяются, как только вы начинаете запись сетевого трафика. Чтобы применить фильтр отображения, выберите стрелку вправо в правой части поля ввода.

Цветовые правила Wireshark

В то время как фильтры захвата и отображения Wireshark ограничивают, какие пакеты записываются или отображаются на экране, его функция окраски делает шаг вперед: он может различать разные типы пакетов на основе их индивидуального оттенка. Это позволяет быстро найти определенные пакеты в сохраненном наборе по цвету строки на панели списка пакетов.

Wireshark содержит около 20 правил раскраски по умолчанию, каждое из которых можно редактировать, отключать или удалять. Выберите View > Coloring Rules для обзора того, что означает каждый цвет. Вы также можете добавить свои собственные фильтры на основе цвета.

Выберите « Просмотр» > « Colorize Packet List», чтобы включить или выключить раскраску пакетов.

Статистика в Wireshark

Другие полезные показатели доступны через раскрывающееся меню Статистика . Они включают в себя информацию о размере и времени файла захвата, а также десятки диаграмм и графиков, варьирующихся по темам: от разбивки пакетов до распределения нагрузки по HTTP-запросам.

Фильтры отображения можно применять ко многим из этих статистических данных через их интерфейсы, а результаты можно экспортировать в распространенные форматы файлов, включая CSV , XML и TXT.

Wireshark Расширенные возможности

Wireshark также поддерживает расширенные функции, включая возможность написания протоколов диссекторов на языке программирования Lua.

Источник: gadgetshelp.com

Wireshark

Wireshark — многофункциональный и расширяемый анализатор трафика компьютерных сетей Ethernet и некоторых других (network protocol analyzer).

Анализатор трафика (сниффер / sniffer — нюхать) — приложение или устройство для перехвата и анализа сетевого трафика (своего или чужого). Сниффер может анализировать только то сто проходит через доступную сетевую карту, в «классическом» варианте анализ трафика происходит «вручную», с применением лишь простейших средств автоматизации.

Разработка проекта начата в 1998 году Джеральдом Комбсом (Gerald Combs), изначально приложение называлось Ethernal, но из-за проблем с торговой маркой в июне 2006 года проект был переименован в Wireshark. На данный момент развитие приложения осуществляется благодаря добровольному вкладу сетевых экспертов по всему миру.

Wireshark имеет консольную версию (wireshark-cli) состоящую из набора утилит: capinfos, captype, dumpcap, editcap, idl2wrs, mergecap, mmdbresolve, randpkt, rawshark, reordercap, sharkd, text2pcap и tshark, а также имеет частично настраиваемый C (си) / C++ / QT (ранее GTK) пользовательский интерфейс для них. Функциональность приложения во многом похожа на предоставляемую консольной утилитой tcpdump, позволяющей перехватывать и анализировать сетевой трафик.

Используя Wireshark пользователь может просматривать весь проходящий по сети трафик в «режиме реального времени», переводя сетевую карту в неразборчивый режим (Promiscuous mode), режим в котором сетевая карта позволяет принимать все пакеты независимо от того кому они адресованы.

Wireshark предоставляет множество возможностей по сортировке и фильтрации информации, имеется поддержка большинства наиболее распространённых сетевых протоколов, что позволяет перехватить и разобрать сетевой пакет, отображая значение каждого поля протокола любого уровня.

Для захвата пакетов Wireshark использует возможности библиотеки анализа сетевых данных PCAP (Libpcap), поэтому поддерживается возможность захвата данных только из тех сетей что поддерживается этой библиотекой.

Одной из особенностей Wireshark является возможность работы с множеством форматом входных данных, в том числе поддерживаются файлы данных захваченных другими приложениями, что значительно расширяет возможности захвата. Захват файлов сжатых с помощью gzip может быть распакован «на лету».

Wireshark для различных конфигураций позволяет использовать «профили», вывод можно экспортировать в форматы XML, PostScript, CSV и обычный текст. Для расширения возможностей используются Lua-скрипты, для управления используется мышь и/или клавиатурные сочетания. По работе с приложением имеется подробная официальная документация и большое количество неофициальной (пользовательской).

Лицензия: GNU General Public License version 2.0 (GPLv2)

Источник: zenway.ru