Paano Gumamit ng Wireshark upang Makuha, Salain at Suriin ang Mga Packet

Ang Wireshark, isang tool sa pagtatasa ng network na dating kilala bilang Ethereal, ay kumukuha ng mga packet nang real time at ipinapakita ang mga ito sa nababasa na format ng tao. Kasama sa Wireshark ang mga filter, color coding, at iba pang mga tampok na hinahayaan kang maghukay ng malalim sa trapiko sa network at siyasatin ang mga indibidwal na packet.

Mapapabilis ka ng tutorial na ito sa mga pangunahing kaalaman sa pagkuha ng mga packet, pagsala sa mga ito, at pag-iinspeksyon sa kanila. Maaari mong gamitin ang Wireshark upang siyasatin ang trapiko sa network ng isang kahina-hinalang programa, pag-aralan ang daloy ng trapiko sa iyong network, o i-troubleshoot ang mga problema sa network.

Pagkuha ng Wireshark

Maaari mong i-download ang Wireshark para sa Windows o macOS mula sa opisyal na website. Kung gumagamit ka ng Linux o ibang system na tulad ng UNIX, malamang na makahanap ka ng Wireshark sa mga repository ng package. Halimbawa, kung gumagamit ka ng Ubuntu, mahahanap mo ang Wireshark sa Ubuntu Software Center.

Isang mabilis na babala lamang: Maraming mga samahan ang hindi pinapayagan ang Wireshark at mga katulad na tool sa kanilang mga network. Huwag gamitin ang tool na ito sa trabaho maliban kung mayroon kang pahintulot.

Nakukuha ang Mga Packet

Pagkatapos i-download at mai-install ang Wireshark, maaari mo itong ilunsad at i-double click ang pangalan ng isang interface ng network sa ilalim ng Capture upang simulang makuha ang mga packet sa interface na iyon. Halimbawa, kung nais mong makuha ang trapiko sa iyong wireless network, i-click ang iyong wireless interface. Maaari mong i-configure ang mga advanced na tampok sa pamamagitan ng pag-click sa Capture> Mga Pagpipilian, ngunit hindi ito kinakailangan sa ngayon.

Sa sandaling na-click mo ang pangalan ng interface, makikita mo ang mga packet na nagsisimulang lumitaw sa real time. Kinukuha ng Wireshark ang bawat packet na ipinadala sa o mula sa iyong system.

Kung mayroon kang naka-mode na promiscuous mode — pinagana nito bilang default — makikita mo rin ang lahat ng iba pang mga packet sa network sa halip na mga packet lamang ang nakatuon sa iyong adapter ng network. Upang suriin kung pinagana ang promiscuous mode, i-click ang Capture> Mga Pagpipilian at i-verify ang checkbox na "Paganahin ang promiscuous mode sa lahat ng mga interface" na naaktibo sa ilalim ng window na ito.

I-click ang pulang pindutang "Itigil" malapit sa kaliwang sulok sa itaas ng window kapag nais mong ihinto ang pagkuha ng trapiko.

Pag-coding ng Kulay

Marahil ay makakakita ka ng mga packet na naka-highlight sa iba't ibang mga magkakaibang kulay. Gumagamit ang Wireshark ng mga kulay upang matulungan kang makilala ang mga uri ng trapiko nang isang sulyap. Bilang default, ang light purple ay trapiko ng TCP, light blue ang trapiko ng UDP, at kinikilala ng itim ang mga packet na may mga error — halimbawa, maaaring maihatid sila nang wala sa ayos.

Upang matingnan nang eksakto kung ano ang ibig sabihin ng mga code ng kulay, i-click ang Tingnan> Mga Panuntunan sa Pangkulay. Maaari mo ring ipasadya at baguhin ang mga panuntunan sa pangkulay mula dito, kung nais mo.

Sample Captures

Kung walang kawili-wili sa iyong sariling network upang siyasatin, sinasaklaw ka ng wiki ni Wireshark. Naglalaman ang wiki ng isang pahina ng mga sample na nakakuha ng mga file na maaari mong mai-load at siyasatin. I-click ang File> Buksan sa Wireshark at i-browse para sa na-download na file upang buksan ang isa.

Maaari mo ring mai-save ang iyong sariling mga nakunan sa Wireshark at buksan ito sa paglaon. I-click ang File> I-save upang i-save ang iyong mga nakunan ng mga packet.

Pag-filter ng Mga Packet

Kung sinusubukan mong siyasatin ang isang bagay na tukoy, tulad ng trapiko na ipinapadala ng isang programa kapag nag-phoning sa bahay, makakatulong itong isara ang lahat ng iba pang mga application gamit ang network upang mapaliit mo ang trapiko. Gayunpaman, malamang na magkakaroon ka ng maraming halaga ng mga packet upang pag-ayusin. Doon pumasok ang mga filter ni Wireshark.

Ang pinaka-pangunahing paraan upang mag-apply ng isang filter ay sa pamamagitan ng pag-type nito sa kahon ng filter sa tuktok ng window at pag-click sa Ilapat (o pagpindot sa Enter). Halimbawa, i-type ang "dns" at makikita mo lamang ang mga DNS packet. Kapag nagsimula ka nang mag-type, tutulungan ka ng Wireshark na i-autocomplete ang iyong filter.

Maaari mo ring i-click ang Pag-aralan> Mga Filter sa Display upang pumili ng isang filter mula sa mga default na filter na kasama sa Wireshark. Mula dito, maaari kang magdagdag ng iyong sariling mga pasadyang filter at i-save ang mga ito upang madaling ma-access ang mga ito sa hinaharap.

Para sa karagdagang impormasyon sa display ng pag-filter ng Wireshark, basahin ang pahina ng mga expression ng expression ng filter na Building sa opisyal na dokumentasyon ng Wireshark.

Ang isa pang kagiliw-giliw na bagay na maaari mong gawin ay mag-right click sa isang packet at piliin ang Sundin> TCP Stream.

Makikita mo ang buong pag-uusap sa TCP sa pagitan ng client at ng server. Maaari mo ring i-click ang iba pang mga protokol sa menu na Sundin upang makita ang buong pag-uusap para sa iba pang mga protokol, kung naaangkop.

Isara ang bintana at makakakita ka ng isang filter na awtomatikong inilapat. Ipinapakita sa iyo ng Wireshark ang mga packet na bumubuo sa pag-uusap.

Pag-iinspeksyon ng Mga Pakete

Mag-click sa isang packet upang mapili ito at maaari kang maghukay pababa upang matingnan ang mga detalye nito.

Maaari ka ring lumikha ng mga filter mula dito - mag-click lamang ng tama sa isa sa mga detalye at gamitin ang ilapat bilang submenu ng Filter upang lumikha ng isang filter batay dito.

Ang Wireshark ay isang napakalakas na tool, at ang tutorial na ito ay nakakamot lamang sa kung ano ang maaari mong gawin dito. Ginagamit ito ng mga propesyonal upang i-debug ang pagpapatupad ng network proteksyon, suriin ang mga problema sa seguridad at siyasatin ang mga panloob na network proteksyon.

Maaari kang makahanap ng mas detalyadong impormasyon sa opisyal na Patnubay sa Gumagamit ng Wireshark at iba pang mga pahina ng dokumentasyon sa website ng Wireshark.


$config[zx-auto] not found$config[zx-overlay] not found