Wireshark er den førende netværksprotokolanalysator, der bruges af sikkerhedsprofessionelle over hele verden. Det giver dig mulighed for at opdage uregelmæssigheder i computernetværk og finde de bagvedliggende årsager. Vi vil demonstrere, hvordan du bruger Wireshark i de følgende afsnit.

Så hvordan fungerer det? Og hvordan bruger du faktisk Wireshark til at fange datapakker?

Hvordan fungerer Wireshark?

Wiresharks robuste funktionssæt har gjort det til et af bedste værktøjer til fejlfinding af netværksproblemer. Mange mennesker bruger Wireshark, herunder netværksadministratorer, sikkerhedsrevisorer, malware-analytikere og endda angribere.

7 bedste værktøjer til fejlfinding af netværksproblemer

Har du et netværksproblem? Eller vil du bare vide mere om dit hjemmenetværk? Disse syv værktøjer kan hjælpe dig med at analysere og fejlfinde dit netværk.

Det giver dig mulighed for at udføre dybe inspektioner af live eller lagrede netværkspakker. Når du begynder at bruge Wireshark, vil du blive fascineret af mængden af ​​information, den kan tilbyde. Men for meget information gør det ofte svært at holde sig på sporet.

instagram viewer

Heldigvis kan vi afbøde dette via Wiresharks avancerede filtreringsfunktioner. Vi diskuterer dem detaljeret senere. Workflowet består i at registrere netværkspakker og filtrere de krævede oplysninger ud.

Sådan bruges Wireshark til pakkeoptagelse

Når du starter Wireshark, viser det netværksgrænsefladerne, der er tilsluttet dit system. Du skal bemærke kurver, der repræsenterer netværkskommunikation ved siden af ​​hver grænseflade.

Nu skal du vælge en bestemt grænseflade, før du kan begynde at fange pakker. For at gøre dette skal du vælge interface-navnet og klikke på det blå hajfinne ikon. Du kan også gøre dette ved at dobbeltklikke på grænsefladenavnet.

Wireshark begynder at fange de indgående og udgående pakker til den valgte grænseflade. Klik på det røde pause ikon for at standse fangsten. Du bør se en liste over netværkspakker taget under denne proces.

Wireshark viser kilden og destinationen for hver pakke sammen med protokollen. Men det meste af tiden vil du være interesseret i indholdet af informationsfeltet.

Du kan inspicere individuelle pakker ved at klikke på dem. På denne måde kan du se hele pakkedataene.

Sådan gemmes fangede pakker i Wireshark

Da Wireshark fanger en masse trafik, kan du nogle gange gemme dem til senere inspektion. Heldigvis er det ubesværet at gemme indfangne ​​pakker med Wireshark.

Stop den aktive session for at gemme pakker. Klik derefter på fil ikon i topmenuen. Du kan også bruge Ctrl + S at gøre dette.

Wireshark kan gemme pakker i flere formater, herunder pcapng, pcap og dmp. Du kan også gemme fangede pakker i et andet format værktøjer til netværksanalyse kan senere bruges.

Sådan analyseres fangede pakker

Du kan analysere tidligere fangede pakker ved at åbne capture-filen. Når du er i hovedvinduet, skal du klikke på Fil> Åbn og vælg derefter den relevante gemte fil.

Du kan også bruge Ctrl + O at gøre dette hurtigt. Når du har analyseret pakkerne, skal du afslutte inspektionsvinduet ved at gå til Fil> Luk.

Sådan bruges Wireshark-filtre

Wireshark tilbyder en overflod af robuste filtreringsfunktioner. Filtre er af to typer - displayfiltre og capture-filtre.

Brug af Wireshark displayfiltre

Displayfiltre bruges til at se specifikke pakker fra alle de fangede pakker. For eksempel kan vi bruge displayfilteret icmp for at se alle ICMP-datapakker.

Du kan vælge mellem et stort antal filtre. Desuden kan du også definere tilpassede filtreringsregler til trivielle opgaver. Gå til for at tilføje tilpassede filtre Analyser> Vis filtre. Klik på + ikon for at tilføje et nyt filter.

Brug af Wireshark Capture-filtre

Capture-filtre bruges til at specificere, hvilke pakker der skal fanges under en Wireshark-session. Det producerer betydeligt færre pakker end standardoptagelser. Du kan bruge dem i situationer, hvor du har brug for specifik information om bestemte pakker.

Indtast dit opsamlingsfilter i feltet lige over listen over grænseflader i hovedvinduet. Vælg grænsefladenavnet fra listen, og skriv filternavnet i ovenstående felt.

Klik på det blå hajfinne ikon for at begynde at fange pakker. I det følgende eksempel bruges arp filter for kun at registrere ARP-transaktioner.

Brug af Wireshark farvelægningsregler

Wireshark giver flere farveregler, som tidligere blev betegnet som farvefiltre. Det er en fantastisk funktion at have, når man analyserer omfattende netværkstrafik. Du kan også tilpasse dem baseret på præference.

Gå til for at få vist de aktuelle farveregler Se> Farvelægningsregler. Her kan du finde standardfarvereglerne til din installation.

Du kan ændre dem, som du vil. Plus, du kan også bruge andres farveregler ved at importere konfigurationsfilen.

Download filen, der indeholder de tilpassede regler, og importer den derefter ved at vælge Se> Farvelægningsregler> Import. Du kan eksportere regler på samme måde.

Wireshark i aktion

Indtil videre har vi diskuteret nogle af Wiresharks kernefunktioner. Lad os udføre nogle praktiske operationer for at demonstrere, hvordan disse integreres.

Vi har oprettet en grundlæggende Go-server til denne demonstration. Den returnerer en simpel tekstbesked for hver anmodning. Når serveren kører, foretager vi nogle HTTP-anmodninger og indfanger live-trafikken. Bemærk, at vi kører serveren på localhost.

Først indleder vi pakkeopsamling ved at dobbeltklikke på Loopback (localhost) -grænsefladen. Det næste trin er at starte vores lokale server og sende en GET-anmodning. Vi bruger krøller til at gøre dette.

Wireshark fanger alle indgående og udgående pakker under denne samtale. Vi vil se de data, der sendes af vores server, så vi bruger http.svar displayfilter til visning af svarpakker.

Nu skjuler Wireshark alle andre fangede pakker og viser kun svarpakkerne. Hvis du ser nøje på pakkeoplysningerne, skal du bemærke de almindelige tekstdata, der sendes af vores server.

Nyttige Wireshark-kommandoer

Du kan også bruge forskellige Wireshark-kommandoer til at styre softwaren fra din Linux-terminal. Her er nogle grundlæggende Wireshark-kommandoer:

  • wireshark starter Wireshark i grafisk tilstand.
  • wireshark -h viser de tilgængelige kommandolinjemuligheder.
  • wireshark -i INTERFACE vælger INTERFACE som optagelsesgrænseflade.

Tshark er kommandolinjealternativet for Wireshark. Det understøtter alle de væsentlige funktioner og er ekstremt effektiv.

Analyser netværkssikkerhed med Wireshark

Wiresharks rige funktioner og avancerede filtreringsregler gør pakkeanalyse produktiv og ligetil. Du kan bruge den til at finde alle mulige oplysninger om dit netværk. Prøv de mest basale funktioner for at lære, hvordan du bruger Wireshark til pakkeanalyse.

Wireshark kan downloades på enheder, der kører Windows, macOS og Linux.

E-mail
Sådan omdannes din Raspberry Pi til et netværksovervågningsværktøj

Vil du overvåge dit netværk eller eksterne enheder? Sådan gør du din Raspberry Pi til et netværksovervågningsværktøj ved hjælp af Nagios.

Relaterede emner
  • Linux
  • Mac
  • Windows
  • Sikkerhed
  • Onlinesikkerhed
Om forfatteren
Rubaiat Hossain (6 artikler udgivet)

Rubaiat er en CS grad med en stærk passion for open source. Bortset fra at være Unix-veteran, er han også interesseret i netværkssikkerhed, kryptografi og funktionel programmering. Han er en ivrig samler af brugte bøger og har en uendelig beundring for klassisk rock.

Mere fra Rubaiat Hossain

Abonner på vores nyhedsbrev

Deltag i vores nyhedsbrev for tekniske tip, anmeldelser, gratis e-bøger og eksklusive tilbud!

Et trin mere !!!

Bekræft din e-mail-adresse i den e-mail, vi lige har sendt dig.

.