What to Know
- Wireshark er en åpen kildekode-applikasjon som fanger opp og viser data som reiser frem og tilbake på et nettverk.
- Fordi den kan bore ned og lese innholdet i hver pakke, brukes den til å feilsøke nettverksproblemer og teste programvare.
Instruksjonene i denne artikkelen gjelder for Wireshark 3.0.3 for Windows og Mac.
bunnlinjen
Wireshark, opprinnelig kjent som Ethereal, viser data fra hundrevis av forskjellige protokoller på alle hovednettverkstyper. Datapakker kan sees i sanntid eller analyseres offline. Wireshark støtter dusinvis av fangst-/sporingsfilformater, inkludert CAP og ERF. Integrerte dekrypteringsverktøy viser de krypterte pakkene for flere vanlige protokoller, inkludert WEP og WPA/WPA2.
Hvordan laste ned og installere Wireshark
Wireshark kan lastes ned gratis fra Wireshark Foundation-nettstedet for både macOS og Windows. Du vil se den siste stabile utgivelsen og den nåværende utviklingsutgivelsen. Med mindre du er en avansert bruker, last ned den stabile versjonen.
Under installasjonsprosessen for Windows, velg å installere WinPcap eller Npcap hvis du blir bedt om det, da disse inkluderer biblioteker som kreves for live datafangst.
Du må være logget på enheten som administrator for å bruke Wireshark. I Windows 10, søk etter Wireshark og velg Kjør som administrator I macOS høyreklikker du på appikonet og velger Få informasjonI Deling og tillatelser-innstillingene, gi administratoren Read & Write privilegier.
Applikasjonen er også tilgjengelig for Linux og andre UNIX-lignende plattformer, inkludert Red Hat, Solaris og FreeBSD. Binærfilene som kreves for disse operativsystemene finner du nederst på Wireshark-nedlastingssiden under Tredjepartspakker-delen. Du kan også laste ned Wiresharks kildekode fra denne siden.
Hvordan fange datapakker med Wireshark
Når du starter Wireshark, viser en velkomstskjerm de tilgjengelige nettverkstilkoblingene på din nåværende enhet. Til høyre for hver vises et linjediagram i EKG-stil som representerer direkte trafikk på det nettverket.
For å begynne å fange pakker med Wireshark:
-
Velg ett eller flere nettverk, gå til menylinjen, og velg deretter Capture.
For å velge flere nettverk, hold Shift-tasten nede mens du velger.
-
I Wireshark Capture Interfaces-vinduet, velg Start.
Det finnes andre måter å starte pakkefangst på. Velg shark fin på venstre side av Wireshark-verktøylinjen, trykk Ctrl+E, eller dobbeltklikk på nettverket.
-
Velg Fil > Lagre som eller velg et Eksporter- alternativ for å ta opp opptak.
-
For å stoppe opptak, trykk Ctrl+E. Eller gå til Wireshark-verktøylinjen og velg den røde Stop-knappen som er plassert ved siden av haifinnen.
Hvordan se og analysere pakkeinnhold
Det innhentede datagrensesnittet inneholder tre hovedseksjoner:
- Pakkelisteruten (den øverste delen)
- Pakkedetaljruten (den midtre delen)
- Pakkebyte-ruten (den nederste delen)
Pakkeliste
Pakkeliste-ruten, som ligger øverst i vinduet, viser alle pakker som finnes i den aktive fangstfilen. Hver pakke har sin egen rad og tilhørende nummer tildelt den, sammen med hvert av disse datapunktene:
- No: Dette feltet indikerer hvilke pakker som er en del av den samme samtalen. Den forblir tom til du velger en pakke.
- Tid: Tidsstempelet for når pakken ble fanget vises i denne kolonnen. Standardformatet er antall sekunder eller delvise sekunder siden denne spesifikke opptaksfilen ble opprettet første gang.
- Kilde: Denne kolonnen inneholder adressen (IP eller annet) der pakken kom fra.
- Destinasjon: Denne kolonnen inneholder adressen som pakken sendes til.
- Protokoll: Pakkens protokollnavn, for eksempel TCP, finnes i denne kolonnen.
- Length: Pakkelengden, i byte, vises i denne kolonnen.
- Info: Ytterligere detaljer om pakken er presentert her. Innholdet i denne kolonnen kan variere mye avhengig av pakkens innhold.
For å endre tidsformatet til noe mer nyttig (som den faktiske tiden på dagen), velg View > Time Display Format.
Når en pakke er valgt i den øverste ruten, kan du legge merke til at ett eller flere symboler vises i kolonnen No.. Åpne eller lukkede parenteser og en rett horisontal linje indikerer om en pakke eller gruppe med pakker er en del av den samme frem-og-tilbake-samtalen på nettverket. En brutt horisontal linje betyr at en pakke ikke er en del av samtalen.
Pakkedetaljer
Detaljruten, som finnes i midten, presenterer protokollene og protokollfeltene til den valgte pakken i et sammenleggbart format. I tillegg til å utvide hvert utvalg, kan du bruke individuelle Wireshark-filtre basert på spesifikke detaljer og følge datastrømmer basert på protokolltype ved å høyreklikke på ønsket element.
Packet Bytes
Nedst er pakkebyte-ruten, som viser rådataene til den valgte pakken i en heksadesimal visning. Denne heksadesimale dumpen inneholder 16 heksadesimale byte og 16 ASCII-byte sammen med dataforskyvningen.
Hvis du velger en bestemt del av disse dataene, fremheves den tilhørende delen automatisk i pakkedetaljpanelet og omvendt. Eventuelle byte som ikke kan skrives ut er representert med et punktum.
For å vise disse dataene i bitformat i motsetning til heksadesim alt, høyreklikk hvor som helst i ruten og velg as bits.
Hvordan bruke Wireshark-filtre
Capture-filtre instruerer Wireshark til å bare registrere pakker som oppfyller spesifiserte kriterier. Filtre kan også brukes på en registreringsfil som er opprettet slik at bare enkelte pakker vises. Disse kalles visningsfiltre.
Wireshark tilbyr et stort antall forhåndsdefinerte filtre som standard. For å bruke et av disse eksisterende filtrene, skriv inn navnet i Apply a display filter-feltet under Wireshark-verktøylinjen eller i Enter a capture filterfelt plassert i midten av velkomstskjermen.
For eksempel, hvis du vil vise TCP-pakker, skriv tcp. Wireshark-autofullføringsfunksjonen viser foreslåtte navn når du begynner å skrive, noe som gjør det lettere å finne riktig navn for filteret du leter etter.
En annen måte å velge et filter på er å velge bokmerket på venstre side av inntastingsfeltet. Velg Manage Filter Expressions eller Manage Display Filters for å legge til, fjerne eller redigere filtre.
Du kan også få tilgang til tidligere brukte filtre ved å velge nedpilen på høyre side av inntastingsfeltet for å vise en historikk-rullegardinliste.
Fangstfiltre brukes så snart du begynner å registrere nettverkstrafikk. For å bruke et visningsfilter, velg høyre pil på høyre side av inntastingsfeltet.
Wireshark Color Rules
Mens Wiresharks fangst- og visningsfiltre begrenser hvilke pakker som tas opp eller vises på skjermen, tar fargeleggingsfunksjonen ting et skritt videre: Den kan skille mellom ulike pakketyper basert på deres individuelle fargetone. Dette lokaliserer raskt bestemte pakker i et lagret sett etter radfargen i pakkelisteruten.
Wireshark kommer med omtrent 20 standard fargeregler, hver kan redigeres, deaktiveres eller slettes. Velg View > Coloring Rules for en oversikt over hva hver farge betyr. Du kan også legge til dine egne fargebaserte filtre.
Velg Vis > Colorize Packet List for å slå pakkefarging av og på.
Statistics in Wireshark
Andre nyttige beregninger er tilgjengelige via rullegardinmenyen Statistics. Disse inkluderer informasjon om størrelse og timing om registreringsfilen, sammen med dusinvis av diagrammer og grafer som spenner i emne fra pakkesammenbrudd til lastdistribusjon av
Visningsfiltre kan brukes på mange av disse statistikkene via deres grensesnitt, og resultatene kan eksporteres til vanlige filformater, inkludert CSV, XML og TXT.
Wireshark avanserte funksjoner
Wireshark støtter også avanserte funksjoner, inkludert muligheten til å skrive protokolldissektorer i programmeringsspråket Lua.