Wireshark. Руководство по использованию.
Следующее руководство предназначено для краткого ознакомления с самым известным пакетом Sniffer в мире Wireshark. Наиболее полное руководство, которое вы можете найти, — это руководство пользователя на английском языке- user-guide-wireshark , которое насчитывает 192 страницы.
В любом случае, если не хотите читать все данные страницы, можно найти несколько простых руководств в Интернете. Это одна из них, и только теоретическая основа на «практический» подход для графического интерфейса.
Вступление
Данные, которые вы отправляете и получаете с вашего компьютера, инкапсулируются в соответствии с моделью ISO / OSI или структурой TCP / IP. На следующих изображениях видно, как построена модель ISO / OSI и структура TCP / IP и как они взаимодействуют друг с другом.
Начнем с уровней приложения, данные инкапсулируются через 7 разных уровней. Каждый уровень добавляет заголовок. Посмотрите на следующее изображение; когда речь заходит о уровне транспорт (TRANSPORT), мы называем данные «сегментами»(SEGMENT), когда речь идет о сетевом уровне (NETWORK), мы говорим «пакеты»(PACKET), говоря о уровне канале передачи данных, мы говорим «фрейм» (FRAME)и ссылаясь на физический уровень «бит»(BIT).
Wireshark — мощный (эффективный) сниффер пакетов. Хотя мы говорим об сниффере пакетов, Wireshark захватывает фреймы на уровне канала передачи данных. Wireshark более пассивен. Он не отправляет фреймы и не получает их. Wireshark получает копию всех фреймов, обмениваемых между двумя машинами, затем, сниффер работает на уровене канала передачи данных, может считывать информацию на всех более высоких уровнях (сеть, транспорт, сессия, презентация, приложение), храня данные и отображая различные области протокола также их содержимое.
Wireshark по существу состоит из двух частей: библиотеки содержащие пакеты, которая позволяет Wireshark сниффить пакеты и пакетный анализатор, позволяющий Wireshark различать, например, HTTP POST-метод из метода HTTP GET.
Простой графический интерфейс
Графический интерфейс Wireshark показывает следующие части:
• область фильтра отображения пакетов
• окно со списком пакетов
• окно со сведениями о заголовке пакета
• окно с содержимым пакетов
• Меню «File»(Файл) позволяет нам импортировать захваченные файлы, экспортировать их, сохранить захваченное и выйти из Wireshark.
• Меню «Edit»(Правка) помогает нам искать конкретный пакет между множеством захваченных пакетов.
• Меню «Capture» (Захват) позволяет нам запускать или останавливать захваченное и уточнять параметры захвата. Он также представляет список предварительно сконфигурированных фильтров исследований.
• В меню Analyze (анализа) отображаются параметры других фильтров.
Область фильтра отображения пакетов
Тут можно ввести слово (например, имя протокола), чтобы скрыть все пакеты, которые не содержать в себе введенное имя.
Окно со списком пакетов
Тут нам дан список всех захваченных пакетов. Обратите внимание, что номер пакета назначается сниффером Wireshark чтобы было легче понять и удобно читать, но это не имеет ничего общего с самим пакетом. В этом списке можно найти адрес источника и получателя, время, в которое был захвачен пакет, и тип протокола.
Окно со сведениями о заголовке пакета
Жанр деталей, которые можно найти тут, включает в себя сведения об источнике или конечной цели выбранного пакета, сведения о Ethernet и IP и т. д.
Окно с содержимым пакетов
Отображает содержимое выбранного пакета как в шестнадцатеричном, так и в ASCII.
Обратите внимание, что пользователи, не являющиеся пользователями со всеми правами, не будут автоматически иметь разрешение на выполнение захватов. Чтобы решить эту проблему, прочитайте документ readme (/usr/share/doc/wireshark-common/README.Debian), в котором говорится:
«Только пользователь со всеми правами сможет захватывать пакеты. Рекомендуется захватить
пакеты с прилагаемой программой dumpcap со всеми правами, а затем запустить
Wireshark / Tshark как обычный пользователь для анализа захваченных журналов. Это по умолчанию используется в системах Debian ».
Другая возможность — использовать Wireshark как для захвата, так и для анализа пакетов, в этом случае пользователь со всеми правами должен добавить гостевых пользователей в группу Wireshark, чтобы сделать их доступными для захвата.
Все возможные действия в Wireshark можно выполнять с помощью клавиатуры. Ниже приведен список все основные комбинации нажатий клавищ, которые можно использовать для перемещения по файлу захвата.
Клавиши быстрого ввода
Описание функций клавиш быстрого ввода
Перемещение между элементами экрана, например. от панелей инструментов до списка пакетов до подробностей пакета.
Перейдите к следующему пакету или к деталям элемента.
Перейдите к предыдущему пакету или к деталям элемента.
Перейдите к следующему пакету, даже если список пакета не сфокусирован.
Перейдите к предыдущему пакету, даже если список пакета не сфокусирован.
Перейдите к следующему пакету связи (TCP, UDP или IP)
Перейдите к предыдущему пакету связи (TCP, UDP или IP)
В деталях пакета закрывает выбранный элемент дерева. Если он уже закрыт, он переходит к родительскому узлу.
В деталях пакета открывает выбранный элемент дерева.
В деталях пакета открывает выбранный элемент дерева и все его ветви.
В деталях пакета открывает все элементы дерева.
В деталях пакета закрывает все элементы дерева.
В деталях пакета переходит к родительскому узлу.
В деталях пакета переключает выбранный элемент дерева.
Тест диапазона зоны охвата
Чтобы выполнить тест захвата, просто откройте свой любимый браузер. Затем можно запустить Wireshark, и увидите главное окно, в котором пока нет информации о пакете. Перейдите к «интерфейсам» и выберите тот который предпочитаете больше всего. Wireshark может использовать большое количество различных интерфейсов.
- “any” : виртуальный интерфейс, захватывает все возможные (даже скрытые)интерфейсы разом
- “lo”: виртуальный интерфейс обратной петли
- “eth0”, “eth1”, …: Ethernet интерфейсы
- “ppp0”, “ppp1”, …: PPP интерфейсы
- “wlan0”, “wlan1”, …: Wireless LAN
- “team0”, “bond0”: Комбинированные интерфейсы (например склейка адаптеров ( NIC bonding ) или сопряжение адаптеров (NIC teaming).)
- “br0”, “br1”, …: Сетевой мост Ethernet
- “tunl0”, “tunl1”: IPв IP туннелировании
- “gre0”, “gre1”: GRE туннелирование (Cisco)
- “ipsec0”, “ipsec1”: вторичный IP (VPN)
- “nas0”, “nas1”: мост ATM как в RFC 2684 (используется например для связи xDSL)
- “usb0”, “usb1”, …: USB интерфейсы
Чтобы найти поддерживаемые интерфейсы для других операционных систем, можете ознакомиться с Wireshark Wiki. Обратите внимание: если поместить свой интерфейс в режим мониторинга, то сможете захватить не только копию отправленных вам и от вас пакетов, но и копию всех пакетов, которые совершаются в вашей сети! Обратите внимание в этом случае, файл .pcap может быстро стать очень тяжелым.
После того как вы выбрали интерфейс захвата, нажмите «Пуск», и процесс захвата начнется для выбранного интерфейса. Пока просматриваете веб-страницы, увидите список всех пакетов и после того, как вас удовлетворит результат, поэтому, как только подумаете, что у вас достаточно пакетов, можете остановить процесс захвата. Теперь перейдите в меню «Файл» и нажмите «Сохранить как». Вы можете сохранить захваченные пакеты в нескольких форматах, следующий список поддерживаемых форматов с сайта Wireshark:
- pcapng (*.pcapng). Гибкий, работоспособный преемник формата libpcap. Wireshark 1.8 и более поздние версии сохраняют файлы как pcapng по умолчанию. Версии до 1.8 использовали libpcap.
- ibpcap, tcpdump и различные другие инструменты с использованием формата захвата tcpdump (*.pcap,*.cap,*.dmp)
- Accellent 5Views (*.5vw)
- HP-UX’s nettl (*.TRC0,*.TRC1)
- Microsoft Network Monitor – NetMon (*.cap)
- Network Associates Sniffer – DOS (*.cap,*.enc,*.trc,*fdc,*.syc)
- Network Associates Sniffer – Windows (*.cap)
- Network Instruments Observer version 9 (*.bfr)
- Novell LANalyzer (*.tr1)
- Oracle (previously Sun) snoop (*.snoop,*.cap)
- Visual Networks Visual UpTime traffic (*.*)
Заключительная часть-анализ захваченных пакетов. Чтобы выполнить хороший анализ, необходимо иметь надежную сетевую базу, но этот аргумент не является целью этого учебника, который объясняет, как использовать Wireshark для захвата сочной информации.
Как пользоваться Wireshark под Windows
Содержание
Какой наиболее мощный инструмент для захвата и анализа интернет трафика на сегодняшний день? Ответ прост – программа Wireshark. Она способна перехватывать не только исходящие TCP пакеты, но и входящие. Такой инструмент состоит на вооружении многих профессионалов. Да и хакеры не гнушаются его использовать. Возможности программы безграничны. С ее помощью можно вытащить любой файл из пакета, просмотреть его и проверить. Главный вопрос состоит в том, как это сделать. В этом мы и попробуем разобраться.
Что такое Wireshark
Сия утилита предназначена для контроля интернет трафика. Она перехватывает TCP пакеты, которые были приняты компьютером или посланы с него. Функционал программы настолько богат, что простым перехватом дело не ограничивается. Можно просматривать содержимое пакетов, искать ошибки и так далее. Кроме того, с помощью WS можно вытащить из пакетов практически любой файл и просмотреть его. Чтобы лучше понять, что это за программа, нужно выделить ее основные преимущества. Итак, плюсы:
- кроссплатформенность (есть версии для Linux, Mac, Unix);
- утилита совершенно бесплатна;
- обладает широким функционалом;
- гибкость настройки;
- возможность фильтрации трафика;
- создание собственных фильтров;
- перехват пакетов в реальном времени.
Преимуществ у данной утилиты действительно много. А вот недостатков как таковых нет вообще. Недаром Wireshark считается лучшей в своем роде для захвата и анализа TCP пакетов. Теперь нужно немного разобраться в самой программе.
Установка и настройка
Скачать Wireshark можно с официального сайта разработчика. Программа совершенно бесплатна. Стоит обратить внимание на то, что последняя версия (2.0.5) не работает с Wi-Fi адаптерами. Поэтому, если вам нужно анализировать трафик беспроводного соединения, следует скачать более старую версию.
Установка утилиты стандартна и не вызовет никаких проблем даже у новичков. В инсталляторе все понятно, хоть он и на английском. Кстати, Wireshark на русском языке в природе не существует, поэтому для того, чтобы успешно справляться с этим софтом придется напрячь память и вспомнить английский. В принципе, для простого захвата и просмотра TCP пакетов ничего сверхъестественного не понадобится. Хватит и школьного уровня английского.
Итак, первое, что мы видим после запуска установленной программы – главное окно. Для неподготовленного пользователя оно может показаться непонятным и страшным.
Ничего страшного в нем нет. В этом вы сейчас убедитесь. Для начала работы нужно сначала выбрать источник, из которого будет производиться захват TCP пакетов. Перехват может осуществляться как с Ethernet подключения, так и с WLAN адаптера. В качестве примера рассмотрим вариант с WLAN. Для настройки нужно зайти в пункт «Capture», подпункт «Options». В открывшемся окне следует выбрать ваш беспроводной адаптер и отметить его галочкой. Для начала захвата трафика достаточно нажать кнопку «Start».
После нажатия «Start» начнется анализ и захват пакетов. В окне появится много непонятных букв и цифр. Некоторые из пакетов имеют собственную цветовую маркировку. Для того, чтобы хоть что-то понять, нужно определить какой цвет к чему относится. Зеленый – TCP трафик, темно-синий – DNS, светло-синий – UDP и черный – пакеты TCP с ошибками. Теперь разобраться в этой горе данных проще.
Для остановки процесса перехвата достаточно нажать кнопку «Stop», которая помечена красным прямоугольником. Теперь можно выбрать интересующий вас пакет и просмотреть его. Для этого нужно щелкнуть по пакету правой клавишей мыши и в появившемся меню выбрать пункт «Show packet in new window». Тут же появится куча непонятных букв и цифр.
Но при углубленном изучении представленной информации можно понять, откуда и куда шел пакет и из чего он состоял. Для того чтобы просмотреть данные о TCP пакетах позднее, нужно использовать функцию сохранения захваченной информации. Она находится в пункте меню «File», подпункт «Save as». Потом можно будет загрузить информацию из файла и спокойно просмотреть ее.
Использование фильтров
Для отображения только той информации, которая вас интересует можно заставить Wireshark использовать фильтры и отсекать ненужный трафик. Инструкция по тонкой настройке фильтров находится в Сети, а мы пока рассмотрим только один пример. Допустим, вас интересуют только TCP пакеты. Для того, чтобы программа отображала только их, следует зайти в пункт меню «Capture», подпункт «Capture filters», выбрать пункт «TCP Only» и нажать кнопку «OK». 
Таким образом можно заставить утилиту отображать только тот трафик, который вас интересует. Подробнее о том, как пользоваться фильтрами, написано на просторах интернета. Можно даже создать свой собственный шаблон для фильтра. Но это уже совсем другая история.
Заключение
Среди программ для захвата и анализа трафика Wireshark зарекомендовала себя как наиболее достойная утилита для решения подобных задач. Многие профессионалы с успехом используют ее. Конечно, для того, чтобы работать в ней на профессиональном уровне придется подтянуть свои знания в английском и изучить некоторые принципы передачи данных. Но это того стоит. Теперь ни одна программа на вашем компьютере не сможет отсылать тонны ненужной информации незнамо куда без вашего ведома. Wireshark как перехватчик и анализатор не имеет себе равных.