Hoe om Wireshark te gebruik om netwerkprobleme op te spoor

As jy in netwerke, sekuriteit of ontwikkeling werk en wil verstaan ​​wat op jou kabels en Wi-Fi gebeur, werk jy saam met Draadhark Dit is 'n noodsaaklike element. Hierdie oopbron pakketontleder met dekades van evolusie wat dit moontlik maak om verkeer op pakkievlak met chirurgiese presisie vas te lê, te dissekteer en te bestudeer.

In hierdie artikel analiseer ons dit in diepte: van die lisensie en borgskap tot die pakkette in GNU/Linux, insluitend konsole-hulpprogramme, ondersteunde formate, samestellingsvereistes, vasleggingspermissies en 'n werklik volledige historiese en funksionele oorsig.

Wat is Wireshark en waarvoor word dit vandag gebruik?

In wese is Wireshark 'n protokolontleder en verkeersopnametoestel wat jou toelaat om 'n koppelvlak in promiskue of monitormodus te plaas (indien die stelsel dit ondersteun) en rame te bekyk wat nie na jou Mac gestuur sou word nie, gesprekke te analiseer, vloei te rekonstrueer, pakkies volgens reëls te kleur en baie ekspressiewe vertoonfilters toe te pas. Verder, sluit TShark (terminale weergawe) in en 'n stel hulpmiddels vir take soos herordening, splitsing, samesmelting en omskakeling van skermkiekies.

Alhoewel die gebruik daarvan aan tcpdump herinner, bied dit 'n moderne grafiese koppelvlak gebaseer op Qt met filtrering, sortering en diep disseksie vir duisende protokolle. As jy op 'n skakelaar is, onthou dat promiskue modus nie waarborg dat jy al die verkeer sal sien nie: vir volledige scenario's benodig jy poortspieëling of netwerkkrane, wat hul dokumentasie ook as beste praktyke noem.

Lisensie, stigting en ontwikkelingsmodel

Wireshark word versprei onder GNU GPL v2 en op baie plekke, as "GPL v2 of later". Sommige hulpprogramme in die bronkode word gelisensieer onder verskillende maar versoenbare lisensies, soos die pidl-instrument met GPLv3+, wat nie die resulterende binêre lêer van die ontledingsinstrument beïnvloed nie. Daar is geen uitdruklike of geïmpliseerde waarborg nie; gebruik dit op eie risiko, soos gewoonlik met gratis sagteware.

La Wireshark-stigting Dit koördineer ontwikkeling en verspreiding. Dit maak staat op skenkings van individue en organisasies wie se werk op Wireshark gebaseer is. Die projek spog met duisende geregistreerde outeurs en historiese figure soos Gerald Combs, Gilbert Ramirez en Guy Harris onder sy mees prominente ondersteuners.

Wireshark loop op Linux, Windows, macOS en ander Unix-agtige stelsels (BSD, Solaris, ens.). Amptelike pakkette word vrygestel vir Windows en macOS, en op GNU/Linux word dit gewoonlik ingesluit as 'n standaard- of byvoegingspakket in verspreidings soos Debian, Ubuntu, Fedora, CentOS, RHEL, Arch, Gentoo, openSUSE, FreeBSD, DragonFly BSD, NetBSD en OpenBSD. Dit is ook beskikbaar op derdepartystelsels soos Tuisbrou, MacPorts, pkgsrc of OpenCSW.

Om van kode te kompileer, benodig jy Python 3; AsciiDoctor vir dokumentasie; en gereedskap soos Perl en GNU flex (klassieke lex sal nie werk nie). Konfigurasie met behulp van CMake laat jou toe om spesifieke ondersteuning te aktiveer of deaktiveer, byvoorbeeld kompressiebiblioteke met -DENABLE_ZLIB=AF, -DENABLE_LZ4=AF of -DENABLE_ZSTD=AF, of libsmi-ondersteuning met -DENABLE_SMI=OFF as jy verkies om nie MIB's te laai nie.

Pakkette en biblioteke in Debian-gebaseerde stelsels

In Debian/Ubuntu en afgeleide omgewings word die Wireshark-ekosisteem verdeel in verskeie pakketteHieronder is 'n uiteensetting met kenmerke, benaderde groottes en afhanklikhede. Hierdie pakkette laat jou toe om te kies uit 'n volledige GUI tot biblioteke en ontwikkelingsinstrumente vir die integrasie van disseksies in jou eie toepassings.

wireshark

Grafiese toepassing vir die vaslegging en ontleding van verkeer met 'n Qt-koppelvlak. Geraamde grootte: 10.59 MBFasiliteit: sudo apt install wireshark

Onder die opstartopsies vind jy parameters om die koppelvlak te kies (-i), vangfilters (-f), momentopnamelimiet, monitormodus, skakeltipelyste, vertoonfilters (-Y), “Dekodeer As” en voorkeure, sowel as lêeruitvoerformate en die vaslegging van kommentaar. Die toepassing laat ook toe konfigurasieprofilering en statistieke gevorderde funksies vanaf die koppelvlak.

tshaai

Konsoleweergawe vir opdragreëlopname en -analise. Geraamde grootte: 429 KBFasiliteit: sudo apt install tshark

Dit laat jou toe om koppelvlakke te kies, vasleggings- en vertoonfilters toe te pas, stopvoorwaardes (tyd, grootte, aantal pakkies) te definieer, sirkelvormige buffers te gebruik, besonderhede te druk, heksadesimale en JSON-dumps te genereer, en TLS-objekte en sleutels uit te voer. Dit kan ook die uitvoer in 'n versoenbare terminaal inkleur. pas logboekregistrasie aan volgens domeine en vlakke van detail. Versigtigheid word aangeraai as jy BPF JIT op kernvlak aktiveer, aangesien dit sekuriteitsimplikasies kan hê.

wireshark-algemeen

Algemene lêers vir Wireshark en Tshark (bv. woordeboeke, konfigurasies en lynhulpprogramme). Geraamde grootte: 1.62 MBFasiliteit: sudo apt install wireshark-common

Hierdie pakket sluit nutsdienste in soos kapinfos (lêerinligting oor vaslegging: tipe, inkapseling, duur, tempo's, groottes, hashes en kommentaar), kaptipe (identifiseer lêertipes), stortingsdeksel (liggewig vasleggingstoestel wat pcapng/pcap met outostop en sirkelvormige buffers gebruik), wysigkap (wysig/splits/omskakel opnames, pas tydstempels aan, verwyder duplikate, voeg kommentaar of geheime by), saamsmeltkap (voeg veelvuldige opnames saam of koppel dit saam), mmdbresolve (IP-geolokasie met MMDB-databasisse oplos), randpkt (multi-protokol sintetiese pakkiegenerator), rouhaai (ruwe disseksie met velduitset), herbestellimiet (herrangskik volgens tydstempel), haai (daemon met API om opnames te verwerk) en teks2pkap (skakel heksdumps of gestruktureerde teks om na geldige opnames).

libwireshark18 en libwireshark-data

Sentrale pakketdisseksiebiblioteek. Verskaf die protokolontleders wat deur Wireshark/TShark gebruik word. Benaderde biblioteekgrootte: 126.13 MBFasiliteit: sudo apt install libwireshark18 y sudo apt install libwireshark-data

Dit sluit ondersteuning in vir 'n groot aantal protokolle en opsies soos die in- of uitskakeling van spesifieke disseksies, heuristiek en "Dekodeer As" vanaf die koppelvlak of die opdragreël; danksy dit kan jy die disseksie van werklike verkeer van jou omgewing.

libwiretap15 en libwiretap-dev

Wiretap is 'n biblioteek vir die lees en skryf van verskeie vasleggingslêerformate. Die sterk punte daarvan is die verskeidenheid formate wat dit ondersteun; die beperkings daarvan is: Dit filter of voer nie direkte vaslegging uit nie.Fasiliteit: sudo apt install libwiretap15 y sudo apt install libwiretap-dev

Die -dev-variant verskaf die statiese biblioteek en C-opskrifte om lees-/skryfbewerkings in jou gereedskap te integreer. Dit laat jou toe om hulpprogramme te ontwikkel wat data manipuleer. pcap, pcapng en ander houers as deel van ons eie pyplyne.

libwsutil16 en libwsutil-dev

'n Stel hulpprogramme wat deur Wireshark en verwante biblioteke gedeel word: hulpfunksies vir stringmanipulasie, buffering, enkripsie, ens. Installasie: sudo apt install libwsutil16 y sudo apt install libwsutil-dev

Die -dev-pakket bevat opskrifte en 'n statiese biblioteek sodat eksterne toepassings algemene nutsdienste kan koppel sonder om wiele weer te implementeer. Dit is die fondament van veelvuldige gedeelde funksies wat Wireshark en TShark gebruik.

wireshark-ontwikkelaar

Gereedskap en lêers vir die skep van nuwe "dissektore". Dit verskaf skrifte soos idl2wrs, sowel as afhanklikhede vir samestelling en toetsing. Geraamde grootte: 621 KBFasiliteit: sudo apt install wireshark-dev

Dit sluit nutsdienste in soos asn2deb (genereer Debian-pakkette vir BER-monitering vanaf ASN.1) en idl2deb (pakkette vir CORBA). En, bowenal, idl2wrsHierdie instrument transformeer 'n CORBA IDL in die geraamte van 'n C-inprop vir die disseksie van GIOP/IIOP-verkeer. Hierdie werkvloei maak staat op Python-skripte (wireshark_be.py en wireshark_gen.py) en ondersteun standaard heuristiese disseksie. Die instrument soek na sy modules in PYTHONPATH/werfpakkette of in die huidige gids, en aanvaar lêerherleiding om die kode te genereer.

wireshark-dok

Gebruikersdokumentasie, ontwikkelingsgids en Lua-verwysing. Geraamde grootte: 13.40 MBFasiliteit: sudo apt install wireshark-doc

Aanbeveel as jy dieper wil delf uitbreidings, skripsie en API'sDie aanlyn dokumentasie op die amptelike webwerf word met elke stabiele weergawe opgedateer.

Vang- en sekuriteitspermitte

In baie stelsels vereis direkte vaslegging verhoogde voorregte. Om hierdie rede delegeer Wireshark en TShark vaslegging aan 'n derdepartydiens. stortingsdeksel'n Binêre lêer wat ontwerp is om met voorregte (set-UID of vermoëns) te loop om die aanvaloppervlak te verminder. Om die hele GUI as root te laat loop, is nie goeie praktyk nie; dit is verkieslik om met dumpcap of tcpdump vas te lê en sonder voorregte te analiseer om risiko's te verminder.

Die projek se geskiedenis sluit sekuriteitsvoorvalle in dissektors oor die jare in, en sommige platforms soos OpenBSD het die ou Ethereal-instansie om daardie rede onttrek. Met die huidige model verbeter isolasie van vaslegging en konstante opdaterings die situasie, maar dit is altyd raadsaam om... volg die veiligheidsinstruksies En, as jy verdagte aktiwiteit opspoor, weet hoe blokkeer verdagte netwerkverbindings en vermy die oopmaak van onbetroubare skermkiekies sonder voorafgaande hersiening.

Lêerformate, kompressie en spesiale lettertipes

Wireshark lees en skryf pcap en pcapng, sowel as formate van ander ontleders soos snoop, Network General Sniffer, Microsoft Network Monitor, en die vele wat hierbo deur Wiretap gelys word. Dit kan saamgeperste lêers oopmaak as hulle met biblioteke vir pcapng saamgestel is. GZIP, LZ4 en ZSTDIn die besonder, GZIP en LZ4 met onafhanklike blokke maak voorsiening vir vinnige spronge, wat GUI-prestasie in groot opnames verbeter.

Die projek dokumenteer kenmerke soos AIX iptrace (waar 'n HUP na die daemon skoon sluit), ondersteuning vir Lucent/Ascend-spore, Toshiba ISDN of CoSine L2, en dui aan hoe om die teksuitvoer na 'n lêer vas te lê (bv. met telnet <equipo> | tee salida.txt of die gebruik van die gereedskap skrif) om dit later met text2pcap in te voer. Hierdie paaie neem jou uit "Konvensionele" opnames wanneer jy toerusting gebruik wat nie direk oor die pcap kantel nie.

Suite-nutsdienste en opsiekategorieë

Benewens Wireshark en TShark, sluit die verspreiding ook in verskeie gereedskap wat baie spesifieke take dekSonder om die hulpteks woordeliks oor te skryf, is hier 'n opsomming wat volgens kategorieë georganiseer is sodat jy weet wat elkeen doen en watter opsies jy sal vind:

• stortingsdeksel: “suiwer en eenvoudig” pcap/pcapng-opname, koppelvlakkeuse, BPF-filters, buffergrootte, rotasie volgens tyd/grootte/lêers, skep van ringbuffers, opnamekommentaar en uitvoer in formaat masjienleesbaarDit waarsku teen die aktivering van JIT van BPF weens potensiële risiko's.
• kapinfosDit vertoon lêertipe, inkapseling, koppelvlakke en metadata; aantal pakkies, lêergrootte, totale lengte, momentopnamelimiet, chronologie (eerste/van), gemiddelde tempo's (bps/Bps/pps), gemiddelde pakkiegrootte, hashes en kommentaar. Dit maak voorsiening vir tabel- of gedetailleerde uitvoer en masjienleesbare formate.
• kaptipeidentifiseer die tipe vasleggingslêer vir een of meer inskrywings met hulp- en weergawe-opsies.
• wysigkapDit kies/verwyder pakketreekse, snap/kap, pas tydstempels aan (insluitend streng volgorde), verwyder duplikate met konfigureerbare vensters, voeg kommentaar per raam by, verdeel uitvoer volgens nommer of tyd, verander houer en inkapseling, werk met dekripsiegeheime en komprimeer uitvoer. Dit is die veeldoelige hulpmiddel vir die "skoonmaak" van vasleggings.
• saamsmeltkapkombineer verskeie opnames in een, óf deur lineêre aaneenskakeling óf tydstempel-gebaseerde vermenging, beheer snaplen, definieer uitvoertipe, IDB-samesmeltingsmodus en finale kompressie.
• herbestellimietherrangskik 'n lêer volgens tydstempel wat 'n skoon uitvoer genereer en, indien dit reeds gesorteer is, kan dit vermy om die resultaat te skryf om I/O te stoor.
• teks2pkapskakel heksdumps of teks met regex om na geldige vaslegging; herken verrekeninge in verskeie databasisse, tydstempels met strptime-formate (insluitend fraksionele presisie), bespeur aangehegte ASCII indien van toepassing, en kan "dummy"-opskrifte (Ethernet, IPv4/IPv6, UDP/TCP/SCTP, EXPORTED_PDU) voorafgaan met poorte, adresse en etikette aangedui.
• rouhaai: "rou" veldgeoriënteerde leser; laat jou toe om inkapseling- of disseksieprotokol in te stel, naamresolusies te deaktiveer, lees-/vertoonfilters in te stel en die velduitvoerformaat te besluit, nuttig vir pyplyn met ander gereedskap.
• randpktGenereer lêers met ewekansige pakkies van tipes soos ARP, BGP, DNS, Ethernet, IPv4/IPv6, ICMP, TCP/UDP, SCTP, Syslog, USB-Linux, ens., en spesifiseer die rekening, maksimum grootte en houer. Ideaal vir toetse en demonstrasies.
• mmdbresolveVra MaxMind-databasisse (MMDB) na om die geolokasie van IPv4/IPv6-adresse te vertoon, en spesifiseer een of meer databasislêers.
• haai: daemon wat 'n API (modus "goud") of klassieke sok (modus "klassiek") blootstel; ondersteun konfigurasieprofiele en word vanaf kliënte beheer vir bedienerkant-disseksie en soektogte, nuttig in outomatisering en dienste.

Argitektuur, eienskappe en beperkings

Wireshark maak staat op libpcap/Npcap vir vaslegging, en op 'n ekosisteem van biblioteke (libwireshark, libwiretap, libwsutil) wat disseksie, formate en nutsdienste skei. Dit maak voorsiening vir VoIP-oproepopsporing, klankterugspeel in ondersteunde enkoderings, rou USB-verkeervaslegging en filterering op Wi-Fi-netwerke (indien hulle deur gemonitorde Ethernet beweeg). inproppe vir nuwe protokolle geskryf in C of Lua. Dit kan ook ingekapselde afgeleë verkeer (bv. TZSP) ontvang vir intydse analise vanaf 'n ander masjien.

Dit is nie 'n IDS nie, en dit gee ook nie waarskuwings uit nie; die rol daarvan is passief: dit inspekteer, meet en vertoon. Tog verskaf hulpmiddels statistieke en werkvloeie, en opleidingsmateriaal is geredelik beskikbaar (insluitend opvoedkundige toepassings gerig op 2025 wat filters, snuif, basiese OS-vingerafdrukke, intydse analise, outomatisering, geïnkripteerde verkeer en integrasie met DevOps-praktyke leer). Hierdie opvoedkundige aspek komplementeer die kernfunksionaliteit van diagnose en probleemoplossing.

Verenigbaarheid en ekosisteem

Die konstruksie- en toetsplatforms sluit in Linux (Ubuntu), Windows en macOSDie projek noem ook breë versoenbaarheid met bykomende Unix-agtige stelsels en verspreiding via derdeparty-bestuurders. In sommige gevalle vereis ouer OS-weergawes vorige takke (byvoorbeeld Windows XP met weergawe 1.10 of vroeër). Oor die algemeen kan jy in die meeste omgewings sonder groot probleme vanaf amptelike bewaarplekke of binêre lêers installeer.

Hulle integreer met netwerksimulators (ns, OPNET Modeler), en derdeparty-instrumente (bv. Aircrack vir 802.11) kan gebruik word om opnames te produseer wat Wireshark sonder probleme oopmaak. Namens streng wettigheid en etiekOnthou om slegs op netwerke en in scenario's vas te lê waarvoor jy uitdruklike toestemming het.

Naam, amptelike webwerwe en beheerdata

El sitio web oficial es wireshark.orgmet aflaaie in sy /download subgids en aanlyn dokumentasie vir gebruikers en ontwikkelaars. Daar is bladsye met gesagsbeheer (bv. GND) en lyste van skakels na die kodebewaarplek, foutopsporingsprogram en projekblog, nuttig om op hoogte te bly van nuus en probleme aan te meld.

Voordat jy begin met vaslegging, verifieer jou stelsel se toestemmings en vermoëns, besluit of jy dumpcap/tcpdump sal gebruik om na skyf te stort en sonder voorregte te analiseer, en berei vasleggings- en vertoonfilters voor wat ooreenstem met jou doelwit. Met 'n goeie metodologie vereenvoudig Wireshark die kompleksiteit en gee jou presies die regte inligting. Die sigbaarheid wat jy nodig het om netwerke van enige grootte te diagnoseer, te leer of te oudit.

Verwante artikel:

Wat om te doen in die eerste 24 uur na 'n kuberaanval: mobiele, rekenaar- en aanlynrekeninge

Daniel Terrasa

Redakteur spesialiseer in tegnologie en internetkwessies met meer as tien jaar ondervinding in verskillende digitale media. Ek het gewerk as 'n redakteur en inhoudskepper vir e-handel, kommunikasie, aanlyn bemarking en advertensiemaatskappye. Ek het ook op ekonomie, finansies en ander sektore se webwerwe geskryf. My werk is ook my passie. Nou, deur my artikels in Tecnobits, Ek probeer om al die nuus en nuwe geleenthede te verken wat die wêreld van tegnologie ons elke dag bied om ons lewens te verbeter.