Hoe om Wireshark op Windows te gebruik: 'n Volledige, Praktiese en Opgedateerde Gids

Het jy al ooit gewonder Wat gebeur regtig op jou netwerk wanneer jy blaai, aanlyn speel of gekoppelde toestelle bestuur? As jy bloot nuuskierig is oor die geheimenisse wat op jou WiFi rondloop, of as jy bloot 'n professionele hulpmiddel nodig het om Analiseer netwerkverkeer en bespeur probleme met jou verbinding, sekerlik die naam van Draadhark het reeds jou aandag getrek.

Wel, in hierdie artikel sal jy sonder ompaaie ontdek al die besonderhede oor WiresharkWat dit is, waarvoor dit in Windows gebruik word, hoe om dit te installeer, en die beste wenke voordat jy data begin vaslê. Kom ons begin.

Wat is Wireshark? Die titan van netwerkanalise ontleed

Wireshark is die gewildste en erkende netwerkprotokol-analiseerder wêreldwyd.. Hierdie gratis, oopbron- en kragtige hulpmiddel laat jou toe om vang en ondersoek alle netwerkverkeer wat deur jou rekenaar gaan, of dit nou 'n Windows-, Linux-, macOS-masjien of selfs stelsels soos FreeBSD en Solaris is. Met Wireshark kan jy, intyds of na opname, presies sien watter pakkies jou rekenaar binnekom en verlaat, hul bron, bestemming, protokolle, en selfs dit afbreek om besonderhede van elke laag volgens die OSI-model te verkry.

Anders as baie ontleders, Wireshark staan ​​uit vir sy intuïtiewe grafiese koppelvlak, maar bied ook 'n kragtige konsole-weergawe genaamd TShark vir diegene wat die opdragreël verkies of outomatiese take moet uitvoer. Die buigsaamheid van Wireshark Dit is sodanig dat dit jou toelaat om 'n verbinding te analiseer terwyl jy blaai, professionele sekuriteitsoudits uit te voer, netwerkbottelnekke op te los, of van nuuts af te leer oor hoe internetprotokolle werk, alles vanaf jou eie rekenaar!

Laai Wireshark af en installeer dit op Windows

Die installering van Wireshark op Windows is 'n eenvoudige proses., maar dit is raadsaam om dit stap vir stap te doen sodat daar geen los punte oorbly nie, veral rakende toestemmings en bykomende drywers vir die opname.

• Amptelike aflaai: Toegang die amptelike Wireshark-webwerf en kies die Windows-weergawe (32 of 64 bisse, afhangende van jou stelsel).
• Begin die installeerder: Dubbelklik op die afgelaaide lêer en volg die towenaar. Aanvaar die standaardopsies as u enige vrae het.
• Essensiële drywers: Tydens die installasie sal die installeerder jou vra installeer Npcap. Hierdie komponent is noodsaaklik, aangesien dit jou netwerkkaart toelaat om pakkies in "promiskue" modus vas te lê. Aanvaar die installasie daarvan.
• Beëindig en herbegin: Sodra die proses voltooi is, herbegin jou rekenaar om te verseker dat alle komponente gereed is.

Gereed! Jy kan nou Wireshark vanaf die Windows Start-kieslys begin gebruik. Let asseblief daarop dat hierdie program gereeld opgedateer word, daarom is dit 'n goeie idee om van tyd tot tyd vir nuwe weergawes na te gaan.

Hoe Wireshark Werk: Pakketopname en -vertoning

Wanneer jy Wireshark oopmaak, Die eerste ding wat jy sal sien, is die lys van al die netwerkkoppelvlakke wat op jou stelsel beskikbaar is.Bedrade netwerkkaarte, WiFi, en selfs virtuele adapters as jy virtuele masjiene soos VMware of VirtualBox gebruik. Elk van hierdie koppelvlakke verteenwoordig 'n toegangs- of uitgangspunt vir digitale inligting.

Om data-insameling te begin, Jy hoef net dubbel te klik op die verlangde koppelvlakVan daardie oomblik af, Wireshark sal intyds al die pakkette wat sirkuleer, vertoon deur daardie kaart, en sorteer hulle volgens kolomme soos pakkienommer, vasleggingstyd, bron, bestemming, protokol, grootte en bykomende besonderhede.

Wanneer jy wil ophou om vas te lê, druk die rooi Stop-knoppie. Jy kan jou opnames in .pcap-formaat stoor vir latere analise, deel of selfs die uitvoer daarvan in verskeie formate (CSV, teks, saamgepers, ens.). Hierdie buigsaamheid is wat maak Wireshark is 'n onontbeerlike hulpmiddel vir beide spotontleding en volledige oudits..

Aan die gang: Wenke voordat u 'n skermkiekie in Windows neem

Om te verseker dat jou eerste Wireshark-opnames nuttig is en nie vol irrelevante geraas of verwarrende data is nie, is daar verskeie belangrike aanbevelings om te volg:

• Maak onnodige programme toeVoordat u 'n opname begin, sluit toepassings wat agtergrondverkeer genereer (opdaterings, geselsies, e-poskliënte, speletjies, ens.). Op hierdie manier sal jy vermy om irrelevante verkeer te meng.
• Beheer die firewallFirewalls kan verkeer blokkeer of wysig. Oorweeg dit om dit tydelik te deaktiveer as jy op soek is na 'n volledige opname.
• Vang slegs vas wat relevant isAs jy 'n spesifieke toepassing wil analiseer, wag 'n sekonde of twee nadat jy die opname begin het om die toepassing te begin, en doen dieselfde wanneer jy dit toemaak voordat jy die opname stop.
• Ken jou aktiewe koppelvlakMaak seker dat jy die korrekte netwerkkaart kies, veral as jy verskeie adapters het of op 'n virtuele netwerk is.

Deur hierdie riglyne te volg, sal jou skermkiekies baie skoner en nuttiger wees vir enige verdere analise..

Filters in Wireshark: Hoe om te fokus op wat werklik saak maak

Een van die kragtigste kenmerke van Wireshark is die filters. Daar is twee basiese tipes:

• Vangfilters opHulle word toegepas voordat hulle begin vaslê, sodat jy slegs die verkeer kan insamel wat jou van die begin af interesseer.
• Vertoon filtersHierdie is van toepassing op die lys van pakkette wat reeds vasgelê is, wat jou toelaat om slegs dié te vertoon wat aan jou kriteria voldoen.

Van die mees algemene filters is:

• Volgens protokolFiltreer slegs HTTP-, TCP-, DNS-, ens.-pakkette.
• Volgens IP-adresByvoorbeeld, vertoon slegs pakkies van of na 'n spesifieke IP met behulp van ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• Per haweBeperk resultate tot 'n spesifieke poort (tcp.poort == 80).
• Deur teksstring: Vind pakkette wat 'n sleutelwoord in hul inhoud bevat.
• Volgens MAC-adres, pakkielengte of IP-reeks.

Daarbenewens kan filters gekombineer word met logiese operatore (en, or, nie) vir baie presiese soektogte, soos tcp.poort == 80 en ip.src == 192.168.1.1.

Wat kan jy met Wireshark op Windows vaslê en analiseer?

Wireshark is in staat om meer as 480 verskillende protokolle te interpreteer, van basiese beginsels soos TCP, UDP, IP, tot toepassingspesifieke protokolle, IoT, VoIP, en vele ander. Dit beteken dat jy alle tipes netwerkverkeer kan ondersoek, van eenvoudige DNS-navrae tot geïnkripteerde SSH-sessies, HTTPS-verbindings, FTP-oordragte of SIP-verkeer vanaf internettelefonie.

Boonop, Wireshark ondersteun standaard opnameformate soos tcpdump (libpcap), pcapng en ander., en laat jou toe om skermkiekies vinnig te komprimeer en te dekomprimeer met behulp van GZIP om spasie te bespaar. Vir geïnkripteerde verkeer (TLS/SSL, IPsec, WPA2, ens.), as jy die regte sleutels het, kan jy selfs die data dekripteer en die oorspronklike inhoud daarvan besigtig.

Gedetailleerde verkeersopname: bykomende aanbevelings

Volg hierdie protokol voordat u met enige belangrike opname begin om die bruikbaarheid van die versamelde inligting te maksimeer.:

• Kies die regte koppelvlakNormaalweg sal jou aktiewe adapter die een wees vir die verbinding wat jy gebruik. Indien u enige twyfel het, kyk watter een gekoppel is vanaf die Windows-netwerkinstellings.
• Stel die toneelMaak slegs die programme of toepassings oop wat die verkeer sal genereer wat jy wil analiseer.
• Isoleer die verskynselAs jy programverkeer wil analiseer, volg hierdie volgorde: begin die program nadat die opname begin is, voer die aksie uit wat jy wil analiseer, en maak die program toe voordat jy die opname stop.
• Stoor die skermkiekie: Stop die opname, gaan na Lêer > Stoor en kies .pcap of jou voorkeurformaat.

Só sal jy bereik skoon en maklik om lêers te analiseer, sonder enige rommelverkeer gemeng.

Illustratiewe voorbeelde: verkeersanalise met Wireshark

Kom ons sê jy het twee rekenaars op jou plaaslike netwerk en een van hulle hou op om toegang tot die internet te verkry. Jy kan Wireshark gebruik om verkeer vanaf daardie masjien vas te lê. en kyk of daar foute is met die oplos van DNS-adresse, of pakkies nie die router bereik nie, of of 'n firewall kommunikasie blokkeer.

Nog 'n tipiese geval: bespeur of 'n webwerf jou aanmelding nie behoorlik enkripteer nie. As jy by 'n webwerf sonder HTTPS aanmeld en 'n HTTP-filter gekombineer met jou gebruikersnaam toepas, kan jy selfs sien dat jou wagwoord sonder probleme oor die netwerk beweeg, 'n werklike demonstrasie van die risiko van onveilige webwerwe.

Wireshark en Sekuriteit: Risiko's, Aanvalle en Beskermende Maatreëls

Wireshark se krag is ook die grootste risiko: In die verkeerde hande kan dit geloofsbriewe vaslê, spioenasie vergemaklik of sensitiewe inligting openbaar.. Hier is 'n paar bedreigings en aanbevelings:

• Geloofsbriefvulsel (brute-krag-aanvalle met geloofsbriewe)As jy SSH-, Telnet- of ander diensverkeer vasvang, kan jy outomatiese aanmeldpogings waarneem. Gee aandag aan langer sessies (hulle is gewoonlik suksesvol), pakketgroottes en aantal pogings om verdagte patrone op te spoor.
• Risiko van eksterne verkeerFiltreer alle SSH-verkeer wat nie van jou interne netwerk af kom nie: as jy verbindings van buite sien, wees waaksaam!
• Gewone teks wagwoordeAs 'n webwerf ongeënkripteerde gebruikersname en wagwoorde oordra, sal jy dit in die skermkiekie sien. Moet nooit Wireshark gebruik om hierdie data op buitelandse netwerke te bekom nie. Onthou dat dit onwettig is om dit sonder toestemming te doen.
• Toestemming en wettigheidAnaliseer slegs verkeer vanaf eie netwerke of met eksplisiete magtiging. Die wet is baie duidelik oor hierdie punt, en misbruik kan ernstige gevolge hê.
• Deursigtigheid en etiekIndien jy in 'n korporatiewe omgewing werk, stel gebruikers in kennis oor die analise en die doel daarvan. Respek vir privaatheid is net so belangrik soos tegniese sekuriteit.

Wireshark-alternatiewe: Ander opsies vir netwerkanalise

Wireshark is die onbetwiste verwysing, maar daar is ander gereedskap wat die gebruik daarvan kan aanvul of, in spesifieke situasies, vervang:

• TcpdumpIdeaal vir Unix/Linux-omgewings, werk op die opdragreël. Dit is liggewig, vinnig en buigsaam vir vinnige opnames of outomatiese take.
• WolkhaaiWebplatform vir die oplaai, ontleding en deel van pakkie-opnames vanaf die blaaier. Baie nuttig vir samewerkende omgewings.
• SlimSniffGefokus op Windows, maklik om te gebruik vir spot-vasleggings en besigtiging van gesprekke tussen kliënte en bedieners.
• ColaSoft CapsaGrafiese netwerkontleder wat uitstaan ​​vir die eenvoud van sy koppelvlak en spesifieke opsies vir poortskandering, uitvoer en kompakte visualisering.

Die keuse van die beste alternatief hang af van jou spesifieke behoeftes.: spoed, grafiese koppelvlak, aanlyn samewerking, of versoenbaarheid met spesifieke hardeware.

Gevorderde instellings: Promiskue modus, monitor en naamresolusie

Promiskue modus laat die netwerkkaart toe om vas te lê nie net die pakkette wat vir haar bedoel was nie, maar alle verkeer wat deur die netwerk sirkuleer waaraan dit gekoppel is. Dit is van kritieke belang vir die ontleding van korporatiewe netwerke, gedeelde hubs of penetrasietoets-scenario's.

Op Windows, gaan na Vasvang > Opsies, kies die koppelvlak en merk die blokkie vir promiskue modus. Hou in gedagte dat jy op Wi-Fi-netwerke, behalwe vir baie spesifieke hardeware, slegs verkeer vanaf jou eie toestel sal sien.

Aan die ander kant, Naamresolusie skakel IP-adresse om in leesbare domeinname (byvoorbeeld, 8.8.8.8 in google-public-dns-a.google.com). Jy kan hierdie opsie aktiveer of deaktiveer vanaf Wysig > Voorkeure > Naamresolusie. Dit help baie om toestelle tydens 'n skandering te identifiseer, alhoewel dit die proses kan vertraag as daar baie adresse is wat opgelos word.