Windows-da Wireshark-dan necə istifadə etmək olar: tam, praktik və müasir bələdçi

Heç düşünmüsünüzmü? Gözdən keçirdiyiniz, onlayn oynadığınız və ya qoşulmuş cihazları idarə etdiyiniz zaman şəbəkənizdə həqiqətən nə baş verir? Əgər sadəcə olaraq WiFi-də dolaşan sirlərlə maraqlanırsınızsa və ya sadəcə olaraq peşəkar alətə ehtiyacınız varsa Şəbəkə trafikini təhlil edin və bağlantınızla bağlı problemləri aşkar edin, mütləq adı Wireshark artıq diqqətinizi çəkib.

Yaxşı, bu məqalədə siz dolama yollar olmadan kəşf edəcəksiniz Wireshark haqqında bütün təfərrüatlar: Bu nədir, Windows-da nə üçün istifadə olunur, onu necə quraşdırmaq və məlumat əldə etməyə başlamazdan əvvəl ən yaxşı məsləhətlər. Gəlin buna.

Wireshark nədir? Şəbəkə təhlilinin titanını parçalamaq

Wireshark dünyada ən populyar və tanınmış şəbəkə protokol analizatorudur.. Bu pulsuz, açıq mənbəli və güclü alət sizə imkan verir bütün şəbəkə trafikini ələ keçirin və yoxlayın Windows, Linux, macOS maşını və ya hətta FreeBSD və Solaris kimi sistemlər olsun, kompüterinizdən keçir. Wireshark ilə siz real vaxt rejimində və ya qeyddən sonra kompüterinizə hansı paketlərin daxil olub çıxdığını, onların mənbəyini, təyinat yerini, protokollarını görə bilərsiniz və hətta OSI modelinə uyğun olaraq hər təbəqənin təfərrüatlarını əldə etmək üçün onları parçalaya bilərsiniz.

Bir çox analizatorlardan fərqli olaraq, Wireshark intuitiv qrafik interfeysi ilə seçilir, həm də komanda xəttinə üstünlük verən və ya avtomatlaşdırılmış tapşırıqları yerinə yetirməli olanlar üçün TShark adlı güclü konsol versiyasını təklif edir. Wireshark-ın çevikliyi Elədir ki, o, sizə gözdən keçirərkən əlaqəni təhlil etməyə, peşəkar təhlükəsizlik auditləri aparmağa, şəbəkə darboğazlarını həll etməyə və ya İnternet protokollarının necə işlədiyini sıfırdan öz kompüterinizdən öyrənməyə imkan verir!

Wireshark-ı Windows-da yükləyin və quraşdırın

Wireshark-ı Windows-da quraşdırmaq sadə bir prosesdir., lakin xüsusilə tutma üçün icazələr və əlavə drayverlərlə bağlı heç bir boş uc buraxmamaq üçün bunu addım-addım etmək məsləhətdir.

• Rəsmi yükləmə: Giriş Wireshark rəsmi saytı və Windows versiyasını seçin (sisteminizdən asılı olaraq 32 və ya 64 bit).
• Quraşdırıcını işə salın: Yüklənmiş fayla iki dəfə klikləyin və sehrbazı izləyin. Hər hansı bir sualınız varsa, standart seçimləri qəbul edin.
• Əsas sürücülər: Quraşdırma zamanı quraşdırıcı sizdən soruşacaq Npcap quraşdırın. Bu komponent vacibdir, çünki o, şəbəkə kartınıza paketləri "qeyri-adi" rejimdə tutmağa imkan verir. Onun quraşdırılmasını qəbul edin.
• Bitirin və yenidən başladın: Proses başa çatdıqdan sonra bütün komponentlərin hazır olduğundan əmin olmaq üçün kompüterinizi yenidən başladın.

Hazır! İndi Windows Başlat menyusundan Wireshark-dan istifadə etməyə başlaya bilərsiniz. Nəzərə alın ki, bu proqram tez-tez yenilənir, ona görə də vaxtaşırı yeni versiyaları yoxlamaq yaxşı fikirdir.

Wireshark necə işləyir: Paketin tutulması və göstərilməsi

Wireshark-ı açdığınız zaman, Görəcəyiniz ilk şey sisteminizdə mövcud olan bütün şəbəkə interfeyslərinin siyahısıdır.: VMware və ya VirtualBox kimi virtual maşınlardan istifadə edirsinizsə, simli şəbəkə kartları, WiFi və hətta virtual adapterlər. Bu interfeyslərin hər biri rəqəmsal məlumat üçün giriş və ya çıxış nöqtəsini təmsil edir.

Məlumatı tutmağa başlamaq üçün, İstədiyiniz interfeysə iki dəfə klikləmək kifayətdirHəmin andan etibarən, Wireshark real vaxt rejimində dövriyyədə olan bütün paketləri göstərəcək həmin kartla onları paket nömrəsi, tutma vaxtı, mənbə, təyinat, protokol, ölçü və əlavə detallar kimi sütunlara görə çeşidləmək.

Çəkməyi dayandırmaq istədiyiniz zaman düyməsini basın qırmızı Stop düyməsi. Siz çəkdiyiniz şəkilləri daha sonra təhlil etmək, paylaşmaq və ya hətta müxtəlif formatlarda (CSV, mətn, sıxılmış və s.) ixrac etmək üçün .pcap formatında saxlaya bilərsiniz. Bu çeviklik edir Wireshark həm spot analiz, həm də tam audit üçün əvəzsiz vasitədir..

Başlama: Windows-da ekran görüntüsünü çəkməzdən əvvəl məsləhətlər

İlk Wireshark ələ keçirmələrinizin faydalı olmasını və nəticədə əhəmiyyətsiz səs-küy və ya çaşdırıcı məlumatlarla dolmamasını təmin etmək üçün bir neçə əsas tövsiyəyə əməl etməlisiniz:

• Lazımsız proqramları bağlayın: Çəkməyə başlamazdan əvvəl fon trafiki yaradan proqramlardan çıxın (yeniləmələr, söhbətlər, e-poçt müştəriləri, oyunlar və s.). Bu yolla, əlaqəsiz trafikin qarışmasından qaçacaqsınız.
• Firewall-a nəzarət edin: Firewalllar trafiki bloklaya və ya dəyişdirə bilər. Tam çəkiliş axtarırsınızsa, onu müvəqqəti olaraq söndürməyi düşünün.
• Yalnız müvafiq olanı çəkinMüəyyən bir proqramı təhlil etmək istəyirsinizsə, tətbiqi işə salmaq üçün çəkməyə başladıqdan sonra bir və ya iki saniyə gözləyin və qeydi dayandırmazdan əvvəl onu bağlayarkən eyni şeyi edin.
• Aktiv interfeysinizi bilin: Xüsusilə birdən çox adapteriniz varsa və ya virtual şəbəkədəsinizsə, düzgün şəbəkə kartını seçdiyinizə əmin olun.

Bu təlimatlara əməl etməklə, ekran görüntüləriniz daha təmiz və sonrakı təhlillər üçün daha faydalı olacaq..

Wireshark-da filtrlər: Həqiqətən vacib olana necə diqqət yetirmək olar

Wireshark-ın ən güclü xüsusiyyətlərindən biri filtrlərdir. İki əsas növ var:

• Çəkmə filtrləri: Onlar tutmağa başlamazdan əvvəl tətbiq edilir və yalnız sizi əvvəldən maraqlandıran trafiki toplamağa imkan verir.
• Ekran filtrləri: Bunlar artıq ələ keçirilmiş paketlərin siyahısına tətbiq edilir və yalnız meyarlarınıza cavab verənləri göstərməyə imkan verir.

Ən çox yayılmış filtrlər arasında:

• Protokolla: Yalnız HTTP, TCP, DNS və s. paketləri süzür.
• IP ünvanı ilə: Məsələn, istifadə edərək yalnız müəyyən IP-dən və ya ona paketləri göstərin ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• Limanla: Nəticələri xüsusi portla məhdudlaşdırır (tcp.port == 80).
• Mətn sətri ilə: Tərkibində açar sözü olan paketləri tapır.
• MAC ünvanı, paket uzunluğu və ya IP diapazonu ilə.

Bundan əlavə, filtrlər məntiqi operatorlarla birləşdirilə bilər (və, or, deyil) kimi çox dəqiq axtarışlar üçün tcp.port == 80 və ip.src == 192.168.1.1.

Windows-da Wireshark ilə nələri çəkə və təhlil edə bilərsiniz?

Wireshark-dır 480-dən çox müxtəlif protokolları şərh edə bilir, TCP, UDP, IP kimi əsaslardan tutmuş tətbiq üçün xüsusi protokollara, IoT, VoIP və bir çox başqalarına qədər. Bu o deməkdir ki, siz sadə DNS sorğularından tutmuş şifrəli SSH seanslarına, HTTPS bağlantılarına, FTP köçürmələrinə və ya İnternet telefoniyasından SIP trafikinə qədər bütün növ şəbəkə trafikini yoxlaya bilərsiniz.

Bundan əlavə, Wireshark tcpdump (libpcap), pcapng və başqaları kimi standart çəkmə formatlarını dəstəkləyir., və yerə qənaət etmək üçün GZIP-dən istifadə edərək ekran görüntülərini tez sıxışdırmağa və açmağa imkan verir. Şifrələnmiş trafik üçün (TLS/SSL, IPsec, WPA2 və s.) Əgər düzgün açarlarınız varsa, hətta məlumatların şifrəsini aça və onun orijinal məzmununa baxa bilərsiniz.

Ətraflı trafik ələ keçirmə: əlavə tövsiyələr

Hər hansı vacib ələ keçirməyə başlamazdan əvvəl toplanmış məlumatın faydalılığını artırmaq üçün bu protokola əməl edin.:

• Doğru interfeysi seçin: Adətən aktiv adapteriniz istifadə etdiyiniz əlaqə üçün uyğun olacaq. Hər hansı bir şübhəniz varsa, Windows şəbəkə parametrlərindən hansının qoşulduğunu yoxlayın.
• Səhnəni təyin edin: Yalnız təhlil etmək istədiyiniz trafiki yaradacaq proqramları və ya proqramları açın.
• Fenomeni təcrid edinProqram trafikini təhlil etmək istəyirsinizsə, bu ardıcıllığa əməl edin: çəkməyə başladıqdan sonra proqramı işə salın, təhlil etmək istədiyiniz hərəkəti yerinə yetirin və qeydi dayandırmazdan əvvəl proqramı bağlayın.
• Ekran görüntüsünü yadda saxla: Yazmağı dayandırın, Fayl > Saxla bölməsinə keçin və .pcap və ya seçdiyiniz formatı seçin.

Bu yolla nail olacaqsınız təmiz və faylları təhlil etmək asan, heç bir zibil trafiki qarışmadan.

İllüstrativ nümunələr: Wireshark ilə trafik təhlili

Tutaq ki, sizin yerli şəbəkənizdə iki kompüteriniz var və onlardan biri internetə çıxışı dayandırır. Siz həmin maşından trafik çəkmək üçün Wireshark-dan istifadə edə bilərsiniz. və DNS ünvanlarını həll edərkən xətaların olub-olmadığını, paketlərin marşrutlaşdırıcıya çatmadığını və ya təhlükəsizlik duvarının rabitəni bloklayıb-yaxmadığını yoxlayın.

Başqa bir tipik hal: bir veb saytın girişinizi düzgün şifrələmədiyini aşkar edin. HTTPS olmadan vebsayta daxil olsanız və istifadəçi adınızla birlikdə HTTP filtri tətbiq etsəniz, hətta parolunuzun şəbəkə üzərindən aydın şəkildə səyahət etdiyini görə bilərsiniz, bu, etibarlı olmayan veb-saytların riskinin real həyat nümayişidir.

Wireshark və Təhlükəsizlik: Risklər, Hücumlar və Qoruyucu Tədbirlər

Wireshark-ın gücü də onun ən böyük riskidir: Səhv əllərdə bu, etimadnamələrin tutulmasına, casusluğa və ya həssas məlumatları aşkara çıxara bilər.. Budur bəzi təhdidlər və tövsiyələr:

• Etibarnamə doldurma (etimadnamə kobud qüvvə hücumları): SSH, Telnet və ya digər xidmət trafikini ələ keçirsəniz, avtomatik giriş cəhdlərini müşahidə edə bilərsiniz. Daha uzun seanslara (onlar adətən uğurlu olur), paket ölçülərinə və şübhəli nümunələri aşkar etmək cəhdlərinin sayına diqqət yetirin.
• Xarici trafik riski: Daxili şəbəkənizdən gəlməyən bütün SSH trafikini filtrləyin: xaricdən bağlantılar görürsünüzsə, diqqətli olun!
• Açıq mətn parolları: Əgər vebsayt şifrələnməmiş istifadəçi adları və parolları ötürürsə, onu ekran görüntüsündə görəcəksiniz. Xarici şəbəkələrdə bu məlumatları əldə etmək üçün heç vaxt Wireshark-dan istifadə etməyin. Unutmayın ki, icazəsiz bunu etmək qanunsuzdur.
• Razılıq və qanunilik: Yalnız öz şəbəkələrindən və ya açıq icazə ilə trafiki təhlil edir. Qanun bu baxımdan çox aydındır və sui-istifadə ciddi nəticələrə səbəb ola bilər.
• Şəffaflıq və etika: Əgər siz korporativ mühitdə işləyirsinizsə, istifadəçiləri təhlil və onun məqsədi haqqında məlumatlandırın. Məxfiliyə hörmət texniki təhlükəsizlik qədər vacibdir.

Wireshark Alternativləri: Şəbəkə Təhlili üçün Digər Seçimlər

Wireshark mübahisəsiz istinaddır, lakin onun istifadəsini tamamlaya bilən və ya xüsusi hallarda əvəz edə bilən digər vasitələr də var:

• Tcpdump: Unix/Linux mühitləri üçün idealdır, komanda xəttində işləyir. Tez çəkilişlər və ya avtomatlaşdırılmış tapşırıqlar üçün yüngül, sürətli və çevikdir.
• Cloudshark: Brauzerdən paket çəkilişlərini yükləmək, təhlil etmək və paylaşmaq üçün veb platforması. Əməkdaşlıq mühitləri üçün çox faydalıdır.
• SmartSniff: Windows-a fokuslanıb, müştərilər və serverlər arasında söhbətlərin yerində çəkilişi və görüntülənməsi üçün istifadəsi asandır.
• ColaSoft Capsa: İnterfeysinin sadəliyi və portun skan edilməsi, ixracı və yığcam vizuallaşdırılması üçün xüsusi seçimləri ilə seçilən qrafik şəbəkə analizatoru.

Ən yaxşı alternativin seçilməsi xüsusi ehtiyaclarınızdan asılıdır.: sürət, qrafik interfeys, onlayn əməkdaşlıq və ya xüsusi avadanlıqla uyğunluq.

Qabaqcıl Parametrlər: Qeyri-adi rejim, monitor və ad həlli

Promiscuous rejimi şəbəkə kartını tutmağa imkan verir təkcə onun üçün nəzərdə tutulan paketlər deyil, həm də qoşulduğu şəbəkə vasitəsilə dövr edən bütün trafik. Bu, korporativ şəbəkələri, paylaşılan mərkəzləri və ya pentestinq ssenarilərini təhlil etmək üçün çox vacibdir.

Windows-da bura keçin Çək > Seçimlər, interfeysi seçin və qeyri-adi rejim qutusunu yoxlayın. Yadda saxlayın ki, Wi-Fi şəbəkələrində, çox xüsusi avadanlıq istisna olmaqla, siz yalnız öz cihazınızdan gələn trafiki görəcəksiniz.

Digər tərəfdən, Ad həlli IP ünvanlarını oxuna bilən domen adlarına çevirir (məsələn, google-public-dns-a.google.com-da 8.8.8.8). Bu seçimi Redaktə > Üstünlüklər > Ad Qətnaməsindən aktivləşdirə və ya söndürə bilərsiniz. Skan zamanı cihazları müəyyən etməyə çox kömək edir, baxmayaraq ki, həll olunan bir çox ünvan varsa, prosesi yavaşlata bilər.