Як карыстацца Wireshark у Windows: поўнае, практычнае і актуальнае кіраўніцтва

Вы ніколі не задумваліся Што насамрэч адбываецца ў вашай сетцы, калі вы праглядаеце вэб-старонкі, гуляеце ў інтэрнэце або кіруеце падлучанымі прыладамі? Калі вам проста цікава даведацца пра таямніцы вашага Wi-Fi, ці вам проста патрэбны прафесійны інструмент для... Аналізуйце сеткавы трафік і выяўляйце праблемы з падключэннем, напэўна, імя Wireshark ужо прыцягнуў вашу ўвагу.

Ну, у гэтым артыкуле вы адкрыеце для сябе без абыходных шляхоў усе падрабязнасці пра WiresharkШто гэта такое, для чаго выкарыстоўваецца ў Windows, як усталяваць і лепшыя парады перад пачаткам збору дадзеных. Давайце пяройдзем да справы.

Што такое Wireshark? Разбіраемся ў тытане сеткавага аналізу

Wireshark — самы папулярны і прызнаны аналізатар сеткавых пратаколаў ва ўсім свеце.. Гэты бясплатны, з адкрытым зыходным кодам і магутны інструмент дазваляе вам захопліваць і аналізаваць увесь сеткавы трафік які праходзіць праз ваш камп'ютар, няхай гэта будзе машына з Windows, Linux, macOS ці нават такія сістэмы, як FreeBSD і Solaris. З дапамогай Wireshark вы можаце ў рэжыме рэальнага часу або пасля запісу бачыць, якія менавіта пакеты ўваходзяць і выходзяць з вашага кампутара, іх крыніцу, пункт прызначэння, пратаколы, і нават разбіваць іх, каб атрымаць падрабязную інфармацыю аб кожным узроўні ў адпаведнасці з мадэллю OSI.

У адрозненне ад многіх аналізатараў, Wireshark вылучаецца сваім інтуітыўна зразумелым графічным інтэрфейсам, але таксама прапануе магутную кансольную версію пад назвай TShark для тых, хто аддае перавагу каманднаму радку або мае патрэбу ў выкананні аўтаматызаваных задач. Гнуткасць Wireshark Гэта дазваляе аналізаваць злучэнне падчас прагляду вэб-старонак, праводзіць прафесійныя аўдыты бяспекі, вырашаць вузкія месцы ў сетцы або з нуля вывучаць, як працуюць інтэрнэт-пратаколы, і ўсё гэта з вашага ўласнага ПК!

Спампаваць і ўсталяваць Wireshark на Windows

Усталёўка Wireshark на Windows - гэта просты працэс., але пажадана рабіць гэта паэтапна, каб не пакінуць ніякіх нявырашаных пытанняў, асабліва адносна дазволаў і дадатковых драйвераў для захопу.

• Афіцыйная загрузка: Доступ да афіцыйны сайт Wireshark і выберыце версію Windows (32 або 64 біты ў залежнасці ад вашай сістэмы).
• Запусціце праграму ўстаноўкі: Двойчы пстрыкніце па загружаным файле і выканайце інструкцыі майстра. Калі ў вас ёсць якія-небудзь пытанні, прыміце параметры па змаўчанні.
• Асноўныя драйверы: Падчас усталёўкі ўсталёўшчык запытае ў вас усталяваць Npcap. Гэты кампанент вельмі важны, бо дазваляе вашай сеткавай карце захопліваць пакеты ў «бязладным» рэжыме. Прыміце яго ўстаноўку.
• Завяршыць і перазапусціць: Пасля завяршэння працэсу перазагрузіце кампутар, каб пераканацца, што ўсе кампаненты гатовыя.

Гатовы! Цяпер вы можаце пачаць карыстацца Wireshark з меню «Пуск» у Windows. Звярніце ўвагу, што гэтая праграма часта абнаўляецца, таму рэкамендуецца час ад часу правяраць наяўнасць новых версій.

Як працуе Wireshark: захоп і адлюстраванне пакетаў

Калі вы адкрываеце Wireshark, Першае, што вы ўбачыце, гэта спіс усіх сеткавых інтэрфейсаў, даступных у вашай сістэме.Правадныя сеткавыя карты, Wi-Fi і нават віртуальныя адаптары, калі вы выкарыстоўваеце віртуальныя машыны, такія як VMware або VirtualBox. Кожны з гэтых інтэрфейсаў уяўляе сабой кропку ўваходу або выхаду для лічбавай інфармацыі.

Каб пачаць збор дадзеных, Вам проста трэба двойчы пстрыкнуць па патрэбным інтэрфейсе. З таго моманту, Wireshark будзе адлюстроўваць у рэжыме рэальнага часу ўсе пакеты, якія цыркулююць па гэтай картцы, сартуючы іх па такіх слупках, як нумар пакета, час захопу, крыніца, пункт прызначэння, пратакол, памер і дадатковыя звесткі.

Калі вы хочаце спыніць здымку, націсніце кнопку чырвоная кнопка «Стоп». Вы можаце захоўваць свае здымкі ў фармаце .pcap для наступнага аналізу, абмену або нават экспарту ў розныя фарматы (CSV, тэкставы, сціснуты і г.д.). Гэтая гнуткасць робіць Wireshark — незаменны інструмент як для выбарачнага аналізу, так і для поўнага аўдыту..

Пачатак працы: парады перад тым, як рабіць скрыншот у Windows

Каб вашы першыя здымкі Wireshark былі карыснымі і не перапаўняліся непатрэбным шумам або заблытанымі дадзенымі, варта прытрымлівацца некалькіх ключавых рэкамендацый:

• Зачыніце непатрэбныя праграмыПерад пачаткам захопу зачыніце праграмы, якія генеруюць фонавы трафік (абнаўленні, чаты, паштовыя кліенты, гульні і г.д.). Такім чынам, вы пазбегнеце змешвання непатрэбнага трафіку.
• Кіраванне брандмаўэрамБрандмаўэры могуць блакаваць або змяняць трафік. Калі вы хочаце атрымаць поўны запіс, падумайце аб часовым адключэнні гэтай функцыі.
• Захапляйце толькі тое, што мае значэннеКалі вы хочаце прааналізаваць пэўную праграму, пачакайце секунду-дзве пасля пачатку запісу, каб запусціць праграму, і зрабіце тое ж самае пры яе закрыцці, перш чым спыніць запіс.
• Ведайце свой актыўны інтэрфейсПераканайцеся, што вы выбралі правільную сеткавую карту, асабліва калі ў вас некалькі адаптараў або вы знаходзіцеся ў віртуальнай сетцы.

Выконваючы гэтыя рэкамендацыі, вашы скрыншоты будуць значна больш чыстымі і карыснымі для далейшага аналізу..

Фільтры ў Wireshark: як засяродзіцца на тым, што сапраўды важна

Адной з самых магутных функцый Wireshark з'яўляюцца фільтры.. Існуе два асноўныя тыпы:

• Фільтры здымкіЯны ўжываюцца перад пачаткам захопу, што дазваляе збіраць толькі той трафік, які вас цікавіць з самага пачатку.
• Фільтры адлюстравання: Гэта датычыцца спісу ўжо захопленых пакетаў, што дазваляе адлюстроўваць толькі тыя, якія адпавядаюць вашым крытэрыям.

Сярод найбольш распаўсюджаных фільтраў можна назваць:

• Па пратаколеФільтруе толькі пакеты HTTP, TCP, DNS і г.д.
• Па IP-адрасеНапрыклад, адлюстроўваць толькі пакеты з або на пэўны IP-адрас, выкарыстоўваючы ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• Па порцеАбмяжоўвае вынікі пэўным портам (tcp.port == 80).
• Па тэкставым радкуЗнаходзіць пакеты, якія ўтрымліваюць ключавое слова ў сваім змесце.
• Па MAC-адрасе, даўжыні пакета або дыяпазоне IP-адрасоў.

Акрамя таго, фільтры можна спалучаць з лагічнымі аператарамі (і, or, ня) для вельмі дакладных пошукаў, такіх як tcp.port == 80 і ip.src == 192.168.1.1.

Што можна захапіць і прааналізаваць з дапамогай Wireshark у Windows?

Wireshark — гэта здольны інтэрпрэтаваць больш за 480 розных пратаколаўад асноў, такіх як TCP, UDP, IP, да спецыялізаваных пратаколаў, Інтэрнэту рэчаў, VoIP і многіх іншых. Гэта азначае, што вы можаце аналізаваць усе тыпы сеткавага трафіку, ад простых DNS-запытаў да зашыфраваных SSH-сесій, HTTPS-злучэнняў, FTP-перадач або SIP-трафіку з інтэрнэт-тэлефаніі.

Акрамя таго, Wireshark падтрымлівае стандартныя фарматы захопу дадзеных, такія як tcpdump (libpcap), pcapng і іншыя., а таксама дазваляе сціскаць і распакоўваць скрыншоты на хаду з дапамогай GZIP для эканоміі месца. Для зашыфраванага трафіку (TLS/SSL, IPsec, WPA2 і г.д.), калі ў вас ёсць патрэбныя ключы, вы нават можаце расшыфраваць дадзеныя і праглядзець іх арыгінальны змест.

Падрабязны звод трафіку: дадатковыя рэкамендацыі

Перад пачаткам любога важнага захопу дадзеных выканайце наступныя дзеянні, каб максімальна павялічыць карыснасць сабранай інфармацыі.:

• Выберыце правільны інтэрфейсЗвычайна актыўным адаптарам будзе той, які выкарыстоўваецца для падключэння. Калі ў вас ёсць якія-небудзь сумневы, праверце, які з іх падключаны, у наладах сеткі Windows.
• Задайце абстаноўкуАдкрыйце толькі тыя праграмы або праграмы, якія будуць генераваць трафік, які вы хочаце прааналізаваць.
• Вылучыце з'явуКалі вы хочаце прааналізаваць трафік праграмы, выканайце наступныя дзеянні: запусціце праграму пасля пачатку запісу, выканайце дзеянне, якое вы хочаце прааналізаваць, і зачыніце праграму перад спыненнем запісу.
• Захавайце скрыншот: Спыніце запіс, перайдзіце ў Файл > Захаваць і абярыце .pcap або ваш любімы фармат.

Вось як вы атрымаеце чыстыя і лёгкія для аналізу файлы, без прымешкі непажаданага трафіку.

Ілюстрацыйныя прыклады: аналіз трафіку з дапамогай Wireshark

Дапусцім, у вашай лакальнай сетцы ёсць два кампутары, і адзін з іх перастаў выходзіць у Інтэрнэт. Вы можаце выкарыстоўваць Wireshark для захопу трафіку з гэтай машыны. і праверце, ці ёсць памылкі пры вырашэнні DNS-адрасоў, ці пакеты не даходзяць да маршрутызатара, ці брандмаўэр блакуе сувязь.

Яшчэ адзін тыповы выпадак: выявіць, ці вэб-сайт няправільна шыфруе ваш лагін. Калі вы ўваходзіце на вэб-сайт без HTTPS і ўжываеце HTTP-фільтр у спалучэнні з вашым імем карыстальніка, вы нават можаце ўбачыць, як ваш пароль перадаецца па сетцы ў адкрытым выглядзе, што з'яўляецца рэальнай дэманстрацыяй рызыкі небяспечных вэб-сайтаў.

Wireshark і бяспека: рызыкі, атакі і меры абароны

Найбольшая рызыка Wireshark — гэта яго магутнасць: У чужых руках гэта можа спрыяць захопу ўліковых дадзеных, шпіянажу або раскрыццю канфідэнцыйнай інфармацыі.. Вось некаторыя пагрозы і рэкамендацыі:

• Запаўненне ўліковых дадзеных (атакі з выкарыстаннем грубай сілы)Калі вы перахопліваеце трафік SSH, Telnet або іншых службаў, вы можаце назіраць аўтаматычныя спробы ўваходу ў сістэму. Звяртайце ўвагу на працягласць сесій (звычайна яны паспяховыя), памеры пакетаў і колькасць спроб выяўлення падазроных заканамернасцей.
• Рызыка знешняга трафікуФільтруйце ўвесь SSH-трафік, які не паступае з вашай унутранай сеткі: будзьце ўважлівыя, калі бачыце падключэнні звонку!
• Паролі ў адкрытым тэксцеКалі вэб-сайт перадае незашыфраваныя імёны карыстальнікаў і паролі, вы ўбачыце гэта на скрыншоце. Ніколі не выкарыстоўвайце Wireshark для атрымання гэтых дадзеных у замежных сетках. Памятайце, што рабіць гэта без дазволу незаконна.
• Згода і законнасцьАналізуе трафік толькі з уласных сетак або з відавочнай аўтарызацыяй. Закон вельмі выразна гаворыць пра гэта, і злоўжыванне можа мець сур'ёзныя наступствы.
• Празрыстасць і этыкаКалі вы працуеце ў карпаратыўным асяроддзі, паведаміце карыстальнікам пра аналіз і яго мэту. Павага да прыватнасці гэтак жа важная, як і тэхнічная бяспека.

Альтэрнатывы Wireshark: іншыя варыянты аналізу сеткі

Wireshark — бясспрэчны арыенцір, але ёсць і іншыя інструменты, якія могуць дапаўняць або, у пэўных сітуацыях, замяняць яго выкарыстанне:

• tcpdumpІдэальна падыходзіць для асяроддзяў Unix/Linux, працуе з каманднага радка. Ён лёгкі, хуткі і гнуткі для хуткай здымкі або аўтаматызаваных задач.
• Хмарная акулаВэб-платформа для загрузкі, аналізу і абмену захопамі пакетаў з браўзера. Вельмі карысна для калектыўнай працы.
• SmartSniffАрыентаваны на Windows, просты ў выкарыстанні для кропкавых здымкаў і прагляду размоў паміж кліентамі і серверамі.
• ColaSoft CapsaГрафічны аналізатар сетак, які вылучаецца прастатой інтэрфейсу і спецыяльнымі опцыямі для сканавання партоў, экспарту і кампактнай візуалізацыі.

Выбар найлепшага варыянту залежыць ад вашых канкрэтных патрэб.хуткасць, графічны інтэрфейс, анлайн-супрацоўніцтва або сумяшчальнасць з пэўным абсталяваннем.

Пашыраныя налады: рэжым неразборлівага доступу, манітор і дазвол імёнаў

Рэжым Promiscuous дазваляе сеткавай карце захопліваць не толькі пасылкі, прызначаныя для яе, але і увесь трафік, які цыркулюе праз сетку, да якой ён падлучаны. Гэта мае вырашальнае значэнне для аналізу карпаратыўных сетак, агульных хабаў або сцэнарыяў пранікнення.

У Windows перайдзіце да Здымак > Параметры, выберыце інтэрфейс і пастаўце галачку насупраць рэжыму неразборлівасці. Майце на ўвазе, што ў сетках Wi-Fi, за выключэннем вельмі спецыфічнага абсталявання, вы будзеце бачыць трафік толькі з вашай уласнай прылады.

Акрамя таго, Разрозненне імёнаў пераўтварае IP-адрасы ў чытальныя даменныя імёны (напрыклад, 8.8.8.8 у google-public-dns-a.google.com). Вы можаце ўключыць або адключыць гэтую опцыю ў меню «Рэдагаваць» > «Налады» > «Разрозненне імёнаў». Гэта вельмі дапамагае ідэнтыфікаваць прылады падчас сканавання, хоць і можа запаволіць працэс, калі вырашаецца шмат адрасоў.