Kako koristiti Wireshark za otkrivanje problema s mrežom

Ako radite u oblasti umrežavanja, sigurnosti ili razvoja i želite da razumijete šta se dešava na vašim kablovima i Wi-Fi mreži, rad sa... Wireshark To je bitan element. Ovo analizator paketa otvorenog koda sa decenijama evolucije koja omogućava snimanje, analizu i proučavanje prometa na nivou paketa sa hirurškom preciznošću.

U ovom članku ga detaljno analiziramo: od licence i sponzorstva do paketa u GNU/Linuxu, uključujući konzolne alate, podržane formate, zahtjeve za kompajliranje, dozvole za snimanje i zaista kompletan historijski i funkcionalni pregled.

Šta je Wireshark i za šta se danas koristi?

U suštini, Wireshark je analizator protokola i uređaj za snimanje prometa što vam omogućava da interfejs stavite u promiskuitetni ili monitorski režim (ako sistem to podržava) i pregledate okvire koji ne bi bili poslani na vaš Mac, analizirate razgovore, rekonstruišete tokove, bojite pakete prema pravilima i primjenjujete vrlo ekspresivne filtere za prikaz. Nadalje, uključuje TShark (terminalna verzija) i skup uslužnih programa za zadatke kao što su promjena redoslijeda, dijeljenje, spajanje i pretvaranje snimaka ekrana.

Iako njegova upotreba podsjeća na tcpdump, on pruža moderni grafički interfejs zasnovan na Qt-u sa filtriranje, sortiranje i dubinska disekcija za hiljade protokola. Ako ste na switchu, zapamtite da promiskuitetni način rada ne garantuje da ćete vidjeti sav promet: za potpune scenarije trebat će vam zrcaljenje portova ili mrežni prisluškivanja, što se u njihovoj dokumentaciji također spominje kao najbolja praksa.

Licenca, osnivanje i model razvoja

Wireshark se distribuira pod GNU GPL v2 i na mnogim mjestima, kao „GPL v2 ili noviji“. Neki uslužni programi u izvornom kodu su licencirani pod različitim, ali kompatibilnim licencama, kao što je alat pidl sa GPLv3+, što ne utiče na rezultirajući binarni fajl analizatora. Ne postoji izričita ili implicitna garancija; koristite ga na vlastitu odgovornost, kao što je uobičajeno kod slobodnog softvera.

La Wireshark fondacija Koordinira razvoj i distribuciju. Oslanja se na donacije pojedinaca i organizacija čiji je rad zasnovan na Wiresharku. Projekat se može pohvaliti hiljadama registrovanih autora i historijskih ličnosti kao što su Gerald Combs, Gilbert Ramirez i Guy Harris među svojim najistaknutijim pristalicama.

Wireshark radi na Linuxu, Windowsu, macOS-u i drugim Unix-sličnim sistemima (BSD, Solaris, itd.). Zvanični paketi se objavljuju za Windows i macOS, a na GNU/Linuxu je obično uključen kao standardni ili dodatni paket u distribucijama kao što su Debian, Ubuntu, Fedora, CentOS, RHEL, Arch, Gentoo, openSUSE, FreeBSD, DragonFly BSD, NetBSD i OpenBSD. Također je dostupan na sistemima trećih strana kao što su Homebrew, MacPorts, pkgsrc ili OpenCSW.

Za kompajliranje iz koda, trebat će vam Python 3; AsciiDoctor za dokumentaciju; i alati poput Perl-a i GNU flex-a (klasični lex neće raditi). Konfiguracija pomoću CMake-a vam omogućava da omogućite ili onemogućite određenu podršku, na primjer, biblioteke za kompresiju sa -DENABLE_ZLIB=ISKLJUČENO, -DENABLE_LZ4=ISKLJUČENO ili -DENABLE_ZSTD=ISKLJUČENO, ili libsmi podrška sa -DENABLE_SMI=OFF ako ne želite učitavati MIB-ove.

Paketi i biblioteke u sistemima baziranim na Debianu

U Debianu/Ubuntu i derivativnim okruženjima, Wireshark ekosistem je podijeljen na više paketaU nastavku slijedi pregled karakteristika, približnih veličina i zavisnosti. Ovi paketi vam omogućavaju da birate između kompletnog grafičkog korisničkog interfejsa (GUI) i biblioteka i alata za razvoj za integraciju disekcija u vlastite aplikacije.

žičana arka

Grafička aplikacija za snimanje i analizu prometa s Qt interfejsom. Procijenjena veličina: 10.59 MBObjekt: sudo apt install wireshark

Ključne zavisnosti

• libc6, libgcc-s1, libstdc++6
• libgcrypt20, libglib2.0-0t64
• libpcap0.8t64
• Qt 6 (jezgro, grafički interfejs, vidžeti, multimedija, svg, podrška za ispis i QPA dodaci)
• libwireshark18, libwiretap15, libwsutil16
• libnl-3-200, libnl-genl-3-200, libnl-route-3-200
• libminizip1t64, libspeexdsp1, wireshark-common

Među njegovim opcijama pokretanja naći ćete parametre za odabir interfejsa (-i), filteri za snimanje (-f), ograničenje snimka, način rada monitora, liste tipova veza, filteri prikaza (-Y), „Dekodiraj kao“ i postavke, kao i formate izlaznih datoteka i komentare za snimanje. Aplikacija također omogućava profiliranje i statistika konfiguracije napredne funkcije iz interfejsa.

ajkula

Konzolna verzija za snimanje i analizu iz komandne linije. Procijenjena veličina: 429 KBObjekt: sudo apt install tshark

Ključne zavisnosti

• libc6, libglib2.0-0t64
• libnl-3-200, libnl-ruta-3-200
• libpcap0.8t64
• libwireshark18, libwiretap15, libwsutil16
• wireshark-common

Omogućava vam odabir interfejsa, primjenu filtera za snimanje i prikaz, definiranje uvjeta zaustavljanja (vrijeme, veličina, broj paketa), korištenje kružnih bafera, ispis detalja, heksadecimalnih i JSON ispisa podataka te izvoz TLS objekata i ključeva. Također može obojiti izlaz u kompatibilnom terminalu. prilagodi zapisivanje zapisnika po domenima i nivoima detalja. Preporučuje se oprez ako omogućite BPF JIT na nivou kernela, jer to može imati sigurnosne implikacije.

wireshark-common

Uobičajene datoteke za wireshark i tshark (npr. rječnici, konfiguracije i linijski uslužni programi). Procijenjena veličina: 1.62 MBObjekt: sudo apt install wireshark-common

Ključne zavisnosti

• debconf (ili debconf-2.0), libc6
• libcap2 i libcap2-bin
• libgcrypt20, libglib2.0-0t64
• libpcap0.8t64, libpcre2-8-0
• libnl-3-200, libnl-genl-3-200, libnl-route-3-200
• libspeexdsp1, libssh-4, libsystemd0
• libmaxminddb0
• libwireshark18, libwiretap15, libwsutil16
• zlib1g

Ovaj paket uključuje uslužne programe kao što su informacije o kapislima (informacije o datoteci za snimanje: tip, enkapsulacija, trajanje, brzine, veličine, heševi i komentari), tip kapitele (identificirajte tipove datoteka), poklopac za odlaganje otpada (lagani uređaj za snimanje koji koristi pcapng/pcap sa automatskim zaustavljanjem i kružnim baferima), uređivanje kapice (uređivanje/dijeljenje/konvertovanje snimaka, podešavanje vremenskih oznaka, uklanjanje duplikata, dodavanje komentara ili tajni), spajanje kapice (spajanje ili spajanje više snimaka), mmdbresolve (rješavanje IP geolokacije pomoću MMDB baza podataka), randpakt (generator sintetičkih paketa s više protokola), sirova ajkula (gruba disekcija s terenskim rezultatima), ograničenje narudžbe (presudite po vremenskoj oznaci), šarkan (demon sa API-jem za obradu snimaka) i text2pcap (konvertujte heksadecimalne zapise ili strukturirani tekst u validne snimke).

libwireshark18 i libwireshark-data

Centralna biblioteka za analizu paketa. Pruža analizatore protokola koje koristi Wireshark/TShark. Približna veličina biblioteke: 126.13 MBObjekt: sudo apt install libwireshark18 y sudo apt install libwireshark-data

Značajni odjeli

• libc6, libglib2.0-0t64
• libgcrypt20, libgnutls30t64
• liblua5.4-0
• libpcre2-8-0
• libxml2-16
• zlib1g, libzstd1, liblz4-1, libsnappy1v5
• libnghttp2-14, libnghttp3-9
• libbrotli1
• libopus0, libsbc1, libspandsp2t64, libbcg729-0
• libcares2
• libk5crypto3, libkrb5-3
• libopencore-amrnb0
• libwiretap15, libwsutil16
• libwireshark-data

Uključuje podršku za ogroman broj protokola i opcija kao što su omogućavanje ili onemogućavanje specifičnih disekcija, heuristika i "Dekodiraj kao" iz interfejsa ili komandne linije; zahvaljujući tome, možete prilagoditi analiza stvarnog prometa vašeg okruženja.

libwiretap15 i libwiretap-dev

Wiretap je biblioteka za čitanje i pisanje više formata datoteka za snimanje. Njene snage su raznolikost formata koje podržava; njena ograničenja su: Ne filtrira niti vrši direktno snimanje.Objekt: sudo apt install libwiretap15 y sudo apt install libwiretap-dev

Podržani formati (izbor)

• libpcap
• Sniffer/Windows Sniffer Pro i NetXRay
• LANalyzer
• Mrežni monitor
• špijun
• AIX iptrace
• RADCOM WAN/LAN
• Lucent/Ascend
• HP-UX nettl
• Toshiba ISDN ruter
• ISDN4BSD i4btrace
• Cisco Secure IDS iplogging
• Dnevnici pppd-a (pppdump)
• VMS TCPTRACE
• DBS Etherwatch (tekst)
• Katapult DCT2000 (.out)

Zavisnosti libwiretap15

• libc6, libglib2.0-0t64
• liblz4-1, libzstd1, zlib1g
• libwsutil16

Varijanta -dev pruža statičku biblioteku i C zaglavlja za integraciju operacija čitanja/pisanja u vaše alate. Ovo vam omogućava da razvijete uslužne programe koji manipulišu podacima. pcap, pcapng i ostali kontejneri kao dio naših vlastitih cjevovoda.

libwsutil16 i libwsutil-dev

Skup uslužnih programa koje dijeli Wireshark i srodne biblioteke: pomoćne funkcije za manipulaciju stringovima, baferovanje, šifriranje itd. Instalacija: sudo apt install libwsutil16 y sudo apt install libwsutil-dev

Zavisnosti libwsutil16

• libc6
• libgcrypt20
• libglib2.0-0t64
• libgnutls30t64
• libpcre2-8-0
• zlib1g

Paket -dev uključuje zaglavlja i statičku biblioteku tako da eksterne aplikacije mogu povezivati ​​uobičajene uslužne programe bez ponovne implementacije wheels-a. To je osnova za više zajedničkih funkcija koji koriste Wireshark i TShark.

wireshark-dev

Alati i datoteke za kreiranje novih "disektora". Pruža skripte poput idl2wrs, kao i zavisnosti za kompajliranje i testiranje. Procijenjena veličina: 621 KBObjekt: sudo apt install wireshark-dev

Odjeli

• esnacc
• libc6
• libglib2.0-0t64
• libpcap0.8-dev
• libwireshark-dev
• libwiretap-dev
• libwsutil16
• omniidl
• python3 i python3-slojni

Ekskluzivni sadržaj - kliknite ovdje  Kako aktivirati Word 2010?

To uključuje uslužne programe kao što su asn2deb (generira Debian pakete za BER praćenje iz ASN.1) i idl2deb (paketi za CORBA). I, prije svega, idl2wrsOvaj alat transformiše CORBA IDL u kostur C dodatka za analizu GIOP/IIOP saobraćaja. Ovaj radni tok se oslanja na Python skripte (wireshark_be.py i wireshark_gen.py) i podrazumevano podržava heurističku analizu. Alat pretražuje svoje module u PYTHONPATH/web-packages ili u trenutnom direktoriju i prihvata preusmjeravanje datoteke za generiranje koda.

wireshark-doc

Korisnička dokumentacija, vodič za razvoj i Lua referenca. Procijenjena veličina: 13.40 MBObjekt: sudo apt install wireshark-doc

Preporučuje se ako želite dublje istražiti ekstenzije, skriptiranje i API-jiOnline dokumentacija na službenoj web stranici ažurira se sa svakom stabilnom verzijom.

Dozvole za hvatanje i obezbjeđenje

U mnogim sistemima, direktno snimanje zahtijeva povišene privilegije. Iz tog razloga, Wireshark i TShark delegiraju snimanje servisu treće strane. poklopac za odlaganje otpadaBinarni fajl dizajniran za pokretanje s privilegijama (set-UID ili mogućnosti) kako bi se minimizirala površina za napad. Pokretanje cijelog GUI-ja kao root nije dobra praksa; poželjnije je snimati podatke pomoću dumpcap ili tcpdump naredbi i analizirati bez privilegija kako bi se smanjili rizici.

Historija projekta uključuje sigurnosne incidente u disektorima tokom godina, a neke platforme poput OpenBSD-a su iz tog razloga povukle staru instancu Ethereala. Sa trenutnim modelom, izolacija od snimanja i stalna ažuriranja poboljšavaju situaciju, ali je uvijek preporučljivo... slijedite sigurnosne napomene A ako otkrijete sumnjivu aktivnost, znajte kako blokiranje sumnjivih mrežnih veza i izbjegavajte otvaranje nepouzdanih snimaka ekrana bez prethodnog pregleda.

Formati datoteka, kompresija i specijalni fontovi

Wireshark čita i zapisuje pcap i pcapng, kao i formate iz drugih analizatora kao što su snoop, Network General Sniffer, Microsoft Network Monitor i mnogi koje je Wiretap naveo iznad. Može otvoriti komprimirane datoteke ako su kompajlirane s bibliotekama za pcapng. GZIP, LZ4 i ZSTDPosebno, GZIP i LZ4 sa nezavisnim blokovima omogućavaju brze skokove, poboljšavajući performanse grafičkog korisničkog interfejsa (GUI) pri velikim snimcima.

Projekat dokumentuje funkcije kao što su AIX iptrace (gdje se HUP ka daemonu zatvara bez problema), podrška za Lucent/Ascend tragove, Toshiba ISDN ili CoSine L2, i pokazuje kako snimiti tekstualni izlaz u datoteku (npr. sa telnet <equipo> | tee salida.txt ili korištenjem alata skripta) da biste ga kasnije uvezli pomoću text2pcap. Ove putanje vas vode iz "konvencionalna" snimanja kada koristite opremu koja se direktno ne prevrće preko PCAP-a.

Usluge i kategorije opcija u paketu

Pored Wiresharka i TSharka, distribucija uključuje nekoliko alata koji pokrivaju vrlo specifične zadatkeBez doslovnog prepisivanja teksta pomoći, evo sažetka organiziranog po kategorijama kako biste znali čemu svaka funkcija služi i koje opcije možete pronaći:

• poklopac za odlaganje otpada„čisto i jednostavno“ snimanje pomoću pcap/pcapng, odabir interfejsa, BPF filteri, veličina bafera, rotacija po vremenu/veličini/datotekama, kreiranje prstenastih bafera, komentari za snimanje i izlaz u formatu mašinski čitljivoUpozorava na aktiviranje JIT-a BPF-a zbog potencijalnih rizika.
• informacije o kapislimaPrikazuje tip datoteke, enkapsulaciju, interfejse i metapodatke; broj paketa, veličinu datoteke, ukupnu dužinu, ograničenje snimka, hronologiju (prvi/zadnji), prosječne brzine (bps/Bps/pps), prosječnu veličinu paketa, heševe i komentare. Omogućava tabelarni ili detaljni izlaz i mašinski čitljive formate.
• tip kapitele: identificira tip datoteke za snimanje za jedan ili više unosa s opcijama pomoći i verzije.
• uređivanje kapiceOdabira/briše raspone paketa, spaja/sjecka, podešava vremenske oznake (uključujući strogi redoslijed), uklanja duplikate s konfigurabilnim prozorima, dodaje komentare po kadru, dijeli izlaz po broju ili vremenu, mijenja kontejner i enkapsulaciju, radi s tajnim podacima za dešifriranje i komprimira izlaz. To je svestrani alat za "čišćenje" snimljenih podataka.
• spajanje kapice: kombinuje više snimaka u jedan, bilo linearnim spajanjem ili miksovanjem na osnovu vremenskih oznaka, kontroliše Snaplen, definiše tip izlaza, IDB način spajanja i konačnu kompresiju.
• ograničenje narudžbe: preuređuje datoteku prema vremenskoj oznaci generirajući čist izlaz i, ako je već sortirana, može izbjeći pisanje rezultata radi uštede I/O operacija.
• text2pcap: pretvara heksadecimalne ispise ili tekst s regularnim izrazom u valjano snimanje; prepoznaje pomake u raznim bazama podataka, vremenske oznake s formatima strptime (uključujući frakcijsku preciznost), detektuje priloženi ASCII ako je primjenjivo i može dodati "lažne" zaglavlja (Ethernet, IPv4/IPv6, UDP/TCP/SCTP, EXPORTED_PDU) sa portovi, adrese i oznake naznačeno.
• sirova ajkula: „sirovi“ čitač orijentisan na polje; omogućava vam da postavite protokol enkapsulacije ili disekcije, onemogućite razrješenje imena, postavite filtere za čitanje/prikaz i odlučite o formatu izlaza polja, korisno za cjevovod s drugim alatima.
• randpaktGenerira datoteke sa nasumičnim paketima tipova kao što su ARP, BGP, DNS, Ethernet, IPv4/IPv6, ICMP, TCP/UDP, SCTP, Syslog, USB-Linux, itd., navodeći račun, maksimalnu veličinu i kontejner. Idealno za testovi i demonstracije.
• mmdbresolveUpiti MaxMind baze podataka (MMDB) za prikaz geolokacije IPv4/IPv6 adresa, navodeći jednu ili više datoteka baze podataka.
• šarkan: demon koji izlaže API (mod "gold") ili klasični socket (mod "classic"); podržava konfiguracijske profile i njime upravljaju klijenti za analizu i pretrage na strani servera, koristan u automatizaciji i uslugama.

Arhitektura, karakteristike i ograničenja

Wireshark se oslanja na libpcap/Npcap za snimanje, te na ekosistem biblioteka (libwireshark, libwiretap, libwsutil) koje odvajaju disekciju, formate i uslužne programe. Omogućava detekciju VoIP poziva, reprodukciju zvuka u podržanim kodiranjima, snimanje sirovog USB prometa i filtriranje na Wi-Fi mrežama (ako prolaze kroz nadzirani Ethernet). dodaci za nove protokole napisan u C ili Lua jeziku. Također može primati enkapsulirani udaljeni promet (npr. TZSP) za analizu u stvarnom vremenu s druge mašine.

Nije IDS, niti izdaje upozorenja; njegova uloga je pasivna: pregledava, mjeri i prikazuje. Uprkos tome, pomoćni alati pružaju statistiku i tokove rada, a materijali za obuku su lako dostupni (uključujući edukativne aplikacije usmjerene na 2025. godinu koje podučavaju filtere, njuškanje, osnovno OS otiske prstiju, analizu u stvarnom vremenu, automatizaciju, šifrirani promet i integraciju s DevOps praksama). Ovaj edukativni aspekt dopunjuje osnovnu funkcionalnost dijagnostika i rješavanje problema.

Kompatibilnost i ekosistem

Platforme za izgradnju i testiranje uključuju Linux (Ubuntu), Windows i macOSProjekat također spominje široku kompatibilnost s dodatnim Unix-sličnim sistemima i distribuciju putem nezavisnih menadžera. U nekim slučajevima, starije verzije operativnih sistema zahtijevaju prethodne grane (na primjer, Windows XP s verzijom 1.10 ili ranijom). Općenito, možete instalirati iz službenih repozitorija ili binarnih datoteka u većini okruženja bez većih problema.

Integriraju se sa mrežnim simulatorima (ns, OPNET Modeler), a alati trećih strana (npr. Aircrack za 802.11) mogu se koristiti za izradu snimaka koje Wireshark otvara bez poteškoća. U ime stroga zakonitost i etikaZapamtite da snimate samo na mrežama i u scenarijima za koje imate izričito odobrenje.

Naziv, službene web stranice i kontrolni podaci

Zvanična web stranica je wireshark.orgsa preuzimanjima u poddirektoriju /download i online dokumentacijom za korisnike i programere. Postoje stranice sa kontrola autoriteta (npr. GND) i liste linkova do repozitorija koda, sistema za praćenje grešaka i bloga projekta, korisnih za praćenje novosti i izvještavanje o problemima.

Prije nego što počnete snimati, provjerite dozvole i mogućnosti vašeg sistema, odlučite hoćete li koristiti dumpcap/tcpdump za snimanje na disk i analizu bez privilegija i pripremite filtere za snimanje i prikaz u skladu s vašim ciljem. Uz dobru metodologiju, Wireshark pojednostavljuje kompleks i daje vam tačno prave informacije. Vidljivost koja vam je potrebna za dijagnosticiranje, učenje ili reviziju mreža bilo koje veličine.