Kako koristiti Wireshark na Windowsu: Potpun, praktičan i ažuriran vodič

Jeste li se ikad zapitali? Šta se zaista dešava na vašoj mreži kada pretražujete internet, igrate online ili upravljate povezanim uređajima? Ako ste jednostavno znatiželjni o misterijama koje kruže vašom WiFi mrežom ili vam je jednostavno potreban profesionalni alat za... Analizirajte mrežni promet i otkrijte probleme s vašom vezom, sigurno ime Wireshark već je privuklo tvoju pažnju.

Pa, u ovom članku ćete otkriti bez zaobilaznih puteva svi detalji o WiresharkuŠta je to, za šta se koristi u Windowsu, kako ga instalirati i najbolji savjeti prije nego što počnete snimati podatke. Hajde da pređemo na to.

Šta je Wireshark? Razbijanje titana mrežne analize

Wireshark je najpopularniji i najpriznatiji analizator mrežnih protokola u svijetu.. Ovaj besplatni, otvoreni i moćni alat vam omogućava da uhvati i pregleda sav mrežni promet koji prolazi kroz vaš računar, bilo da se radi o Windows, Linux, macOS mašini ili čak sistemima poput FreeBSD-a i Solarisa. Pomoću Wiresharka možete vidjeti, u stvarnom vremenu ili nakon snimanja, tačno koji paketi ulaze i izlaze iz vašeg računara, njihov izvor, odredište, protokole, pa čak i razložiti ih kako biste dobili detalje o svakom sloju prema OSI modelu.

Za razliku od mnogih analizatora, Wireshark se ističe svojim intuitivnim grafičkim interfejsom, ali nudi i moćnu konzolnu verziju pod nazivom TShark za one koji preferiraju komandnu liniju ili trebaju obavljati automatizirane zadatke. Fleksibilnost Wiresharka To je takvo da vam omogućava da analizirate vezu dok pretražujete internet, da vršite profesionalne sigurnosne revizije, rješavate uska grla mreže ili učite od nule o tome kako internet protokoli funkcionišu, sve sa vašeg računara!

Preuzmite i instalirajte Wireshark na Windows

Instaliranje Wiresharka na Windows je jednostavan proces., ali je preporučljivo to raditi korak po korak kako ne bi ostalo nedovršenih zadataka, posebno u vezi s dozvolama i dodatnim drajverima za snimanje.

• Zvanično preuzimanje: Pristup službena Wireshark web stranica i odaberite verziju Windowsa (32 ili 64 bita, ovisno o vašem sistemu).
• Pokrenite instalater: Dvaput kliknite na preuzetu datoteku i slijedite upute čarobnjaka. Prihvatite zadane opcije ako imate bilo kakvih pitanja.
• Osnovni pokretači: Tokom instalacije, instalater će vas pitati instalirajte Npcap. Ova komponenta je neophodna, jer omogućava vašoj mrežnoj kartici da hvata pakete u "promiskuitetnom" režimu. Prihvatite njegovu instalaciju.
• Prekini i ponovo pokreni: Nakon što je proces završen, ponovo pokrenite računar kako biste bili sigurni da su sve komponente spremne.

Spremni! Sada možete početi koristiti Wireshark iz menija Start u Windowsu. Imajte na umu da se ovaj program često ažurira, pa je dobra ideja s vremena na vrijeme provjeriti ima li novih verzija.

Kako Wireshark funkcioniše: Hvatanje i prikaz paketa

Kada otvorite Wireshark, Prvo što ćete vidjeti je lista svih mrežnih interfejsa dostupnih na vašem sistemu.Žične mrežne kartice, WiFi, pa čak i virtuelni adapteri ako koristite virtuelne mašine poput VMware-a ili VirtualBox-a. Svaki od ovih interfejsa predstavlja ulaznu ili izlaznu tačku za digitalne informacije.

Da biste započeli s prikupljanjem podataka, Samo trebate dvaput kliknuti na željeni interfejs. Od tada, Wireshark će u realnom vremenu prikazivati ​​sve pakete koji cirkulišu po toj kartici, sortirajući ih po kolonama kao što su broj paketa, vrijeme snimanja, izvor, odredište, protokol, veličina i dodatni detalji.

Kada želite zaustaviti snimanje, pritisnite dugme crveno dugme Stop. Snimke možete sačuvati u .pcap formatu za kasniju analizu, dijeljenje ili čak izvoz u različite formate (CSV, tekst, komprimirani itd.). Ova fleksibilnost je ono što čini Wireshark je nezamjenjiv alat i za analizu na licu mjesta i za potpune revizije..

Početak: Savjeti prije pravljenja snimka ekrana u Windowsu

Kako biste osigurali da vaši prvi Wireshark snimci budu korisni i da ne budu ispunjeni nebitnom bukom ili zbunjujućim podacima, postoji nekoliko ključnih preporuka kojih se treba pridržavati:

• Zatvorite nepotrebne programePrije početka snimanja, zatvorite aplikacije koje generiraju pozadinski promet (ažuriranja, chat, klijente e-pošte, igre itd.). Na ovaj način ćete izbjeći miješanje nebitnog prometa.
• Kontrolirajte zaštitni zidZaštitni zidovi mogu blokirati ili mijenjati promet. Razmislite o privremenom onemogućavanju ako želite potpuni snimak.
• Zabilježite samo ono što je relevantnoAko želite analizirati određenu aplikaciju, pričekajte sekundu ili dvije nakon pokretanja snimanja da biste pokrenuli aplikaciju i učinite isto prilikom zatvaranja prije zaustavljanja snimanja.
• Poznajte svoj aktivni interfejsObavezno odaberite ispravnu mrežnu karticu, posebno ako imate više adaptera ili ste na virtualnoj mreži.

Prateći ove smjernice, vaši snimci ekrana će biti mnogo čišći i korisniji za bilo kakvu daljnju analizu..

Filteri u Wiresharku: Kako se fokusirati na ono što je zaista važno

Jedna od najmoćnijih karakteristika Wiresharka su filteri.. Postoje dvije osnovne vrste:

• Filteri za snimanjePrimjenjuju se prije početka snimanja, što vam omogućava da od samog početka prikupljate samo promet koji vas zanima.
• Prikaz filteraOvo se odnosi na listu već snimljenih paketa, što vam omogućava da prikažete samo one koji ispunjavaju vaše kriterije.

Među najčešćim filterima su:

• Po protokoluFiltrira samo HTTP, TCP, DNS, itd. pakete.
• Po IP adresiNa primjer, prikažite samo pakete od ili do određene IP adrese koristeći ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• Po luciOgraničava rezultate na određeni port (tcp.port == 80).
• Po tekstualnom nizu: Locira pakete koji sadrže ključnu riječ u svom sadržaju.
• Po MAC adresi, dužini paketa ili IP rasponu.

Osim toga, filteri se mogu kombinovati sa logičkim operatorima (i, or, ne) za vrlo precizne pretrage, kao što su tcp.port == 80 i ip.src == 192.168.1.1.

Šta možete snimiti i analizirati pomoću Wiresharka na Windowsu?

Wireshark je sposoban interpretirati više od 480 različitih protokola, od osnova poput TCP-a, UDP-a, IP-a, do protokola specifičnih za aplikacije, IoT-a, VoIP-a i mnogih drugih. To znači da možete ispitati sve vrste mrežnog prometa, od jednostavnih DNS upita do šifriranih SSH sesija, HTTPS veza, FTP transfera ili SIP prometa s internetske telefonije.

Takođe, Wireshark podržava standardne formate za snimanje kao što su tcpdump (libpcap), pcapng i drugi, i omogućava vam kompresiju i dekompresiju snimaka ekrana u hodu pomoću GZIP-a radi uštede prostora. Za šifrirani promet (TLS/SSL, IPsec, WPA2, itd.), ako imate odgovarajuće ključeve, možete čak i dešifrirati podatke i vidjeti njihov originalni sadržaj.

Detaljno snimanje prometa: dodatne preporuke

Prije početka bilo kakvog važnog snimanja, slijedite ovaj protokol kako biste maksimizirali korisnost prikupljenih informacija.:

• Odaberite pravi interfejsObično će vaš aktivni adapter biti onaj za vezu koju koristite. Ako imate bilo kakvih nedoumica, provjerite koji je uređaj povezan u mrežnim postavkama sustava Windows.
• Postavite scenuOtvorite samo programe ili aplikacije koje će generirati promet koji želite analizirati.
• Izolujte fenomenAko želite analizirati promet aplikacije, slijedite ovaj redoslijed: pokrenite aplikaciju nakon pokretanja snimanja, izvršite radnju koju želite analizirati i zatvorite aplikaciju prije zaustavljanja snimanja.
• Sačuvajte snimak ekrana: Zaustavite snimanje, idite na Datoteka > Sačuvaj i odaberite .pcap ili željeni format.

Ovako ćeš dobiti čiste i jednostavne za analizu datoteke, bez ikakvog neželjenog prometa.

Ilustrativni primjeri: analiza prometa pomoću Wiresharka

Recimo da imate dva računara u vašoj lokalnoj mreži i jedan od njih prestaje pristupati internetu. Možete koristiti Wireshark za snimanje prometa s te mašine. i provjerite da li postoje greške pri razrješavanju DNS adresa, da li paketi ne stižu do rutera ili da li zaštitni zid blokira komunikaciju.

Još jedan tipičan slučaj: otkriti da li web stranica ne šifrira ispravno vašu prijavu. Ako se prijavite na web stranicu bez HTTPS-a i primijenite HTTP filter u kombinaciji s vašim korisničkim imenom, možda ćete čak vidjeti i svoju lozinku kako putuje bez zadrške mrežom, što je stvarna demonstracija rizika nesigurnih web stranica.

Wireshark i sigurnost: Rizici, napadi i zaštitne mjere

Wiresharkova snaga je ujedno i njegov najveći rizik: U pogrešnim rukama, može olakšati hvatanje akreditiva, špijunažu ili otkrivanje osjetljivih informacija.. Evo nekih prijetnji i preporuka:

• Napadi grubom silom na akreditive (credential stuffing)Ako snimate SSH, Telnet ili promet drugih servisa, možete primijetiti automatske pokušaje prijave. Obratite pažnju na duže sesije (one su obično uspješne), veličine paketa i broj pokušaja otkrivanja sumnjivih obrazaca.
• Rizik od vanjskog prometaFiltrirajte sav SSH promet koji ne dolazi iz vaše interne mreže: ako vidite veze izvana, budite oprezni!
• Lozinke u običnom tekstuAko web stranica prenosi nešifrirana korisnička imena i lozinke, to ćete vidjeti na snimku ekrana. Nikada ne koristite Wireshark za prikupljanje ovih podataka na stranim mrežama. Imajte na umu da je to raditi bez dozvole nezakonito.
• Saglasnost i zakonitostAnalizira samo promet iz vlastitih mreža ili s eksplicitnom autorizacijom. Zakon je po ovom pitanju vrlo jasan, a zloupotreba može imati ozbiljne posljedice.
• Transparentnost i etikaAko radite u korporativnom okruženju, informirajte korisnike o analizi i njenoj svrsi. Poštovanje privatnosti je jednako važno kao i tehnička sigurnost.

Alternative za Wireshark: Druge opcije za analizu mreže

Wireshark je neosporna referenca, ali postoje i drugi alati koji mogu dopuniti ili, u određenim situacijama, zamijeniti njegovu upotrebu:

• tcpdumpIdealno za Unix/Linux okruženja, radi iz komandne linije. Lagan je, brz i fleksibilan za brzo snimanje ili automatizirane zadatke.
• CloudsharkWeb platforma za otpremanje, analizu i dijeljenje snimljenih paketa iz preglednika. Veoma korisno za kolaborativna okruženja.
• SmartSniffFokusirano na Windows, jednostavno za korištenje za snimanje točaka i pregled razgovora između klijenata i servera.
• ColaSoft CapsaGrafički analizator mreže koji se ističe jednostavnošću interfejsa i specifičnim opcijama za skeniranje portova, izvoz i kompaktnu vizualizaciju.

Izbor najbolje alternative zavisi od vaših specifičnih potreba.brzina, grafički interfejs, online saradnja ili kompatibilnost sa određenim hardverom.

Napredne postavke: Promiskuitetni način rada, monitor i razlučivanje imena

Promiskuitetni način rada omogućava mrežnoj kartici snimanje ne samo paketi namijenjeni njoj, već sav promet koji cirkulira kroz mrežu na koju je povezan. To je ključno za analizu korporativnih mreža, dijeljenih čvorišta ili scenarija testiranja prodora.

U operativnom sistemu Windows idite na Snimanje > Opcije, odaberite interfejs i označite polje za promiskuitetni režim. Imajte na umu da ćete na Wi-Fi mrežama, osim na vrlo specifičnom hardveru, vidjeti promet samo sa svog uređaja.

Sa druge strane, Rezolucija imena pretvara IP adrese u čitljiva imena domena (na primjer, 8.8.8.8 u google-public-dns-a.google.com). Ovu opciju možete omogućiti ili onemogućiti u Uredi > Postavke > Razrješenje imena. Mnogo pomaže u identifikaciji uređaja tokom skeniranja, iako može usporiti proces ako se rješava mnogo adresa.