Giunsa paggamit ang Wireshark aron mahibal-an ang mga problema sa network

Kung nagtrabaho ka sa networking, seguridad, o kalamboan ug gusto nimong masabtan kung unsa ang nahitabo sa imong mga kable ug Wi-Fi, nagtrabaho kauban ang Wireshark Kini usa ka hinungdanon nga elemento. Kini open source package analyzer nga adunay mga dekada sa ebolusyon nga nagtugot sa pagkuha, pag-dissect ug pagtuon sa trapiko sa lebel sa packet nga adunay katukma sa pag-opera.

Niining artikuloha atong tukion kini sa giladmon: gikan sa lisensya ug sponsorship niini ngadto sa mga pakete niini sa GNU/Linux, lakip na ang mga gamit sa console, gisuportahan nga mga format, mga kinahanglanon sa paghugpong, mga permiso sa pagkuha ug usa ka tinuod nga kompleto nga kasaysayan ug functional nga kinatibuk-ang panglantaw.

Unsa ang Wireshark ug unsa ang gigamit niini karon?

Sa esensya, ang Wireshark usa ka protocol analyzer ug traffic capture device nga nagtugot kanimo sa pagbutang sa usa ka interface sa promiscuous o monitor mode (kung ang sistema nagsuporta niini) ug tan-awa ang mga frame nga dili ipadala sa imong Mac, pag-analisar sa mga panag-istoryahanay, pagtukod pag-usab sa mga agos, mga pakete sa kolor sumala sa mga lagda, ug paggamit sa mga makapahayag nga mga pagsala sa pagpakita. Dugang pa, naglakip sa TShark (terminal nga bersyon) ug usa ka hugpong sa mga utilities alang sa mga buluhaton sama sa paghan-ay pag-usab, pagbahin, paghiusa, ug pag-convert sa mga screenshot.

Bisan kung ang paggamit niini nagpahinumdom sa tcpdump, naghatag kini usa ka moderno nga graphical interface nga gibase sa Qt nga adunay pagsala, paghan-ay, ug lawom nga dissection alang sa liboan nga mga protocol. Kung naa ka sa switch, hinumdomi nga ang promiscuous mode dili garantiya nga makita nimo ang tanan nga trapiko: para sa kompleto nga mga senaryo kinahanglan nimo ang port mirroring o mga taps sa network, nga gihisgutan usab sa ilang dokumentasyon nga labing kaayo nga mga gawi.

Lisensya, pundasyon ug modelo sa kalamboan

Ang Wireshark giapod-apod sa ilawom GNU GPL v2 ug sa daghang mga dapit, sama sa "GPL v2 o sa ulahi". Ang ubang mga utilities sa source code lisensyado ubos sa lain-laing pero compatible nga mga lisensya, sama sa pidl tool nga adunay GPLv3+, nga dili makaapekto sa resulta nga binary sa analyzer. Walay gipahayag o gipasabot nga warranty; gamita kini sa imong kaugalingong risgo, sama sa naandan sa libre nga software.

La Wireshark Foundation Nag-coordinate kini sa pag-uswag ug pag-apod-apod. Nagsalig kini sa mga donasyon gikan sa mga indibidwal ug organisasyon kansang trabaho gibase sa Wireshark. Gipanghambog sa proyekto ang libu-libo nga mga rehistradong awtor ug mga numero sa kasaysayan sama nila Gerald Combs, Gilbert Ramirez, ug Guy Harris taliwala sa labing inila nga mga tigpaluyo niini.

Ang Wireshark nagdagan sa Linux, Windows, macOS, ug uban pang mga sistema nga sama sa Unix (BSD, Solaris, ug uban pa). Ang mga opisyal nga pakete gipagawas para sa Windows ug macOS, ug sa GNU/Linux kasagarang gilakip kini isip standard o add-on nga pakete sa mga distribusyon sama sa Debian, Ubuntu, Fedora, CentOS, RHEL, Arch, Gentoo, openSUSE, FreeBSD, DragonFly BSD, NetBSD, ug OpenBSD. Anaa usab kini sa mga sistema sa ikatulo nga partido sama sa Homebrew, MacPorts, pkgsrc o OpenCSW.

Sa pag-compile gikan sa code, kinahanglan nimo ang Python 3; AsciiDoctor alang sa dokumentasyon; ug mga himan sama sa Perl ug GNU flex (classic lex dili molihok). Ang pag-configure gamit ang CMake nagtugot kanimo sa pag-enable o pag-disable sa piho nga suporta, pananglitan, mga librarya sa compression nga adunay -DENABLE_ZLIB=OFF, -DENABLE_LZ4=OFF o -DENABLE_ZSTD=OFF, o suporta sa libsmi nga adunay -DENABLE_SMI=OFF kung gusto nimo nga dili ikarga ang mga MIB.

Mga pakete ug mga librarya sa mga sistema nga nakabase sa Debian

Sa Debian/Ubuntu ug derivative environment, ang Wireshark ecosystem gibahin sa daghang paketeSa ubos usa ka pagkahugno sa mga bahin, gibanabana nga gidak-on, ug mga dependency. Kini nga mga pakete nagtugot kanimo sa pagpili gikan sa usa ka kompleto nga GUI ngadto sa mga librarya ug mga himan sa pag-uswag alang sa pag-integrate sa mga dissection sa imong kaugalingong mga aplikasyon.

wireshark

Ang graphical nga aplikasyon alang sa pagkuha ug pag-analisar sa trapiko nga adunay Qt interface. Gibanabana nga gidak-on: 10.59 MB. Pasilidad: sudo apt install wireshark

Lakip sa mga kapilian sa pagsugod niini makit-an nimo ang mga parameter aron mapili ang interface (-i), pagkuha mga filter (-f), limitasyon sa snapshot, mode sa monitor, mga lista sa tipo sa link, mga filter sa display (-Y), "Decode As" ug mga gusto, ingon man ang mga format sa output sa file ug mga komento sa pagkuha. Gitugotan usab sa aplikasyon configuration profiling ug statistics abante nga mga bahin gikan sa interface.

tshark

Console nga bersyon para sa command-line nga pagkuha ug pagtuki. Gibanabana nga gidak-on: 429 KB. Pasilidad: sudo apt install tshark

Gitugotan ka niini sa pagpili sa mga interface, paggamit sa pagkuha ug pagpakita sa mga filter, pagtino sa mga kondisyon sa paghunong (oras, gidak-on, gidaghanon sa mga pakete), paggamit sa mga circular buffer, mga detalye sa pag-imprinta, hex ug JSON dumps, ug pag-eksport sa TLS nga mga butang ug mga yawe. Mahimo usab kini nga koloran ang output sa usa ka katugbang nga terminal. adjust log logging pinaagi sa mga dominyo ug lebel sa detalye. Gitambagan ang pag-amping kung mahimo nimo ang BPF JIT sa lebel sa kernel, tungod kay mahimo kini adunay mga implikasyon sa seguridad.

wireshark-komon

Komon nga mga file alang sa wireshark ug tshark (pananglitan, mga diksyonaryo, mga pag-configure, ug mga gamit sa linya). Gibanabana nga gidak-on: 1.62 MB. Pasilidad: sudo apt install wireshark-common

Kini nga pakete naglakip sa mga utilities sama sa capinfos (kuhaa ang impormasyon sa file: tipo, encapsulation, gidugayon, rates, gidak-on, hash ug komento), captype (ila-ila ang mga tipo sa file), dumpcap (gaan nga kagamitan sa pagdakop nga naggamit sa pcapng/pcap nga adunay autostop ug circular buffers), editcap (edit/split/convert captures, adjust timestamps, kuhaa ang mga duplicate, add comments o secrets), mergecap (paghiusa o pagdugtong ang daghang mga kuha), mmdbresolve (pagsulbad sa IP geolocation sa mga database sa MMDB), randpkt (multi-protocol synthetic packet generator), rawshark (crude dissection uban sa field output), reordercap (pag-order pag-usab pinaagi sa timestamp), sharkd (daemon nga adunay API aron maproseso ang mga nakuha) ug text2pcap (i-convert ang mga hexdump o structured nga teksto ngadto sa balido nga mga kuha).

libwireshark18 ug libwireshark-data

Central packet dissection library. Naghatag sa mga tig-analisar sa protocol nga gigamit sa Wireshark/TShark. Gibanabana nga gidak-on sa librarya: 126.13 MB. Pasilidad: sudo apt install libwireshark18 y sudo apt install libwireshark-data

Naglakip kini sa suporta alang sa daghang mga protocol ug mga kapilian sama sa pagpagana o pag-disable sa mga piho nga dissection, heuristics, ug "Decode As" gikan sa interface o linya sa mando; salamat niini, mahimo nimong ipahiangay ang dissection sa tinuod nga trapiko sa imong palibot.

libwiretap15 ug libwiretap-dev

Ang Wiretap usa ka librarya alang sa pagbasa ug pagsulat sa daghang mga format sa pagkuha sa file. Ang mga kalig-on niini mao ang lainlaing mga format nga gisuportahan niini; ang mga limitasyon niini mao ang: Wala kini nagsala o naghimo sa direkta nga pagdakop.. Pasilidad: sudo apt install libwiretap15 y sudo apt install libwiretap-dev

Ang -dev nga variant naghatag sa static nga librarya ug C nga mga ulohan aron i-integrate ang mga operasyon sa pagbasa / pagsulat sa imong mga himan. Kini nagtugot kanimo sa pagpalambo sa mga utilities nga nagmaniobra sa datos. pcap, pcapng ug uban pang sudlanan isip kabahin sa among kaugalingong pipelines.

libwsutil16 ug libwsutil-dev

Usa ka hugpong sa mga utilities nga gipaambit sa Wireshark ug mga may kalabutan nga mga librarya: auxiliary functions alang sa string manipulation, buffering, encryption, ug uban pa. sudo apt install libwsutil16 y sudo apt install libwsutil-dev

Ang -dev nga pakete naglakip sa mga ulohan ug usa ka static nga librarya aron ang mga eksternal nga aplikasyon makasumpay sa komon nga mga utilities nga walay pag-reimplementing sa mga ligid. Kini ang pundasyon sa daghang gipaambit nga mga gimbuhaton nga naggamit sa Wireshark ug TShark.

wireshark-dev

Mga himan ug mga file alang sa paghimo og bag-ong mga "dissectors". Naghatag kini og mga script sama sa idl2wrs, ingon man mga dependency alang sa pag-compile ug pagsulay. Gibanabana nga gidak-on: 621 KB. Pasilidad: sudo apt install wireshark-dev

Naglakip kini sa mga utilities sama sa asn2deb (naghimo og mga pakete sa Debian alang sa pag-monitor sa BER gikan sa ASN.1) ug idl2deb (mga pakete alang sa CORBA). Ug, labaw sa tanan, idl2wrsKini nga himan nagbag-o sa usa ka CORBA IDL ngadto sa kalabera sa usa ka C plugin para sa pag-dissect sa trapiko sa GIOP/IIOP. Kini nga workflow nagsalig sa Python scripts (wireshark_be.py ug wireshark_gen.py) ug nagsuporta sa heuristic dissection pinaagi sa default. Ang himan nangita alang sa mga module niini sa PYTHONPATH/site-packages o sa kasamtangan nga direktoryo, ug modawat sa file redirection aron makamugna sa code.

wireshark-doc

Dokumentasyon sa user, giya sa pagpalambo ug pakisayran sa Lua. Gibanabana nga gidak-on: 13.40 MB. Pasilidad: sudo apt install wireshark-doc

Girekomenda kung imong susihon pag-ayo mga extension, scripting ug mga APIAng online nga dokumentasyon sa opisyal nga website gi-update sa matag stable nga bersyon.

Pagkuha ug mga permiso sa seguridad

Sa daghang mga sistema, ang direktang pagdakop nanginahanglan ug taas nga mga pribilehiyo. Tungod niini nga hinungdan, ang Wireshark ug TShark nagtugyan sa pagdakop sa usa ka serbisyo sa ikatulo nga partido. dumpcapUsa ka binary nga gidisenyo nga modagan nga adunay mga pribilehiyo (set-UID o mga kapabilidad) aron maminusan ang pag-atake sa nawong. Ang pagpadagan sa tibuok GUI isip gamut dili maayong praktis; mas maayo nga makuha gamit ang dumpcap o tcpdump ug analisa nga wala’y mga pribilehiyo aron makunhuran ang mga peligro.

Ang kasaysayan sa proyekto naglakip sa mga insidente sa seguridad sa mga dissector sulod sa mga katuigan, ug pipila ka mga plataporma sama sa OpenBSD nagretiro sa daan nga Ethereal nga pananglitan tungod niana nga rason. Uban sa kasamtangan nga modelo, ang pag-inusara gikan sa pagdakop ug ang kanunay nga pag-update makapauswag sa sitwasyon, apan kini kanunay nga gitambagan sunda ang mga instruksyon sa kaluwasan Ug, kung nakamatikod ka nga kadudahan nga kalihokan, hibal-i kung giunsa babagan ang mga kadudahang koneksyon sa network ug likayi ang pag-abli sa dili kasaligan nga mga screenshot nga wala’y una nga pagsusi.

Mga format sa file, compression, ug espesyal nga mga font

Ang Wireshark nagbasa ug nagsulat sa pcap ug pcapng, ingon man mga format gikan sa ubang mga analista sama sa snoop, Network General Sniffer, Microsoft Network Monitor, ug ang daghan nga gilista sa Wiretap sa ibabaw. Mahimo kini magbukas sa mga compressed file kung kini giipon sa mga librarya para sa pcapng. GZIP, LZ4 ug ZSTDSa partikular, ang GZIP ug LZ4 nga adunay independyenteng mga bloke nagtugot sa paspas nga paglukso, pagpaayo sa pasundayag sa GUI sa dagkong mga pagdakop.

Ang proyekto nagdokumento sa mga bahin sama sa AIX iptrace (diin ang usa ka HUP sa daemon nagsira nga limpyo), suporta alang sa Lucent/Ascend traces, Toshiba ISDN o CoSine L2, ug nagpakita kon unsaon pagkuha ang textual nga output ngadto sa usa ka file (pananglitan, uban sa telnet <equipo> | tee salida.txt o paggamit sa himan script) aron ma-import kini sa ulahi gamit ang text2pcap. Kini nga mga dalan modala kanimo gikan "kombensiyonal" nga mga pagdakop kung mogamit ka ug kagamitan nga dili direkta nga nag-tip sa pcap.

Mga utility sa suite ug mga kategorya nga kapilian

Dugang sa Wireshark ug TShark, ang pag-apod-apod naglakip ubay-ubay nga mga himan nga naglangkob sa piho kaayo nga mga buluhatonKung wala’y pagkopya sa teksto sa tabang nga verbatim, ania ang usa ka katingbanan nga giorganisar sa mga kategorya aron mahibal-an nimo kung unsa ang gibuhat sa matag usa ug kung unsang mga kapilian ang imong makit-an:

• dumpcap: "putli ug yano" nga pagkuha sa pcap/pcapng, pagpili sa interface, mga filter sa BPF, gidak-on sa buffer, rotation sa oras/gidak-on/mga file, paghimo sa mga ring buffer, pagkuha sa mga komento ug output sa format mabasa sa makinaNagpasidaan kini batok sa pagpaaktibo sa JIT sa BPF tungod sa posibleng mga risgo.
• capinfosGipakita niini ang tipo sa file, encapsulation, interface, ug metadata; gidaghanon sa mga pakete, gidak-on sa file, kinatibuk-ang gitas-on, limitasyon sa snapshot, kronolohiya (una/katapusan), kasagaran nga mga rate (bps/Bps/pps), kasagaran nga gidak-on sa pakete, hash, ug mga komento. Gitugotan niini ang tabular o detalyado nga output ug mga format nga mabasa sa makina.
• captype: nagpaila sa matang sa capture file para sa usa o daghan pang mga entry nga adunay tabang ug mga opsyon sa bersyon.
• editcapGipili/gitangtang niini ang mga han-ay sa packet, mga snaps/chops, pag-adjust sa mga timestamp (lakip ang estrikto nga pagkahan-ay), pagtangtang sa mga duplicate nga adunay ma-configure nga mga bintana, pagdugang sa mga komentaryo kada frame, pagbahin sa output pinaagi sa numero o oras, pag-usab sa sudlanan ug encapsulation, pagtrabaho uban sa mga sekreto sa decryption, ug pag-compress sa output. Kini ang tanan nga katuyoan nga himan alang sa "paglimpyo" sa mga nakuha.
• mergecap: naghiusa sa daghang mga kuha ngadto sa usa, pinaagi sa linear concatenation o timestamp-based mixing, nagkontrol sa snaplen, naghubit sa output type, IDB merging mode ug final compression.
• reordercap: nag-order pag-usab sa usa ka file pinaagi sa timestamp nga nagmugna og limpyo nga output ug, kung kini nahan-ay na, makalikay sa pagsulat sa resulta aron sa pagluwas sa I/O.
• text2pcap: nag-convert sa mga hexdumps o teksto nga adunay regex ngadto sa balido nga pagdakop; nag-ila sa mga offset sa lain-laing mga database, timestamp nga adunay strptime nga mga format (lakip ang fractional precision), nakamatikod sa gilakip nga ASCII kung magamit, ug mahimong mag-prepend sa "dummy" nga mga header (Ethernet, IPv4/IPv6, UDP/TCP/SCTP, EXPORTED_PDU) nga adunay mga pantalan, mga adres, ug mga label gipakita.
• rawshark: “hilaw” nga field-oriented nga magbabasa; nagtugot kanimo sa pagtakda sa encapsulation o dissection protocol, pag-disable sa mga resolusyon sa ngalan, pagtakda sa pagbasa/pagpakita sa mga filter ug pagdesisyon sa field output format, mapuslanon alang sa pipeline uban sa ubang mga himan.
• randpktNaghimo og mga file nga adunay mga random nga pakete sa mga tipo sama sa ARP, BGP, DNS, Ethernet, IPv4/IPv6, ICMP, TCP/UDP, SCTP, Syslog, USB-Linux, ug uban pa, nga nagtino sa account, maximum nga gidak-on, ug sudlanan. Maayo alang sa mga pagsulay ug mga demo.
• mmdbresolve: Pangutana sa MaxMind databases (MMDB) aron ipakita ang geolocation sa IPv4/IPv6 nga mga adres, nga nagtino sa usa o daghan pa nga mga file sa database.
• sharkd: daemon nga nagbutyag sa usa ka API (mode “bulawan”) o classic socket (mode “classic”); nagsuporta sa mga profile sa configuration ug kontrolado gikan sa mga kliyente alang sa server-side dissection ug pagpangita, mapuslanon sa automation ug mga serbisyo.

Arkitektura, mga kinaiya ug mga limitasyon

Ang Wireshark nagsalig sa libpcap/Npcap para makuha, ug sa ekosistema sa mga library (libwireshark, libwiretap, libwsutil) nga nagbulag sa dissection, mga format, ug mga gamit. Gitugotan niini ang pag-detect sa tawag sa VoIP, pag-playback sa audio sa gisuportahan nga mga pag-encode, pagdakop sa hilaw nga trapiko sa USB, ug pagsala sa mga Wi-Fi network (kung ilang gisubay ang gi-monitor nga Ethernet). mga plugins alang sa bag-ong mga protocol gisulat sa C o Lua. Makadawat usab kini og encapsulated remote traffic (e.g., TZSP) para sa real-time nga pagtuki gikan sa laing makina.

Dili kini usa ka IDS, ni nag-isyu kini og mga alerto; ang tahas niini pasibo: kini nagsusi, nagsukod, ug nagpakita. Bisan pa, ang mga gamit sa auxiliary naghatag mga estadistika ug mga daloy sa trabaho, ug ang mga materyal sa pagbansay dali nga magamit (lakip ang mga pang-edukasyon nga apps nga gitumong sa 2025 nga nagtudlo sa mga pagsala, pag-sniff, batakang OS fingerprinting, real-time nga pagtuki, automation, naka-encrypt nga trapiko, ug pag-integrate sa mga gawi sa DevOps). Kini nga pang-edukasyon nga aspeto nagsangkap sa kinauyokan nga gamit sa diagnosis ug troubleshooting.

Pagkaangay ug ekosistema

Ang pagtukod ug pagsulay nga mga plataporma naglakip Linux (Ubuntu), Windows ug macOSGihisgotan usab sa proyekto ang halapad nga pagkaangay sa dugang nga mga sistema nga sama sa Unix ug pag-apod-apod pinaagi sa mga tagdumala sa ikatulo nga partido. Sa pipila ka mga kaso, ang mas daan nga mga bersyon sa OS nanginahanglan sa miaging mga sanga (pananglitan, Windows XP nga adunay bersyon 1.10 o mas sayo pa). Kasagaran, mahimo nimong i-install gikan sa mga opisyal nga repository o binary sa kadaghanan nga mga palibot nga wala’y dagkong mga isyu.

Nahiusa sila sa mga simulator sa network (ns, OPNET Modeler), ug mga himan sa ikatulo nga partido (pananglitan, Aircrack para sa 802.11) mahimong magamit aron makahimo mga pagkuha nga giablihan sa Wireshark nga wala’y kalisud. Sa ngalan sa estrikto nga legalidad ug etikaHinumdumi nga mokuha lang sa mga network ug sa mga senaryo diin ikaw adunay gipahayag nga pagtugot.

Ngalan, opisyal nga mga website, ug kontrol nga datos

Ang opisyal nga website mao ang wireshark.orgnga adunay mga pag-download sa subdirektoryo niini / pag-download ug online nga dokumentasyon para sa mga tiggamit ug mga developer. Adunay mga panid nga adunay pagkontrol sa awtoridad (e.g., GND) ug mga lista sa mga link sa code repository, bug tracker, ug project blog, mapuslanon sa pagpadayon sa balita ug pagreport sa mga isyu.

Sa dili ka pa magsugod sa pag-capture, pamatud-i ang mga permiso ug kapabilidad sa imong sistema, pagdesisyon kung mogamit ka ba og dumpcap/tcpdump aron i-dump sa disk ug analisahon nga wala’y mga pribilehiyo, ug pag-andam sa pagkuha ug pagpakita sa mga filter nga nahiuyon sa imong katuyoan. Uban sa usa ka maayo nga pamaagi, ang Wireshark nagpasimple sa komplikado ug naghatag kanimo sa tukma nga kasayuran. Ang visibility nga imong gikinahanglan sa pag-diagnose, pagkat-on, o pag-audit sa mga network sa bisan unsang gidak-on.

Giangkon nga artikulo:

Unsa ang buhaton sa unang 24 ka oras human sa usa ka hack: mobile, PC ug online nga mga account

Daniel Terrace

Ang editor nga espesyalista sa teknolohiya ug mga isyu sa internet nga adunay labaw sa napulo ka tuig nga kasinatian sa lainlaing digital media. Nagtrabaho ko isip editor ug tiglalang sa sulod alang sa e-commerce, komunikasyon, online marketing ug mga kompanya sa advertising. Nakasulat usab ako sa mga website sa ekonomiya, pinansya ug uban pang mga sektor. Ang akong trabaho mao usab ang akong hilig. Karon, pinaagi sa akong mga artikulo sa Tecnobits, naningkamot ko nga tukion ang tanang balita ug bag-ong mga oportunidad nga gitanyag kanato sa kalibotan sa teknolohiya kada adlaw aron mapauswag ang atong kinabuhi.