Jak používat Wireshark ve Windows: Kompletní, praktický a aktuální průvodce

Přemýšleli jste někdy Co se ve vaší síti skutečně děje, když procházíte internet, hrajete online nebo spravujete připojená zařízení? Pokud vás jednoduše zajímají záhady kolující ve vaší Wi-Fi síti, nebo pokud jednoduše potřebujete profesionální nástroj Analyzujte síťový provoz a detekujte problémy s připojením, jistě jméno Wireshark už upoutal tvou pozornost.

No, v tomto článku to zjistíte bez okliky všechny podrobnosti o WiresharkuCo to je, k čemu se to ve Windows používá, jak to nainstalovat a nejlepší tipy před zahájením zachycování dat. Pojďme na to.

Co je Wireshark? Rozbor titána síťové analýzy

Wireshark je celosvětově nejoblíbenější a nejuznávanější analyzátor síťových protokolů.. Tento bezplatný, open source a výkonný nástroj vám umožňuje zachytit a prozkoumat veškerý síťový provoz který prochází vaším počítačem, ať už se jedná o počítač s Windows, Linuxem, macOS nebo dokonce systémy jako FreeBSD a Solaris. S Wiresharkem můžete v reálném čase nebo po zaznamenání přesně vidět, které pakety vstupují a odcházejí z vašeho počítače, jejich zdroj, cíl, protokoly, a dokonce je rozdělit a získat tak podrobnosti o každé vrstvě podle modelu OSI.

Na rozdíl od mnoha analyzátorů, Wireshark vyniká svým intuitivním grafickým rozhraním, ale také nabízí výkonnou konzolovou verzi s názvem TShark pro ty, kteří dávají přednost příkazovému řádku nebo potřebují provádět automatizované úlohy. Flexibilita Wiresharku Je to tak, že vám umožňuje analyzovat připojení během prohlížení, provádět profesionální bezpečnostní audity, řešit úzká hrdla sítě nebo se od základu učit, jak fungují internetové protokoly, a to vše z vašeho vlastního počítače!

Stáhněte a nainstalujte Wireshark ve Windows

Instalace Wiresharku ve Windows je jednoduchý proces., ale je vhodné to dělat krok za krokem, aby nezůstaly žádné nedořešené záležitosti, zejména pokud jde o oprávnění a další ovladače pro zachycení.

• Oficiální stažení: Přístup do oficiální webové stránky Wiresharku a vyberte verzi pro Windows (32 nebo 64 bitů v závislosti na vašem systému).
• Spusťte instalační program: Dvakrát klikněte na stažený soubor a postupujte podle pokynů průvodce. Pokud máte jakékoli dotazy, přijměte výchozí možnosti.
• Základní hnací síly: Během instalace se vás instalační program zeptá nainstalujte Npcap. Tato komponenta je nezbytná, protože umožňuje vaší síťové kartě zachytávat pakety v „promiskuitním“ režimu. Přijměte jeho instalaci.
• Ukončit a restartovat: Jakmile je proces dokončen, restartujte počítač, abyste se ujistili, že jsou všechny komponenty připraveny.

Připraveni! Nyní můžete začít používat Wireshark z nabídky Start systému Windows. Upozorňujeme, že tento program je často aktualizován, proto je dobré čas od času zkontrolovat nové verze.

Jak funguje Wireshark: Zachycení a zobrazení paketů

Když otevřete Wireshark, První věc, kterou uvidíte, je seznam všech síťových rozhraní dostupných ve vašem systému.Kabelové síťové karty, WiFi a dokonce i virtuální adaptéry, pokud používáte virtuální počítače jako VMware nebo VirtualBox. Každé z těchto rozhraní představuje vstupní nebo výstupní bod pro digitální informace.

Chcete-li začít shromažďovat data, Stačí dvakrát kliknout na požadované rozhraní. Od té doby, Wireshark bude v reálném čase zobrazovat všechny pakety, které cirkulují podle dané karty a seřadí je podle sloupců, jako je číslo paketu, čas zachycení, zdroj, cíl, protokol, velikost a další podrobnosti.

Pokud chcete zastavit snímání, stiskněte tlačítko červené tlačítko Stop. Své snímky si můžete uložit ve formátu .pcap pro pozdější analýzu, sdílení nebo dokonce export do různých formátů (CSV, text, komprimovaný atd.). Tato flexibilita je to, co dělá Wireshark je nepostradatelný nástroj jak pro namátkové analýzy, tak pro kompletní audity..

Začínáme: Tipy před pořízením snímku obrazovky ve Windows

Aby vaše první snímky z Wiresharku byly užitečné a nebyly zaplněny irelevantním šumem nebo matoucími daty, je třeba dodržovat několik klíčových doporučení:

• Ukončete nepotřebné programyPřed zahájením nahrávání ukončete aplikace, které generují provoz na pozadí (aktualizace, chaty, e-mailové klienty, hry atd.). Tímto způsobem se vyhnete míchání irelevantního provozu.
• Ovládání firewalluFirewally mohou blokovat nebo upravovat provoz. Pokud chcete pořídit kompletní záznam, zvažte jeho dočasné vypnutí.
• Zachyťte pouze to, co je relevantníPokud chcete analyzovat konkrétní aplikaci, po zahájení nahrávání počkejte sekundu nebo dvě, než se aplikace spustí, a totéž proveďte i při jejím zavření, než nahrávání zastavíte.
• Znát své aktivní rozhraníUjistěte se, že jste vybrali správnou síťovou kartu, zejména pokud máte více adaptérů nebo jste ve virtuální síti.

Dodržováním těchto pokynů budou vaše snímky obrazovky mnohem čistší a užitečnější pro další analýzu..

Filtry ve Wiresharku: Jak se zaměřit na to, na čem skutečně záleží

Jednou z nejsilnějších funkcí Wiresharku jsou filtry.. Existují dva základní typy:

• Filtry pro zachycení: Aplikují se před zahájením zachycování, což vám umožňuje shromažďovat pouze návštěvnost, která vás od začátku zajímá.
• Filtry zobrazeníTyto se vztahují na seznam již zachycených paketů, což vám umožňuje zobrazit pouze ty, které splňují vaše kritéria.

Mezi nejběžnější filtry patří:

• Podle protokoluFiltruje pouze pakety HTTP, TCP, DNS atd.
• Podle IP adresyNapříklad zobrazit pouze pakety z nebo na konkrétní IP adresu pomocí ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• Podle přístavuOmezuje výsledky na konkrétní port (tcp.port == 80).
• Podle textového řetězce: Vyhledá balíčky, které ve svém obsahu obsahují klíčové slovo.
• Podle MAC adresy, délky paketu nebo rozsahu IP adres.

Filtry lze navíc kombinovat s logickými operátory (si, or, ne) pro velmi přesné vyhledávání, jako například tcp.port == 80 a ip.src == 192.168.1.1.

Co lze zachytit a analyzovat pomocí Wiresharku ve Windows?

Wireshark je schopný interpretovat více než 480 různých protokolů, od základů jako TCP, UDP, IP, až po aplikačně specifické protokoly, IoT, VoIP a mnoho dalších. To znamená, že můžete zkoumat všechny typy síťového provozu, od jednoduchých DNS dotazů až po šifrované SSH relace, HTTPS připojení, FTP přenosy nebo SIP provoz z internetové telefonie.

Navíc, Wireshark podporuje standardní formáty pro zachycení dat, jako například tcpdump (libpcap), pcapng a další.a umožňuje vám komprimovat a dekomprimovat snímky obrazovky za chodu pomocí GZIP pro úsporu místa. U šifrovaného provozu (TLS/SSL, IPsec, WPA2 atd.) můžete s správnými klíči data dokonce dešifrovat a zobrazit jejich původní obsah.

Podrobné zachycení provozu: další doporučení

Než začnete s jakýmkoli důležitým snímáním, dodržujte tento protokol, abyste maximalizovali užitečnost shromážděných informací.:

• Vyberte správné rozhraníAktivní adaptér bude obvykle ten, který je určen pro připojení, které používáte. Pokud máte jakékoli pochybnosti, zkontrolujte v nastavení sítě Windows, který z nich je připojen.
• Připravte si scénuOtevřete pouze programy nebo aplikace, které budou generovat provoz, který chcete analyzovat.
• Izolujte jevPokud chcete analyzovat provoz aplikace, postupujte podle tohoto postupu: po zahájení nahrávání spusťte aplikaci, proveďte akci, kterou chcete analyzovat, a před ukončením nahrávání aplikaci zavřete.
• Uložte snímek obrazovky: Zastavte nahrávání, přejděte do nabídky Soubor > Uložit a vyberte .pcap nebo vámi preferovaný formát.

Takhle to získáte přehledné a snadno analyzovatelné soubory, bez jakéhokoli nežádoucího provozu.

Ilustrativní příklady: analýza provozu pomocí Wiresharku

Řekněme, že máte v místní síti dva počítače a jeden z nich se přestane připojovat k internetu. Pro zachycení provozu z tohoto počítače můžete použít Wireshark. a zkontrolujte, zda se nevyskytují chyby při rozpoznávání adres DNS, zda pakety nedosahují routeru nebo zda komunikaci blokuje firewall.

Další typický případ: zjistit, zda webová stránka správně nešifruje vaše přihlašovací údaje. Pokud se přihlásíte na webovou stránku bez HTTPS a použijete HTTP filtr v kombinaci s vaším uživatelským jménem, ​​můžete dokonce vidět, jak se vaše heslo šíří sítí v otevřeném stavu, což je reálná demonstrace rizika nezabezpečených webových stránek.

Wireshark a bezpečnost: Rizika, útoky a ochranná opatření

Síla Wiresharku je zároveň jeho největším rizikem: V nesprávných rukou může usnadnit získávání přihlašovacích údajů, špionáž nebo odhalení citlivých informací.. Zde jsou některé hrozby a doporučení:

• Credential stuffing (útoky hrubou silou pro získávání přihlašovacích údajů)Pokud zaznamenáváte provoz přes SSH, Telnet nebo jinou službu, můžete pozorovat automatické pokusy o přihlášení. Věnujte pozornost delším relacím (obvykle bývají úspěšné), velikostem paketů a počtu pokusů o detekci podezřelých vzorců.
• Riziko externí dopravyFiltrujte veškerý SSH provoz, který nepochází z vaší interní sítě: pokud vidíte připojení zvenčí, buďte ostražití!
• Hesla v prostém textuPokud webová stránka přenáší nešifrovaná uživatelská jména a hesla, uvidíte to na snímku obrazovky. Nikdy nepoužívejte Wireshark k získání těchto dat v zahraničních sítích. Nezapomeňte, že dělat to bez povolení je nezákonné.
• Souhlas a zákonnostAnalyzuje pouze provoz z vlastních sítí nebo s explicitním oprávněním. Zákon je v tomto bodě velmi jasný a zneužití může mít vážné následky.
• Transparentnost a etikaPokud pracujete v korporátním prostředí, informujte uživatele o analýze a jejím účelu. Respektování soukromí je stejně důležité jako technické zabezpečení.

Alternativy k Wiresharku: Další možnosti pro analýzu sítě

Wireshark je nesporným referenčním nástrojem, ale existují i ​​další nástroje, které mohou doplnit nebo v určitých situacích nahradit jeho použití:

• tcpdumpIdeální pro prostředí Unix/Linux, funguje z příkazového řádku. Je lehký, rychlý a flexibilní pro rychlé snímání nebo automatizované úlohy.
• CloudsharkWebová platforma pro nahrávání, analýzu a sdílení zachycených paketů z prohlížeče. Velmi užitečné pro kolaborativní prostředí.
• SmartSniffZaměřeno na Windows, snadno použitelné pro okamžité zachycení a sledování konverzací mezi klienty a servery.
• ColaSoft CapsaGrafický síťový analyzátor, který vyniká jednoduchostí rozhraní a specifickými možnostmi pro skenování portů, export a kompaktní vizualizaci.

Výběr nejlepší alternativy závisí na vašich konkrétních potřebách.rychlost, grafické rozhraní, online spolupráce nebo kompatibilita s konkrétním hardwarem.

Pokročilá nastavení: Promiskuitní režim, monitor a rozlišení názvů

Promiskuitní režim umožňuje síťové kartě zachytit nejen balíčky určené pro ni, ale veškerý provoz, který cirkuluje sítí, ke které je připojen. Je to klíčové pro analýzu podnikových sítí, sdílených uzlů nebo scénářů penetračního testování.

V systému Windows přejděte na Možnosti snímání > Zachycení, vyberte rozhraní a zaškrtněte políčko promiskuitní režim. Mějte na paměti, že v sítích Wi-Fi, s výjimkou velmi specifického hardwaru, uvidíte provoz pouze z vašeho vlastního zařízení.

Kromě toho, Překlad jmen převádí IP adresy na čitelné názvy domén (například 8.8.8.8 v adresáři google-public-dns-a.google.com). Tuto možnost můžete povolit nebo zakázat v nabídce Upravit > Předvolby > Rozlišení názvů. Hodně to pomáhá při identifikaci zařízení během skenování, i když to může proces zpomalit, pokud se řeší mnoho adres.