Jak používat Wireshark k detekci problémů se sítí

Pokud pracujete v oblasti sítí, bezpečnosti nebo vývoje a chcete pochopit, co se děje na vašich kabelech a Wi-Fi, práce s... Wireshark Je to zásadní prvek. Toto analyzátor balíčků s otevřeným zdrojovým kódem s desetiletími vývoje, který umožňuje zachycovat, analyzovat a studovat provoz na úrovni paketů s chirurgickou přesností.

V tomto článku jej podrobně analyzujeme: od licence a sponzorství až po balíčky v GNU/Linuxu, včetně konzolových utilit, podporovaných formátů, požadavků na kompilaci, oprávnění pro zachycení a skutečně kompletního historického a funkčního přehledu.

Co je Wireshark a k čemu se dnes používá?

V podstatě je Wireshark analyzátor protokolů a zařízení pro zachycení provozu což vám umožňuje přepnout rozhraní do promiskuitního nebo monitorovacího režimu (pokud to systém podporuje) a zobrazit snímky, které by nebyly odeslány na váš Mac, analyzovat konverzace, rekonstruovat toky, barevně označovat pakety podle pravidel a aplikovat velmi expresivní filtry zobrazení. Dále, zahrnuje TShark (terminálovou verzi) a sadu nástrojů pro úkoly, jako je změna pořadí, rozdělení, sloučení a převod snímků obrazovky.

Ačkoli jeho použití připomíná tcpdump, poskytuje moderní grafické rozhraní založené na Qt s... filtrování, třídění a hloubková disekce pro tisíce protokolů. Pokud jste na switchi, nezapomeňte, že promiskuitní režim nezaručuje, že uvidíte veškerý provoz: pro kompletní scénáře budete potřebovat zrcadlení portů nebo síťové odposlechy, které jejich dokumentace také zmiňuje jako osvědčené postupy.

Licence, založení a model vývoje

Wireshark je distribuován pod GNU GPL v2 a na mnoha místech jako „GPL v2 nebo novější“. Některé utility ve zdrojovém kódu jsou licencovány pod různými, ale kompatibilními licencemi, například nástroj pidl s GPLv3+, což neovlivňuje výsledný binární soubor analyzátoru. Neexistuje žádná výslovná ani implicitní záruka; používejte jej na vlastní nebezpečí, jak je u svobodného softwaru obvyklé.

La Nadace Wireshark Koordinuje vývoj a distribuci. Spoléhá na dary od jednotlivců a organizací, jejichž práce je založena na Wiresharku. Projekt se pyšní tisíci registrovaných autorů a historických osobností, jako jsou Gerald Combs, Gilbert Ramirez a Guy Harris, mezi svými nejvýznamnějšími podporovateli.

Wireshark běží na Linuxu, Windows, macOS a dalších unixových systémech (BSD, Solaris atd.). Oficiální balíčky jsou vydávány pro Windows a macOS a na GNU/Linuxu je obvykle součástí standardních nebo doplňkových balíčků v distribucích, jako jsou Debian, Ubuntu, Fedora, CentOS, RHEL, Arch, Gentoo, openSUSE, FreeBSD, DragonFly BSD, NetBSD a OpenBSD. Je také k dispozici na systémech třetích stran, jako například Homebrew, MacPorts, pkgsrc nebo OpenCSW.

Pro kompilaci z kódu budete potřebovat Python 3, AsciiDoctor pro dokumentaci a nástroje jako Perl a GNU flex (klasický lex nebude fungovat). Konfigurace pomocí CMake umožňuje povolit nebo zakázat specifickou podporu, například komprimační knihovny s -DENABLE_ZLIB=VYPNUTO, -DENABLE_LZ4=VYPNUTO nebo -DENABLE_ZSTD=VYPNUTO, nebo podporu libsmi s -DENABLE_SMI=OFF, pokud nechcete načítat MIB soubory.

Balíčky a knihovny v systémech založených na Debianu

V Debianu/Ubuntu a odvozených prostředích je ekosystém Wireshark rozdělen na více balíčkůNíže je uveden rozpis funkcí, přibližných velikostí a závislostí. Tyto balíčky vám umožňují vybrat si z kompletního grafického uživatelského rozhraní až po knihovny a vývojářské nástroje pro integraci disekcí do vašich vlastních aplikací.

Wireshark

Grafická aplikace pro zachycení a analýzu provozu s rozhraním Qt. Odhadovaná velikost: 10.59 MBZařízení: sudo apt install wireshark

Mezi možnostmi spuštění najdete parametry pro výběr rozhraní (-i), filtry pro zachycení (-f), limit snímků, režim monitorování, seznamy typů odkazů, filtry zobrazení (-Y), „Dekódovat jako“ a předvolby, stejně jako formáty výstupních souborů a komentáře k zachycení. Aplikace také umožňuje profilování a statistiky konfigurace pokročilé funkce z rozhraní.

žralok

Konzolová verze pro zachycení a analýzu z příkazového řádku. Odhadovaná velikost: 429 KBZařízení: sudo apt install tshark

Umožňuje vybírat rozhraní, aplikovat filtry pro zachycení a zobrazení, definovat podmínky zastavení (čas, velikost, počet paketů), používat kruhové vyrovnávací paměti, tisknout podrobnosti, hexadecimální a JSON výpisy a exportovat objekty a klíče TLS. Dokáže také obarvit výstup v kompatibilním terminálu. upravit protokolování protokolů podle domén a úrovní detailů. Pokud povolíte BPF JIT na úrovni jádra, je třeba dbát opatrnosti, protože to může mít bezpečnostní důsledky.

Wireshark-common

Běžné soubory pro Wireshark a Tshark (např. slovníky, konfigurace a linkové utility). Odhadovaná velikost: 1.62 MBZařízení: sudo apt install wireshark-common

Tento balíček obsahuje nástroje jako například capinfos (informace o souboru pro zachycení: typ, zapouzdření, doba trvání, rychlosti, velikosti, haše a komentáře), typ captype (identifikovat typy souborů), víko (lehké zařízení pro snímání dat, které používá pcapng/pcap s automatickým zastavením a kruhovými vyrovnávacími paměťmi), editcap (úprava/rozdělení/konverze zachycených dat, úprava časových razítek, odstranění duplikátů, přidání komentářů nebo tajných kódů), mergecap (sloučení nebo zřetězení více zachycených dat), mmdbresolve (řešení geolokace IP adres pomocí databází MMDB), randpkt (generátor syntetických paketů s více protokoly), syrový žralok (hrubá pitva s výstupem z terénu), limit pro opětovnou objednávku (změnit pořadí podle časového razítka), žralok (démon s API pro zpracování zachycených dat) a text2pcap (převést hexadecimální výpisy nebo strukturovaný text na platné zachycení).

libwireshark18 a libwireshark-data

Centrální knihovna pro analýzu paketů. Poskytuje analyzátory protokolů používané službami Wireshark/TShark. Přibližná velikost knihovny: 126.13 MBZařízení: sudo apt install libwireshark18 y sudo apt install libwireshark-data

Zahrnuje podporu pro obrovské množství protokolů a možností, jako je povolení nebo zakázání specifických disekcí, heuristik a „Dekódování jako“ z rozhraní nebo příkazového řádku; díky tomu si můžete přizpůsobit analýza skutečného provozu vašeho prostředí.

libwiretap15 a libwiretap-dev

Wiretap je knihovna pro čtení a zápis různých formátů souborů pro zachycení dat. Její silné stránky spočívají v rozmanitosti podporovaných formátů; její omezení jsou: Nefiltruje ani neprovádí přímé zachycení.Zařízení: sudo apt install libwiretap15 y sudo apt install libwiretap-dev

Varianta -dev poskytuje statickou knihovnu a hlavičkové soubory v jazyce C pro integraci operací čtení/zápisu do vašich nástrojů. To vám umožňuje vyvíjet utility, které manipulují s daty. pcap, pcapng a další kontejnery jako součást našich vlastních potrubí.

libwsutil16 a libwsutil-dev

Sada utilit sdílených programem Wireshark a souvisejícími knihovnami: pomocné funkce pro manipulaci s řetězci, ukládání do vyrovnávací paměti, šifrování atd. Instalace: sudo apt install libwsutil16 y sudo apt install libwsutil-dev

Balíček -dev obsahuje hlavičkové soubory a statickou knihovnu, aby externí aplikace mohly propojovat běžné utility bez nutnosti reimplementace wheels. Je základem více sdílených funkcí které používají Wireshark a TShark.

Wireshark-dev

Nástroje a soubory pro vytváření nových „dissektorů“. Poskytuje skripty jako idl2wrs a také závislosti pro kompilaci a testování. Odhadovaná velikost: 621 KBZařízení: sudo apt install wireshark-dev

Zahrnuje utility, jako například asn2deb (generuje balíčky Debianu pro monitorování BER z ASN.1) a idl2deb (balíčky pro CORBA). A především, idl2wrsTento nástroj transformuje CORBA IDL do kostrové struktury pluginu v jazyce C pro analýzu provozu GIOP/IIOP. Tento pracovní postup se opírá o skripty Pythonu (wireshark_be.py a wireshark_gen.py) a ve výchozím nastavení podporuje heuristickou analýzu. Nástroj vyhledává své moduly v PYTHONPATH/site-packages nebo v aktuálním adresáři a akceptuje přesměrování souboru pro vygenerování kódu.

wireshark-doc

Uživatelská dokumentace, vývojářský průvodce a referenční příručka Lua. Odhadovaná velikost: 13.40 MBZařízení: sudo apt install wireshark-doc

Doporučeno, pokud se chcete hlouběji ponořit do rozšíření, skriptování a APIOnline dokumentace na oficiálních webových stránkách je aktualizována s každou stabilní verzí.

Povolení k odchytu a zabezpečení

V mnoha systémech vyžaduje přímý záznam zvýšená oprávnění. Z tohoto důvodu Wireshark a TShark delegují záznam na službu třetí strany. víkoBinární soubor navržený pro spuštění s oprávněními (set-UID nebo capabilities) za účelem minimalizace plochy pro útok. Spouštění celého grafického rozhraní jako root není dobrým postupem; je lepší zachytit data pomocí dumpcap nebo tcpdump a analyzovat bez oprávnění, aby se snížila rizika.

Historie projektu zahrnuje bezpečnostní incidenty v disektorech v průběhu let a některé platformy, jako je OpenBSD, z tohoto důvodu vyřadily starou instanci Ethereal. V současném modelu izolace od zachycení a neustálé aktualizace situaci zlepšují, ale vždy je vhodné dodržujte bezpečnostní pokyny A pokud zaznamenáte podezřelou aktivitu, víte, jak na to blokovat podezřelá síťová připojení a vyhněte se otevírání nedůvěryhodných snímků obrazovky bez předchozí kontroly.

Formáty souborů, komprese a speciální fonty

Wireshark čte a zapisuje soubory pcap a pcapng, stejně jako formáty z jiných analyzátorů, jako jsou snoop, Network General Sniffer, Microsoft Network Monitor a mnoho dalších, které Wiretap uvedl výše. Dokáže otevřít komprimované soubory, pokud byly zkompilovány s knihovnami pro pcapng. GZIP, LZ4 a ZSTDZejména GZIP a LZ4 s nezávislými bloky umožňují rychlé skoky, což zlepšuje výkon grafického uživatelského rozhraní při velkých zachyceních.

Projekt dokumentuje funkce jako AIX iptrace (kde se HUP k démonovi čistě zavře), podporu pro trasování Lucent/Ascend, Toshiba ISDN nebo CoSine L2 a ukazuje, jak zachytit textový výstup do souboru (např. pomocí telnet <equipo> | tee salida.txt nebo pomocí nástroje skript) k jeho pozdějšímu importu pomocí text2pcap. Tyto cesty vás vedou z „konvenční“ zachycení když používáte zařízení, které se přímo nepřevrhne přes pcap.

Utility a kategorie doplňků pro sady

Kromě Wiresharku a TSharku distribuce obsahuje několik nástrojů, které pokrývají velmi specifické úkolyAniž bychom museli doslovně kopírovat text nápovědy, zde je shrnutí uspořádané podle kategorií, abyste věděli, co která z nich dělá a jaké možnosti najdete:

• víko„čistě a jednoduše“ zachycení pomocí pcap/pcapng, výběr rozhraní, BPF filtry, velikost bufferu, rotace podle času/velikosti/souborů, vytváření kruhových bufferů, zachycení komentářů a výstup ve formátu strojově čitelnéVaruje před aktivací JIT BPF kvůli potenciálním rizikům.
• capinfosZobrazuje typ souboru, zapouzdření, rozhraní a metadata; počet paketů, velikost souboru, celkovou délku, limit snímků, chronologii (první/poslední), průměrné rychlosti (bps/Bps/pps), průměrnou velikost paketu, hashe a komentáře. Umožňuje tabulkový nebo podrobný výstup a strojově čitelné formáty.
• typ captype: identifikuje typ souboru pro zachycení jedné nebo více položek s možnostmi nápovědy a verze.
• editcapVybírá/maže rozsahy paketů, provádí zachycení/sekání, upravuje časová razítka (včetně striktního pořadí), odstraňuje duplikáty pomocí konfigurovatelných oken, přidává komentáře k jednotlivým snímkům, rozděluje výstup podle čísla nebo času, mění kontejner a zapouzdření, pracuje s dešifrovacími tajnými kódy a komprimuje výstup. Je to univerzální nástroj pro „čištění“ zachycených dat.
• mergecap: kombinuje více zachycených dat do jednoho, buď lineárním zřetězením, nebo mícháním na základě časového razítka, řídí Snaplen, definuje typ výstupu, režim slučování IDB a finální kompresi.
• limit pro opětovnou objednávku: změní pořadí souboru podle časového razítka a vygeneruje čistý výstup. Pokud je již seřazen, může se vyhnout zápisu výsledku, aby se ušetřily I/O operace.
• text2pcap: převádí hexadecimální výpisy nebo text s regulárním výrazem na platný záznam; rozpoznává offsety v různých databázích, časová razítka s formáty strptime (včetně zlomkové přesnosti), detekuje připojené ASCII, pokud je to relevantní, a může předpřidat „fiktivní“ hlavičky (Ethernet, IPv4/IPv6, UDP/TCP/SCTP, EXPORTED_PDU) pomocí porty, adresy a štítky uvedeno.
• syrový žralok: „raw“ čtečka orientovaná na pole; umožňuje nastavit protokol zapouzdření nebo disekce, zakázat rozlišení názvů, nastavit filtry pro čtení/zobrazení a rozhodnout se o formátu výstupu pole, což je užitečné pro práci s dalšími nástroji.
• randpktGeneruje soubory s náhodnými pakety typů jako ARP, BGP, DNS, Ethernet, IPv4/IPv6, ICMP, TCP/UDP, SCTP, Syslog, USB-Linux atd., s uvedením účtu, maximální velikosti a kontejneru. Ideální pro testy a dema.
• mmdbresolveDotazování databází MaxMind (MMDB) pro zobrazení geolokace adres IPv4/IPv6 s uvedením jednoho nebo více souborů databáze.
• žralok: démon, který zpřístupňuje API (režim „gold“) nebo klasický socket (režim „classic“); podporuje konfigurační profily a je ovládán z klientů pro analýzu a vyhledávání na straně serveru, užitečný v automatizaci a službách.

Architektura, vlastnosti a omezení

Wireshark se pro zachycení spoléhá na knihovny libpcap/Npcap a na ekosystém knihoven (libwireshark, libwiretap, libwsutil), které oddělují disekci, formáty a utility. Umožňuje detekci VoIP hovorů, přehrávání zvuku v podporovaných kódováních, zachycení nezpracovaného provozu přes USB a filtrování v sítích Wi-Fi (pokud procházejí monitorovaným Ethernetem). pluginy pro nové protokoly napsaný v jazyce C nebo Lua. Může také přijímat zapouzdřený vzdálený provoz (např. TZSP) pro analýzu v reálném čase z jiného počítače.

Nejedná se o systém IDS ani nevydává upozornění; jeho role je pasivní: kontroluje, měří a zobrazuje. Přesto pomocné nástroje poskytují statistiky a pracovní postupy a školicí materiály jsou snadno dostupné (včetně vzdělávacích aplikací zaměřených na rok 2025, které učí filtrování, sniffing, základní otisky OS, analýzu v reálném čase, automatizaci, šifrovaný provoz a integraci s postupy DevOps). Tento vzdělávací aspekt doplňuje základní funkcionalitu diagnostika a řešení problémů.

Kompatibilita a ekosystém

Konstrukční a testovací platformy zahrnují Linux (Ubuntu), Windows a macOSProjekt také zmiňuje širokou kompatibilitu s dalšími unixovými systémy a distribuci prostřednictvím správců třetích stran. V některých případech starší verze operačních systémů vyžadují předchozí větve (například Windows XP verze 1.10 nebo starší). Obecně lze instalaci z oficiálních repozitářů nebo binárních souborů ve většině prostředí provádět bez větších problémů.

Integrují se se síťovými simulátory (ns, OPNET Modeler) a nástroje třetích stran (např. Aircrack pro 802.11) lze použít k vytváření záznamů, které Wireshark bez problémů otevře. přísná legislativa a etikaNezapomeňte nahrávat pouze v sítích a v situacích, ke kterým máte výslovné oprávnění.

Název, oficiální webové stránky a kontrolní údaje

Oficiální stránky jsou wireshark.orgse soubory ke stažení v podadresáři /download a online dokumentací pro uživatele a vývojáře. Existují stránky s kontrola autority (např. GND) a seznamy odkazů na repozitář kódu, systém sledování chyb a blog projektu, užitečné pro sledování novinek a hlášení problémů.

Než začnete s nahráváním, ověřte oprávnění a možnosti vašeho systému, rozhodněte se, zda budete používat dumpcap/tcpdump k ukládání na disk a analýze bez oprávnění, a připravte filtry pro nahrávání a zobrazení, které odpovídají vašemu cíli. S dobrou metodologií Wireshark zjednodušuje celý komplex a poskytuje vám přesně ty správné informace. Viditelnost, kterou potřebujete diagnostikovat, učit se nebo auditovat sítě jakékoli velikosti.

Související článek:

Co dělat během prvních 24 hodin po útoku hackerů: mobilní, počítačové a online účty

Daniel Terrasa

Redaktor specializovaný na problematiku technologií a internetu s více než desetiletými zkušenostmi v různých digitálních médiích. Pracoval jsem jako editor a tvůrce obsahu pro e-commerce, komunikaci, online marketing a reklamní společnosti. Psal jsem také na weby o ekonomice, financích a dalších odvětvích. Moje práce je zároveň mou vášní. Nyní prostřednictvím mých článků v Tecnobits, snažím se prozkoumat všechny novinky a nové možnosti, které nám svět technologií každý den nabízí, abychom zlepšili náš život.