Sut i Ddefnyddio Wireshark ar Windows: Canllaw Cyflawn, Ymarferol, a Chyfoes

Ydych chi erioed wedi meddwl Beth sy'n digwydd mewn gwirionedd ar eich rhwydwaith pan fyddwch chi'n pori, yn chwarae ar-lein, neu'n rheoli dyfeisiau cysylltiedig? Os ydych chi'n chwilfrydig am y dirgelion sy'n cylchredeg ar eich WiFi, neu os oes angen teclyn proffesiynol arnoch chi i... Dadansoddi traffig rhwydwaith a chanfod problemau gyda'ch cysylltiad, yn sicr enw Wireshark wedi denu eich sylw eisoes.

Wel, yn yr erthygl hon fe welwch chi heb unrhyw ddargyfeiriadau yr holl fanylion am WiresharkBeth ydyw, beth yw ei ddefnydd yn Windows, sut i'w osod, a'r awgrymiadau gorau cyn i chi ddechrau cipio data. Gadewch i ni fynd ati.

Beth yw Wireshark? Dadansoddi cawr dadansoddi rhwydwaith

Wireshark yw'r dadansoddwr protocol rhwydwaith mwyaf poblogaidd a chydnabyddedig ledled y byd.. Mae'r offeryn rhad ac am ddim, ffynhonnell agored a phwerus hwn yn caniatáu ichi cipio ac archwilio'r holl draffig rhwydwaith sy'n mynd trwy eich cyfrifiadur, boed yn beiriant Windows, Linux, macOS, neu hyd yn oed systemau fel FreeBSD a Solaris. Gyda Wireshark, gallwch weld, mewn amser real neu ar ôl recordio, yn union pa becynnau sy'n mynd i mewn ac yn gadael eich cyfrifiadur, eu ffynhonnell, cyrchfan, protocolau, a hyd yn oed eu dadansoddi i gael manylion pob haen yn ôl y model OSI.

Yn wahanol i lawer o ddadansoddwyr, Mae Wireshark yn sefyll allan am ei ryngwyneb graffigol reddfol, ond mae hefyd yn cynnig fersiwn consol bwerus o'r enw TShark i'r rhai sy'n well ganddynt y llinell orchymyn neu sydd angen cyflawni tasgau awtomataidd. Hyblygrwydd Wireshark Mae o'r fath fel ei fod yn caniatáu ichi ddadansoddi cysylltiad wrth i chi bori, cynnal archwiliadau diogelwch proffesiynol, datrys tagfeydd rhwydwaith, neu ddysgu o'r dechrau am sut mae protocolau Rhyngrwyd yn gweithio, i gyd o'ch cyfrifiadur personol eich hun!

Lawrlwythwch a gosodwch Wireshark ar Windows

Mae gosod Wireshark ar Windows yn broses syml., ond mae'n ddoeth ei wneud gam wrth gam er mwyn peidio â gadael unrhyw bethau heb eu gwneud, yn enwedig o ran caniatâd a gyrwyr ychwanegol ar gyfer y cipio.

• Dadlwythiad swyddogol: Mynediad i gwefan swyddogol Wireshark a dewiswch y fersiwn Windows (32 neu 64 bit yn dibynnu ar eich system).
• Rhedeg y gosodwr: Cliciwch ddwywaith ar y ffeil wedi'i lawrlwytho a dilynwch y dewin. Derbyniwch y dewisiadau diofyn os oes gennych unrhyw gwestiynau.
• Gyrwyr hanfodol: Yn ystod y gosodiad, bydd y gosodwr yn gofyn i chi gosod Npcap. Mae'r gydran hon yn hanfodol, gan ei bod yn caniatáu i'ch cerdyn rhwydwaith ddal pecynnau mewn modd "anghymwys". Derbyniwch ei osodiad.
• Terfynu ac ailgychwyn: Unwaith y bydd y broses wedi'i chwblhau, ailgychwynwch eich cyfrifiadur i sicrhau bod yr holl gydrannau'n barod.

Yn barod! Gallwch nawr ddechrau defnyddio Wireshark o ddewislen Cychwyn Windows. Noder bod y rhaglen hon yn cael ei diweddaru'n aml, felly mae'n syniad da gwirio am fersiynau newydd o bryd i'w gilydd.

Sut Mae Wireshark yn Gweithio: Cipio a Dangos Pecynnau

Pan fyddwch chi'n agor Wireshark, Y peth cyntaf y byddwch chi'n ei weld yw'r rhestr o'r holl ryngwynebau rhwydwaith sydd ar gael ar eich system.Cardiau rhwydwaith gwifrau, WiFi, a hyd yn oed addaswyr rhithwir os ydych chi'n defnyddio peiriannau rhithwir fel VMware neu VirtualBox. Mae pob un o'r rhyngwynebau hyn yn cynrychioli pwynt mynediad neu allanfa ar gyfer gwybodaeth ddigidol.

I ddechrau casglu data, Mae'n rhaid i chi glicio ddwywaith ar y rhyngwyneb a ddymunir. Ers hynny, Bydd Wireshark yn arddangos yr holl becynnau sy'n cylchredeg mewn amser real gan y cerdyn hwnnw, gan eu didoli yn ôl colofnau fel rhif y pecyn, amser cipio, ffynhonnell, cyrchfan, protocol, maint, a manylion ychwanegol.

Pan fyddwch chi eisiau rhoi'r gorau i dynnu lluniau, pwyswch y botwm Stopio coch. Gallwch arbed eich cipluniau ar fformat .pcap i'w dadansoddi, eu rhannu, neu hyd yn oed eu hallforio mewn gwahanol fformatau (CSV, testun, cywasgedig, ac ati). Yr hyblygrwydd hwn sy'n gwneud Mae Wireshark yn offeryn anhepgor ar gyfer dadansoddi ar hap ac archwiliadau llawn..

Dechrau Arni: Awgrymiadau Cyn Cymryd Ciplun yn Windows

Er mwyn sicrhau bod eich cipluniau Wireshark cyntaf yn ddefnyddiol ac nad ydyn nhw'n llawn sŵn amherthnasol neu ddata dryslyd, mae yna sawl argymhelliad allweddol i'w dilyn:

• Caewch raglenni diangenCyn dechrau cipio, gadewch gymwysiadau sy'n cynhyrchu traffig cefndir (diweddariadau, sgyrsiau, cleientiaid e-bost, gemau, ac ati). Fel hyn byddwch yn osgoi cymysgu traffig amherthnasol.
• Rheoli'r wal dânGall waliau tân rwystro neu addasu traffig. Ystyriwch ei analluogi dros dro os ydych chi'n chwilio am giplun llawn.
• Dim ond yr hyn sy'n berthnasol sy'n cael ei gofnodiOs ydych chi eisiau dadansoddi ap penodol, arhoswch eiliad neu ddwy ar ôl dechrau'r recordiad i lansio'r ap, a gwnewch yr un peth wrth ei gau cyn atal y recordiad.
• Gwybod eich rhyngwyneb gweithredolGwnewch yn siŵr eich bod yn dewis y cerdyn rhwydwaith cywir, yn enwedig os oes gennych chi sawl addasydd neu os ydych chi ar rwydwaith rhithwir.

Drwy ddilyn y canllawiau hyn, bydd eich sgrinluniau'n llawer glanach ac yn fwy defnyddiol ar gyfer unrhyw ddadansoddiad pellach..

Hidlau yn Wireshark: Sut i Ganolbwyntio ar yr Hyn Sy'n Wirioneddol Bwysig

Un o nodweddion mwyaf pwerus Wireshark yw'r hidlwyr. Mae dau fath sylfaenol:

• Hidlwyr dalFe'u cymhwysir cyn dechrau cipio, gan ganiatáu ichi gasglu dim ond y traffig sydd o ddiddordeb i chi o'r cychwyn cyntaf.
• Hidlwyr arddangosMae'r rhain yn berthnasol i'r rhestr o becynnau sydd eisoes wedi'u cipio, gan ganiatáu ichi arddangos y rhai sy'n bodloni eich meini prawf yn unig.

Ymhlith y hidlwyr mwyaf cyffredin mae:

• Yn ôl protocol: Yn hidlo pecynnau HTTP, TCP, DNS, ac ati yn unig.
• Yn ôl cyfeiriad IPEr enghraifft, dangoswch becynnau o neu i gyfeiriad IP penodol yn unig gan ddefnyddio ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• Yn ôl porthladd: Yn cyfyngu canlyniadau i borthladd penodol (tcp.porth == 80).
• Yn ôl llinyn testun: Yn lleoli pecynnau sy'n cynnwys allweddair yn eu cynnwys.
• Yn ôl cyfeiriad MAC, hyd y pecyn neu ystod IP.

Yn ogystal, gellir cyfuno hidlwyr â gweithredwyr rhesymegol (a, or, nad) ar gyfer chwiliadau manwl iawn, fel tcp.porth == 80 ac ip.src == 192.168.1.1.

Beth allwch chi ei gipio a'i ddadansoddi gyda Wireshark ar Windows?

Wireshark yn yn gallu dehongli mwy na 480 o brotocolau gwahanol, o bethau sylfaenol fel TCP, UDP, IP, i brotocolau penodol i gymwysiadau, IoT, VoIP, a llawer o rai eraill. Mae hyn yn golygu y gallwch archwilio pob math o draffig rhwydwaith, o ymholiadau DNS syml i sesiynau SSH wedi'u hamgryptio, cysylltiadau HTTPS, trosglwyddiadau FTP, neu draffig SIP o deleffoni Rhyngrwyd.

Yn ogystal â hyn, Mae Wireshark yn cefnogi fformatau cipio safonol fel tcpdump (libpcap), pcapng ac eraill, ac yn caniatáu ichi gywasgu a dadgywasgu sgrinluniau ar unwaith gan ddefnyddio GZIP i arbed lle. Ar gyfer traffig wedi'i amgryptio (TLS/SSL, IPsec, WPA2, ac ati), os oes gennych yr allweddi cywir, gallwch hyd yn oed ddadgryptio'r data a gweld ei gynnwys gwreiddiol.

Cipio traffig manwl: argymhellion ychwanegol

Cyn dechrau unrhyw gipio pwysig, dilynwch y protocol hwn i wneud y mwyaf o ddefnyddioldeb y wybodaeth a gesglir.:

• Dewiswch y rhyngwyneb cywirFel arfer, eich addasydd gweithredol fydd yr un ar gyfer y cysylltiad rydych chi'n ei ddefnyddio. Os oes gennych unrhyw amheuon, gwiriwch pa un sydd wedi'i gysylltu o osodiadau rhwydwaith Windows.
• Gosodwch y golygfaAgorwch y rhaglenni neu'r apiau a fydd yn cynhyrchu'r traffig rydych chi am ei ddadansoddi yn unig.
• Ynysu'r ffenomenOs ydych chi'n bwriadu dadansoddi traffig apiau, dilynwch y dilyniant hwn: lansiwch yr ap ar ôl cychwyn y recordiad, perfformiwch y weithred rydych chi am ei dadansoddi, a chau'r ap cyn atal y recordiad.
• Arbedwch y sgrinlun: Stopiwch recordio, ewch i Ffeil > Cadw a dewiswch .pcap neu'ch fformat dewisol.

Dyma sut y byddwch chi'n cael ffeiliau glân a hawdd eu dadansoddi, heb unrhyw draffig sothach wedi'i gymysgu ynddo.

Enghreifftiau darluniadol: dadansoddi traffig gyda Wireshark

Dychmygwch fod gennych ddau gyfrifiadur ar eich rhwydwaith lleol ac mae un ohonyn nhw'n rhoi'r gorau i gael mynediad i'r Rhyngrwyd. Gallwch ddefnyddio Wireshark i gipio traffig o'r peiriant hwnnw. a gweld a oes gwallau wrth ddatrys cyfeiriadau DNS, os nad yw pecynnau'n cyrraedd y llwybrydd, neu os yw wal dân yn rhwystro cyfathrebiadau.

Achos nodweddiadol arall: canfod a yw gwefan ddim yn amgryptio'ch mewngofnod yn iawn. Os byddwch chi'n mewngofnodi i wefan heb HTTPS ac yn defnyddio hidlydd HTTP ynghyd â'ch enw defnyddiwr, efallai y byddwch chi hyd yn oed yn gweld eich cyfrinair yn teithio'n glir dros y rhwydwaith, sy'n arddangosiad go iawn o risg gwefannau ansicr.

Wireshark a Diogelwch: Risgiau, Ymosodiadau, a Mesurau Amddiffynnol

Pŵer Wireshark hefyd yw ei risg fwyaf: Yn y dwylo anghywir, gall hwyluso cipio tystlythyrau, ysbïo, neu ddatgelu gwybodaeth sensitif.. Dyma rai bygythiadau ac argymhellion:

• Stwffio credentials (ymosodiadau grym creulon credentials)Os ydych chi'n cipio traffig SSH, Telnet, neu wasanaeth arall, efallai y byddwch chi'n gweld ymdrechion mewngofnodi awtomataidd. Rhowch sylw i sesiynau hirach (maent fel arfer yn llwyddiannus), meintiau pecynnau, a nifer yr ymdrechion i ganfod patrymau amheus.
• Risg traffig allanolHidlo'r holl draffig SSH nad yw'n dod o'ch rhwydwaith mewnol: os gwelwch gysylltiadau o'r tu allan, byddwch yn wyliadwrus!
• Cyfrineiriau testun plaenOs yw gwefan yn trosglwyddo enwau defnyddwyr a chyfrineiriau heb eu hamgryptio, fe welwch hynny yn y sgrinlun. Peidiwch byth â defnyddio Wireshark i gael y data hwn ar rwydweithiau tramor. Cofiwch fod gwneud hynny heb ganiatâd yn anghyfreithlon.
• Caniatâd a chyfreithlondeb: Dim ond traffig o'i rwydweithiau ei hun neu gyda chaniatâd penodol y mae'n ei ddadansoddi. Mae'r gyfraith yn glir iawn ar y pwynt hwn, a gall camddefnyddio gael canlyniadau difrifol.
• Tryloywder a moesegOs ydych chi'n gweithio mewn amgylchedd corfforaethol, rhowch wybod i ddefnyddwyr am y dadansoddiad a'i bwrpas. Mae parch at breifatrwydd yr un mor bwysig â diogelwch technegol.

Dewisiadau eraill i Wireshark: Dewisiadau eraill ar gyfer Dadansoddi Rhwydwaith

Wireshark yw'r cyfeiriad diamheuol, ond mae yna offer eraill a all ategu neu, mewn sefyllfaoedd penodol, ddisodli ei ddefnydd:

• tcpdumpYn ddelfrydol ar gyfer amgylcheddau Unix/Linux, yn gweithio ar y llinell orchymyn. Mae'n ysgafn, yn gyflym ac yn hyblyg ar gyfer cipio cyflym neu dasgau awtomataidd.
• Siarc Cwmwl: Platfform gwe ar gyfer uwchlwytho, dadansoddi a rhannu cipluniau pecynnau o'r porwr. Defnyddiol iawn ar gyfer amgylcheddau cydweithredol.
• SmartSniffWedi'i ganolbwyntio ar Windows, yn hawdd ei ddefnyddio ar gyfer cipio lluniau manwl a gwylio sgyrsiau rhwng cleientiaid a gweinyddion.
• Capsiwl ColaSoftDadansoddwr rhwydwaith graffigol sy'n sefyll allan am symlrwydd ei ryngwyneb ac opsiynau penodol ar gyfer sganio porthladdoedd, allforio a delweddu cryno.

Mae dewis yr amgen gorau yn dibynnu ar eich anghenion penodol.: cyflymder, rhyngwyneb graffigol, cydweithio ar-lein, neu gydnawsedd â chaledwedd penodol.

Gosodiadau Uwch: Modd Anhyblyg, Monitro, a Datrys Enwau

Mae modd anhyblyg yn caniatáu i'r cerdyn rhwydwaith ddal nid yn unig y pecynnau a fwriadwyd ar ei chyfer hi, ond yr holl draffig sy'n cylchredeg drwy'r rhwydwaith y mae wedi'i gysylltu ag ef. Mae'n hanfodol ar gyfer dadansoddi rhwydweithiau corfforaethol, hybiau a rennir, neu senarios profi treiddio.

Ar Windows, ewch i Cipio > Dewisiadau, dewiswch y rhyngwyneb a thiciwch y blwch modd anhyblyg. Cofiwch, ar rwydweithiau Wi-Fi, ac eithrio caledwedd penodol iawn, mai dim ond traffig o'ch dyfais eich hun y byddwch chi'n ei weld.

Ar ben hynny, Mae datrys enwau yn trosi cyfeiriadau IP yn enwau parth darllenadwy (er enghraifft, 8.8.8.8 yn google-public-dns-a.google.com). Gallwch alluogi neu analluogi'r opsiwn hwn o Golygu > Dewisiadau > Datrys Enwau. Mae'n helpu llawer i adnabod dyfeisiau yn ystod sgan, er y gall arafu'r broses os oes llawer o gyfeiriadau'n cael eu datrys.