Sut i ddefnyddio Wireshark i ganfod problemau rhwydwaith

Os ydych chi'n gweithio ym maes rhwydweithio, diogelwch, neu ddatblygu ac eisiau deall beth sy'n digwydd ar eich ceblau a'ch Wi-Fi, gweithio gyda Wireshark Mae'n elfen hanfodol. Mae hyn dadansoddwr pecynnau ffynhonnell agored gyda degawdau o esblygiad sy'n caniatáu dal, dadansoddi ac astudio traffig ar lefel y pecyn gyda chywirdeb llawfeddygol.

Yn yr erthygl hon rydym yn ei ddadansoddi'n fanwl: o'i drwydded a'i nawdd i'w becynnau yn GNU/Linux, gan gynnwys cyfleustodau consol, fformatau a gefnogir, gofynion llunio, caniatâd cipio a throsolwg hanesyddol a swyddogaethol cyflawn iawn.

Beth yw Wireshark a beth yw ei ddefnydd heddiw?

Yn ei hanfod, mae Wireshark yn dadansoddwr protocol a dyfais dal traffig sy'n eich galluogi i roi rhyngwyneb mewn modd anwadal neu fonitor (os yw'r system yn ei gefnogi) a gweld fframiau na fyddai'n cael eu hanfon at eich Mac, dadansoddi sgyrsiau, ail-greu llifau, lliwio pecynnau yn ôl rheolau, a chymhwyso hidlwyr arddangos mynegiannol iawn. Ar ben hynny, yn cynnwys TShark (fersiwn derfynol) a set o gyfleustodau ar gyfer tasgau fel aildrefnu, rhannu, uno a throsi sgrinluniau.

Er bod ei ddefnydd yn atgoffa rhywun o tcpdump, mae'n darparu rhyngwyneb graffigol modern yn seiliedig ar Qt gyda hidlo, didoli, a dadansoddi dwfn ar gyfer miloedd o brotocolau. Os ydych chi ar switsh, cofiwch nad yw modd anwadal yn gwarantu y byddwch chi'n gweld yr holl draffig: ar gyfer senarios cyflawn bydd angen adlewyrchu porthladdoedd neu dapiau rhwydwaith arnoch chi, y mae eu dogfennaeth hefyd yn eu crybwyll fel arferion gorau.

Trwydded, sylfaen a model datblygu

Mae Wireshark wedi'i ddosbarthu o dan GNU GPL v2 ac mewn llawer o leoedd, fel “GPL v2 neu’n ddiweddarach”. Mae rhai cyfleustodau yn y cod ffynhonnell wedi’u trwyddedu o dan drwyddedau gwahanol ond cydnaws, fel yr offeryn pidl gyda GPLv3+, nad yw’n effeithio ar y ffeil ddeuaidd sy’n deillio o’r dadansoddwr. Nid oes gwarant benodol nac ymhlyg; defnyddiwch ef ar eich risg eich hun, fel sy’n arferol gyda meddalwedd rhydd.

La Sefydliad Wireshark Mae'n cydlynu datblygiad a dosbarthiad. Mae'n dibynnu ar roddion gan unigolion a sefydliadau y mae eu gwaith yn seiliedig ar Wireshark. Mae'r prosiect yn ymfalchïo mewn miloedd o awduron cofrestredig a ffigurau hanesyddol fel Gerald Combs, Gilbert Ramirez, a Guy Harris ymhlith ei gefnogwyr mwyaf amlwg.

Mae Wireshark yn rhedeg ar Linux, Windows, macOS, a systemau eraill tebyg i Unix (BSD, Solaris, ac ati). Rhyddheir pecynnau swyddogol ar gyfer Windows a macOS, ac ar GNU/Linux mae fel arfer wedi'i gynnwys fel pecyn safonol neu ychwanegol mewn dosraniadau fel Debian, Ubuntu, Fedora, CentOS, RHEL, Arch, Gentoo, openSUSE, FreeBSD, DragonFly BSD, NetBSD, ac OpenBSD. Mae hefyd ar gael ar systemau trydydd parti fel Homebrew, MacPorts, pkgsrc neu OpenCSW.

I lunio o god, bydd angen Python 3 arnoch; AsciiDoctor ar gyfer dogfennu; ac offer fel Perl a GNU flex (ni fydd lex clasurol yn gweithio). Mae ffurfweddu gan ddefnyddio CMake yn caniatáu ichi alluogi neu analluogi cefnogaeth benodol, er enghraifft, llyfrgelloedd cywasgu gyda -DENABLE_ZLIB=DIFFOD, -DENABLE_LZ4=DIFFOD neu -DENABLE_ZSTD=DIFFOD, neu gefnogaeth libsmi gyda -DENABLE_SMI=OFF os yw'n well gennych beidio â llwytho MIBs.

Pecynnau a llyfrgelloedd mewn systemau sy'n seiliedig ar Debian

Mewn amgylcheddau Debian/Ubuntu a deilliadau, mae ecosystem Wireshark wedi'i rannu'n pecynnau lluosogIsod mae dadansoddiad gyda nodweddion, meintiau bras, a dibyniaethau. Mae'r pecynnau hyn yn caniatáu ichi ddewis o rhyngwyneb defnyddiwr graffig cyflawn i lyfrgelloedd ac offer datblygu ar gyfer integreiddio dadansoddiadau i'ch cymwysiadau eich hun.

wireshark

Cymhwysiad graffigol ar gyfer cipio a dadansoddi traffig gyda rhyngwyneb Qt. Maint amcangyfrifedig: 10.59 MBCyfleuster: sudo apt install wireshark

Ymhlith ei opsiynau cychwyn fe welwch baramedrau i ddewis y rhyngwyneb (-i), hidlwyr dal (-f), terfyn ciplun, modd monitro, rhestrau math cyswllt, hidlwyr arddangos (-Y), “Datgodio Fel” a dewisiadau, yn ogystal â fformatau allbwn ffeiliau a sylwadau cipio. Mae'r rhaglen hefyd yn caniatáu proffilio cyfluniad ac ystadegau nodweddion uwch o'r rhyngwyneb.

siarc

Fersiwn consol ar gyfer cipio a dadansoddi llinell orchymyn. Maint amcangyfrifedig: 429 KBCyfleuster: sudo apt install tshark

Mae'n caniatáu ichi ddewis rhyngwynebau, cymhwyso hidlwyr dal ac arddangos, diffinio amodau stopio (amser, maint, nifer y pecynnau), defnyddio byfferau crwn, argraffu manylion, dympiau hecs a JSON, ac allforio gwrthrychau ac allweddi TLS. Gall hefyd liwio'r allbwn mewn terfynell gydnaws. addasu logio log yn ôl parthau a lefelau manylder. Cynghorir bod yn ofalus os ydych chi'n galluogi BPF JIT ar lefel y cnewyllyn, gan y gallai fod ganddo oblygiadau diogelwch.

wireshark-common

Ffeiliau cyffredin ar gyfer wireshark a tshark (e.e., geiriaduron, ffurfweddiadau, a chyfleustodau llinell). Maint amcangyfrifedig: 1.62 MBCyfleuster: sudo apt install wireshark-common

Mae'r pecyn hwn yn cynnwys cyfleustodau fel capinfos (gwybodaeth am ffeil cipio: math, amgáu, hyd, cyfraddau, meintiau, hashiau a sylwadau), math o gap (nodi mathau o ffeiliau), cap dympio (dyfais dal ysgafn sy'n defnyddio pcapng/pcap gydag awtostop a byfferau crwn), golygu cap (golygu/hollti/trosi cipluniau, addasu stampiau amser, tynnu dyblygiadau, ychwanegu sylwadau neu gyfrinachau), unocap (uno neu gysylltu cipluniau lluosog), mmdbresolve (datrys lleoliad daearyddol IP gyda chronfeydd data MMDB), randpkt (generadur pecynnau synthetig aml-brotocol), siarc amrw (dyrannu crai gydag allbwn maes), cap ail-archebu (ail-drefnu yn ôl stamp amser), siarc (daemon gydag API i brosesu cipluniau) a testun2pcap (trosi hecsdumpiau neu destun strwythuredig yn gipiadau dilys).

libwireshark18 a libwireshark-data

Llyfrgell ganolog dadansoddi pecynnau. Yn darparu'r dadansoddwyr protocol a ddefnyddir gan Wireshark/TShark. Maint bras y llyfrgell: 126.13 MBCyfleuster: sudo apt install libwireshark18 y sudo apt install libwireshark-data

Mae'n cynnwys cefnogaeth ar gyfer nifer enfawr o brotocolau ac opsiynau fel galluogi neu analluogi dyraniadau penodol, hewristigau, a "Dadgodio Fel" o'r rhyngwyneb neu'r llinell orchymyn; diolch i hyn, gallwch addasu'r dadansoddiad o draffig go iawn o'ch amgylchedd.

libwiretap15 a libwiretap-dev

Llyfrgell ar gyfer darllen ac ysgrifennu nifer o fformatau ffeiliau cipio yw Wiretap. Ei chryfderau yw'r amrywiaeth o fformatau y mae'n eu cefnogi; ei chyfyngiadau yw: Nid yw'n hidlo nac yn perfformio cipio uniongyrchol.Cyfleuster: sudo apt install libwiretap15 y sudo apt install libwiretap-dev

Mae'r amrywiad -dev yn darparu'r llyfrgell statig a phenawdau C i integreiddio gweithrediadau darllen/ysgrifennu i'ch offer. Mae hyn yn caniatáu ichi ddatblygu cyfleustodau sy'n trin data. pcap, pcapng a chynwysyddion eraill fel rhan o'n piblinellau ein hunain.

libwsutil16 a libwsutil-dev

Set o gyfleustodau a rennir gan Wireshark a llyfrgelloedd cysylltiedig: swyddogaethau ategol ar gyfer trin llinynnau, byffro, amgryptio, ac ati. Gosod: sudo apt install libwsutil16 y sudo apt install libwsutil-dev

Mae'r pecyn -dev yn cynnwys penawdau a llyfrgell statig fel y gall cymwysiadau allanol gysylltu cyfleustodau cyffredin heb ail-weithredu olwynion. Dyma sylfaen swyddogaethau lluosog a rennir sy'n defnyddio Wireshark a TShark.

wireshark-dev

Offer a ffeiliau ar gyfer creu "disectors" newydd. Mae'n darparu sgriptiau fel idl2wrs, yn ogystal â dibyniaethau ar gyfer llunio a phrofi. Maint amcangyfrifedig: 621 KBCyfleuster: sudo apt install wireshark-dev

Mae'n cynnwys cyfleustodau fel asn2deb (yn cynhyrchu pecynnau Debian ar gyfer monitro BER o ASN.1) a idl2deb (pecynnau ar gyfer CORBA). Ac, yn anad dim, idl2wrsMae'r offeryn hwn yn trawsnewid CORBA IDL yn sgerbwd ategyn C ar gyfer dadansoddi traffig GIOP/IIOP. Mae'r llif gwaith hwn yn dibynnu ar sgriptiau Python (wireshark_be.py a wireshark_gen.py) ac yn cefnogi dadansoddi hewristig yn ddiofyn. Mae'r offeryn yn chwilio am ei fodiwlau yn PYTHONPATH/pecynnau-safle neu yn y cyfeiriadur cyfredol, ac yn derbyn ailgyfeirio ffeiliau i gynhyrchu'r cod.

wireshark-doc

Dogfennaeth defnyddiwr, canllaw datblygu a chyfeirnod Lua. Maint amcangyfrifedig: 13.40 MBCyfleuster: sudo apt install wireshark-doc

Argymhellir os ydych chi'n mynd i ymchwilio'n ddyfnach i estyniadau, sgriptio ac APIsMae'r ddogfennaeth ar-lein ar y wefan swyddogol yn cael ei diweddaru gyda phob fersiwn sefydlog.

Trwyddedau dal a diogelwch

Mewn llawer o systemau, mae cipio uniongyrchol yn gofyn am freintiau uwch. Am y rheswm hwn, mae Wireshark a TShark yn dirprwyo cipio i wasanaeth trydydd parti. cap dympioFfeil ddeuaidd wedi'i chynllunio i redeg gyda breintiau (set-UID neu alluoedd) i leihau'r arwyneb ymosod. Nid yw rhedeg y GUI cyfan fel gwraidd yn arfer da; mae'n well cipio gyda dumpcap neu tcpdump a dadansoddi heb freintiau i leihau risgiau.

Mae hanes y prosiect yn cynnwys digwyddiadau diogelwch mewn dissectors dros y blynyddoedd, ac mae rhai llwyfannau fel OpenBSD wedi rhoi'r gorau i'r hen enghraifft Ethereal am y rheswm hwnnw. Gyda'r model presennol, mae ynysu rhag cipio a diweddariadau cyson yn gwella'r sefyllfa, ond mae bob amser yn ddoeth... dilynwch y cyfarwyddiadau diogelwch Ac, os byddwch chi'n canfod gweithgaredd amheus, byddwch chi'n gwybod sut rhwystro cysylltiadau rhwydwaith amheus ac osgoi agor sgrinluniau annibynadwy heb adolygiad ymlaen llaw.

Fformatau ffeiliau, cywasgu, a ffontiau arbennig

Mae Wireshark yn darllen ac yn ysgrifennu pcap a pcapng, yn ogystal â fformatau o ddadansoddwyr eraill fel snoop, Network General Sniffer, Microsoft Network Monitor, a'r nifer a restrir gan Wiretap uchod. Gall agor ffeiliau cywasgedig os cawsant eu llunio gyda llyfrgelloedd ar gyfer pcapng. GZIP, LZ4 a ZSTDYn benodol, mae GZIP a LZ4 gyda blociau annibynnol yn caniatáu neidiau cyflym, gan wella perfformiad GUI mewn cipluniau mawr.

Mae'r prosiect yn dogfennu nodweddion fel AIX iptrace (lle mae HUP i'r daemon yn cau'n lân), cefnogaeth ar gyfer olion Lucent/Ascend, Toshiba ISDN neu CoSine L2, ac yn nodi sut i gipio'r allbwn testunol i ffeil (e.e., gyda telnet <equipo> | tee salida.txt neu ddefnyddio'r offeryn sgript) i'w fewnforio yn ddiweddarach gyda text2pcap. Mae'r llwybrau hyn yn mynd â chi allan o cipio “confensiynol” pan fyddwch chi'n defnyddio offer nad yw'n tipio dros y cap PC yn uniongyrchol.

Cyfleustodau a chategorïau opsiynau suite

Yn ogystal â Wireshark a TShark, mae'r dosbarthiad yn cynnwys sawl offeryn sy'n cwmpasu tasgau penodol iawnHeb gopïo'r testun cymorth air am air, dyma grynodeb wedi'i drefnu yn ôl categorïau fel eich bod chi'n gwybod beth mae pob un yn ei wneud a pha opsiynau y byddwch chi'n dod o hyd iddynt:

• cap dympio: cipio pcap/pcapng “pur a syml”, dewis rhyngwyneb, hidlwyr BPF, maint byffer, cylchdroi yn ôl amser/maint/ffeiliau, creu byfferau cylch, cipio sylwadau ac allbynnu mewn fformat darllenadwy gan beiriantMae'n rhybuddio rhag actifadu JIT o BPF oherwydd risgiau posibl.
• capinfosMae'n arddangos math o ffeil, amgáu, rhyngwynebau, a metadata; nifer y pecynnau, maint ffeil, cyfanswm hyd, terfyn ciplun, cronoleg (cyntaf/olaf), cyfraddau cyfartalog (bps/Bps/pps), maint pecyn cyfartalog, hashes, a sylwadau. Mae'n caniatáu allbwn tablaidd neu fanwl a fformatau y gellir eu darllen gan beiriant.
• math o gap: yn nodi'r math o ffeil cipio ar gyfer un neu fwy o gofnodion gydag opsiynau cymorth a fersiwn.
• golygu capMae'n dewis/dileu ystodau pecynnau, yn snapio/torri, yn addasu stampiau amser (gan gynnwys trefn gaeth), yn tynnu dyblygiadau gyda ffenestri ffurfweddadwy, yn ychwanegu sylwadau fesul ffrâm, yn rhannu allbwn yn ôl rhif neu amser, yn newid cynhwysydd ac amgáu, yn gweithio gyda chyfrinachau dadgryptio, ac yn cywasgu allbwn. Dyma'r offeryn amlbwrpas ar gyfer "glanhau" cipluniau.
• unocap: yn cyfuno cipluniau lluosog yn un, naill ai trwy gyfosod llinol neu gymysgu yn seiliedig ar stamp amser, yn rheoli snaplen, yn diffinio math allbwn, modd uno IDB a chywasgu terfynol.
• cap ail-archebu: yn aildrefnu ffeil yn ôl stamp amser gan gynhyrchu allbwn glân ac, os yw eisoes wedi'i ddidoli, gall osgoi ysgrifennu'r canlyniad i arbed mewnbwn/allbwn.
• testun2pcap: yn trosi hecsdumpiau neu destun gyda regex i gipio dilys; yn adnabod gwrthbwysau mewn amrywiol gronfeydd data, yn stampio amser gyda fformatau strptime (gan gynnwys cywirdeb ffracsiynol), yn canfod ASCII ynghlwm os yw'n berthnasol, a gall roi penawdau "ffug" ymlaen llaw (Ethernet, IPv4/IPv6, UDP/TCP/SCTP, EXPORTED_PDU) gyda porthladdoedd, cyfeiriadau, a labeli wedi'i nodi.
• siarc amrw: darllenydd maes-ganolog “crai”; yn caniatáu ichi osod protocol amgáu neu ddyrannu, analluogi datrysiadau enwau, gosod hidlwyr darllen/arddangos a phenderfynu ar fformat allbwn y maes, sy'n ddefnyddiol ar gyfer piblinell gydag offer eraill.
• randpktYn cynhyrchu ffeiliau gyda phecynnau ar hap o fathau fel ARP, BGP, DNS, Ethernet, IPv4/IPv6, ICMP, TCP/UDP, SCTP, Syslog, USB-Linux, ac ati, gan nodi'r cyfrif, y maint mwyaf, a'r cynhwysydd. Yn ddelfrydol ar gyfer profion a demos.
• mmdbresolveYmholi cronfeydd data MaxMind (MMDB) i arddangos lleoliad daearyddol cyfeiriadau IPv4/IPv6, gan nodi un neu fwy o ffeiliau cronfa ddata.
• siarc: daemon sy'n datgelu API (modd "aur") neu soced glasurol (modd "clasurol"); yn cefnogi proffiliau ffurfweddu ac yn cael ei reoli o gleientiaid ar gyfer dadansoddi a chwiliadau ar ochr y gweinydd, yn ddefnyddiol mewn awtomeiddio a gwasanaethau.

Pensaernïaeth, nodweddion a chyfyngiadau

Mae Wireshark yn dibynnu ar libpcap/Npcap ar gyfer cipio, ac ar ecosystem o lyfrgelloedd (libwireshark, libwiretap, libwsutil) sy'n gwahanu dadansoddi, fformatau, a chyfleustodau. Mae'n caniatáu canfod galwadau VoIP, chwarae sain mewn amgodiadau a gefnogir, cipio traffig USB crai, a hidlo ar rwydweithiau Wi-Fi (os ydynt yn croesi Ethernet wedi'i fonitro). ategion ar gyfer protocolau newydd wedi'i ysgrifennu yn C neu Lua. Gall hefyd dderbyn traffig o bell wedi'i gapsiwleiddio (e.e., TZSP) ar gyfer dadansoddi amser real o beiriant arall.

Nid IDS mohono, ac nid yw'n cyhoeddi rhybuddion; mae ei rôl yn oddefol: mae'n archwilio, yn mesur, ac yn arddangos. Er hynny, mae offer ategol yn darparu ystadegau a llif gwaith, ac mae deunyddiau hyfforddi ar gael yn rhwydd (gan gynnwys apiau addysgol wedi'u hanelu at 2025 sy'n dysgu hidlwyr, arogli, olion bysedd sylfaenol y system weithredu, dadansoddi amser real, awtomeiddio, traffig wedi'i amgryptio, ac integreiddio ag arferion DevOps). Mae'r agwedd addysgol hon yn ategu swyddogaeth graidd diagnosis a datrys problemau.

Cydnawsedd ac ecosystem

Mae'r llwyfannau adeiladu a phrofi yn cynnwys Linux (Ubuntu), Windows a macOSMae'r prosiect hefyd yn sôn am gydnawsedd eang â systemau ychwanegol tebyg i Unix a dosbarthiad trwy reolwyr trydydd parti. Mewn rhai achosion, mae angen canghennau blaenorol ar fersiynau hŷn o'r system weithredu (er enghraifft, Windows XP gyda fersiwn 1.10 neu gynharach). Yn gyffredinol, gallwch osod o ystorfeydd swyddogol neu ffeiliau deuaidd yn y rhan fwyaf o amgylcheddau heb broblemau mawr.

Maent yn integreiddio ag efelychwyr rhwydwaith (ns, OPNET Modeler), a gellir defnyddio offer trydydd parti (e.e., Aircrack ar gyfer 802.11) i gynhyrchu cipluniau y mae Wireshark yn eu hagor heb anhawster. Ar ran cyfreithlondeb a moeseg llymCofiwch i chi recordio ar rwydweithiau yn unig ac mewn senarios lle mae gennych chi awdurdodiad penodol ar eu cyfer.

Enw, gwefannau swyddogol, a data rheoli

Mae'r wefan swyddogol yn wireshark.orggyda lawrlwythiadau yn ei is-gyfeiriadur /download a dogfennaeth ar-lein ar gyfer defnyddwyr a datblygwyr. Mae tudalennau gyda rheolaeth awdurdod (e.e., GND) a rhestrau o ddolenni i'r storfa cod, y traciwr bygiau, a blog y prosiect, sy'n ddefnyddiol ar gyfer cadw i fyny â newyddion ac adrodd ar broblemau.

Cyn i chi ddechrau cipio, gwiriwch ganiatâd a galluoedd eich system, penderfynwch a fyddwch chi'n defnyddio dumpcap/tcpdump i ddympio i ddisg a dadansoddi heb freintiau, a pharatowch hidlwyr cipio ac arddangos sy'n gyson â'ch amcan. Gyda methodoleg dda, mae Wireshark yn symleiddio'r cymhleth ac yn rhoi'r wybodaeth gywir i chi. Y gwelededd sydd ei angen arnoch chi i wneud diagnosis o, dysgu, neu archwilio rhwydweithiau o unrhyw faint.

Erthygl gysylltiedig:

Beth i'w wneud yn ystod y 24 awr gyntaf ar ôl hac: cyfrifon symudol, cyfrifiadur personol ac ar-lein

Daniel Terrace

Roedd golygydd yn arbenigo mewn technoleg a materion rhyngrwyd gyda mwy na deng mlynedd o brofiad mewn gwahanol gyfryngau digidol. Rwyf wedi gweithio fel golygydd a chrëwr cynnwys ar gyfer cwmnïau e-fasnach, cyfathrebu, marchnata ar-lein a hysbysebu. Rwyf hefyd wedi ysgrifennu ar wefannau economeg, cyllid a sectorau eraill. Fy ngwaith hefyd yw fy angerdd. Nawr, trwy fy erthyglau yn Tecnobits, Rwy'n ceisio archwilio'r holl newyddion a chyfleoedd newydd y mae byd technoleg yn eu cynnig i ni bob dydd i wella ein bywydau.