Sådan bruger du Wireshark på Windows: En komplet, praktisk og opdateret guide

Har du nogensinde spekuleret over det Hvad sker der egentlig på dit netværk, når du browser, spiller online eller administrerer tilsluttede enheder? Hvis du blot er nysgerrig omkring de mysterier, der cirkulerer på dit WiFi, eller hvis du blot har brug for et professionelt værktøj til at Analysér netværkstrafikken og opdag problemer med din forbindelse, helt sikkert navnet på Wireshark har allerede fanget din opmærksomhed.

Nå, i denne artikel vil du opdage uden omveje alle detaljer om WiresharkHvad det er, hvad det bruges til i Windows, hvordan man installerer det, og de bedste tips, før du begynder at indsamle data. Lad os komme til det.

Hvad er Wireshark? Nedbrydning af giganten inden for netværksanalyse

Wireshark er den mest populære og anerkendte netværksprotokolanalysator på verdensplan.. Dette gratis, open source og effektive værktøj giver dig mulighed for at opfange og undersøge al netværkstrafik der passerer gennem din computer, uanset om det er en Windows-, Linux-, macOS-maskine eller endda systemer som FreeBSD og Solaris. Med Wireshark kan du se, i realtid eller efter optagelse, præcis hvilke pakker der kommer ind og forlader din computer, deres kilde, destination, protokoller og endda opdele dem for at få detaljer om hvert lag i henhold til OSI-modellen.

I modsætning til mange analysatorer, Wireshark skiller sig ud ved sin intuitive grafiske brugerflade, men tilbyder også en kraftfuld konsolversion kaldet TShark til dem, der foretrækker kommandolinjen eller har brug for at udføre automatiserede opgaver. Wiresharks fleksibilitet Det er sådan, at det giver dig mulighed for at analysere en forbindelse, mens du browser, udføre professionelle sikkerhedsrevisioner, løse netværksflaskehalse eller lære fra bunden om, hvordan internetprotokoller fungerer, alt sammen fra din egen pc!

Download og installer Wireshark på Windows

Det er en simpel proces at installere Wireshark på Windows., men det er tilrådeligt at gøre det trin for trin for at undgå løse ender, især hvad angår tilladelser og yderligere drivere til optagelsen.

• Officiel download: Adgang til den officielle Wireshark-hjemmeside og vælg Windows-versionen (32 eller 64 bit afhængigt af dit system).
• Kør installationsprogrammet: Dobbeltklik på den downloadede fil, og følg guiden. Accepter standardindstillingerne, hvis du har spørgsmål.
• Vigtige drivere: Under installationen vil installationsprogrammet spørge dig installer Npcap. Denne komponent er essentiel, da den giver dit netværkskort mulighed for at opfange pakker i "promiskuøs" tilstand. Accepter dens installation.
• Afslut og genstart: Når processen er færdig, skal du genstarte computeren for at sikre, at alle komponenter er klar.

Parat! Du kan nu begynde at bruge Wireshark fra Windows Start-menuen. Bemærk venligst, at dette program opdateres ofte, så det er en god idé at tjekke for nye versioner fra tid til anden.

Sådan fungerer Wireshark: Pakkeoptagelse og visning

Når du åbner Wireshark, Det første du vil se er en liste over alle de netværksgrænseflader, der er tilgængelige på dit system.Kabelforbundne netværkskort, WiFi og endda virtuelle adaptere, hvis du bruger virtuelle maskiner som VMware eller VirtualBox. Hver af disse grænseflader repræsenterer et indgangs- eller udgangspunkt for digital information.

For at begynde at indsamle data, Du skal blot dobbeltklikke på den ønskede grænseflade. Siden da, Wireshark viser i realtid alle de pakker, der cirkulerer af det pågældende kort, sortere dem efter kolonner såsom pakkenummer, optagelsestidspunkt, kilde, destination, protokol, størrelse og yderligere detaljer.

Når du vil stoppe optagelsen, skal du trykke på rød Stop-knap. Du kan gemme dine optagelser i .pcap-format til senere analyse, deling eller endda eksport af dem i forskellige formater (CSV, tekst, komprimeret osv.). Denne fleksibilitet er det, der gør Wireshark er et uundværligt værktøj til både spotanalyser og komplette revisioner..

Introduktion: Tips før du tager et skærmbillede i Windows

For at sikre, at dine første Wireshark-optagelser er nyttige og ikke ender med irrelevant støj eller forvirrende data, er der flere vigtige anbefalinger, du skal følge:

• Luk unødvendige programmerFør du starter en optagelse, skal du afslutte programmer, der genererer baggrundstrafik (opdateringer, chats, e-mailklienter, spil osv.). På denne måde undgår du at blande irrelevant trafik.
• Kontroller firewallenFirewalls kan blokere eller ændre trafik. Overvej midlertidigt at deaktivere den, hvis du ønsker en fuld optagelse.
• Optag kun det, der er relevantHvis du vil analysere en bestemt app, skal du vente et sekund eller to efter du har startet optagelsen for at starte appen, og gøre det samme, når du lukker den, før du stopper optagelsen.
• Kend din aktive grænsefladeSørg for at vælge det korrekte netværkskort, især hvis du har flere adaptere eller er på et virtuelt netværk.

Ved at følge disse retningslinjer vil dine skærmbilleder være meget renere og mere nyttige til yderligere analyse..

Filtre i Wireshark: Sådan fokuserer du på det, der virkelig betyder noget

En af de mest kraftfulde funktioner i Wireshark er filtrene. Der er to grundlæggende typer:

• OptagelsesfiltreDe anvendes, før opsamlingen starter, så du kun kan indsamle den trafik, der interesserer dig fra starten.
• Vis filtreDisse gælder for listen over pakker, der allerede er optaget, hvilket giver dig mulighed for kun at vise dem, der opfylder dine kriterier.

Blandt de mest almindelige filtre er:

• Efter protokolFiltrerer kun HTTP-, TCP-, DNS- osv. pakker.
• Efter IP-adresseFor eksempel, vis kun pakker fra eller til en bestemt IP ved hjælp af ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• Efter havnBegrænser resultaterne til en bestemt port (tcp.port == 80).
• Efter tekststreng: Finder pakker, der indeholder et nøgleord i deres indhold.
• Efter MAC-adresse, pakkelængde eller IP-interval.

Derudover kan filtre kombineres med logiske operatorer (og, or, ikke) til meget præcise søgninger, såsom tcp.port == 80 og ip.src == 192.168.1.1.

Hvad kan du optage og analysere med Wireshark på Windows?

Wireshark er i stand til at fortolke mere end 480 forskellige protokoller, fra grundlæggende ting som TCP, UDP, IP, til applikationsspecifikke protokoller, IoT, VoIP og mange andre. Det betyder, at du kan undersøge alle typer netværkstrafik, fra simple DNS-forespørgsler til krypterede SSH-sessioner, HTTPS-forbindelser, FTP-overførsler eller SIP-trafik fra internettelefoni.

Derudover Wireshark understøtter standard capture-formater såsom tcpdump (libpcap), pcapng og andre, og giver dig mulighed for at komprimere og dekomprimere skærmbilleder på farten ved hjælp af GZIP for at spare plads. For krypteret trafik (TLS/SSL, IPsec, WPA2 osv.) kan du, hvis du har de rigtige nøgler, endda dekryptere dataene og se deres originale indhold.

Detaljeret trafikregistrering: yderligere anbefalinger

Før du starter en vigtig optagelse, skal du følge denne protokol for at maksimere nytten af ​​de indsamlede oplysninger.:

• Vælg den rigtige grænsefladeNormalt vil din aktive adapter være den, der passer til den forbindelse, du bruger. Hvis du er i tvivl, så tjek hvilken der er tilsluttet i Windows' netværksindstillinger.
• Sæt scenenÅbn kun de programmer eller apps, der genererer den trafik, du vil analysere.
• Isoler fænomenetHvis du vil analysere apptrafik, skal du følge denne rækkefølge: start appen efter optagelsen er startet, udfør den handling, du vil analysere, og luk appen, før du stopper optagelsen.
• Gem skærmbilledet: Stop optagelsen, gå til Filer > Gem, og vælg .pcap eller dit foretrukne format.

Sådan får du det rene og nemme at analysere filer, uden nogen form for uønsket trafik blandet ind.

Illustrative eksempler: trafikanalyse med Wireshark

Lad os sige, at du har to computere på dit lokale netværk, og en af ​​dem holder op med at få adgang til internettet. Du kan bruge Wireshark til at opfange trafik fra den maskine. og se om der er fejl ved fortolkning af DNS-adresser, om pakker ikke når routeren, eller om en firewall blokerer kommunikationen.

Et andet typisk tilfælde: opdager, om et websted ikke krypterer dit login korrekt. Hvis du logger ind på et websted uden HTTPS og anvender et HTTP-filter kombineret med dit brugernavn, kan du endda opleve, at din adgangskode spredes usynligt over netværket – et eksempel fra virkeligheden på risikoen ved usikre websteder.

Wireshark og sikkerhed: Risici, angreb og beskyttelsesforanstaltninger

Wiresharks styrke er også dens største risiko: I de forkerte hænder kan det muliggøre indfangning af legitimationsoplysninger, spionage eller afsløre følsomme oplysninger.. Her er nogle trusler og anbefalinger:

• Legitimationsudfyldning (brute force-angreb på legitimationsoplysninger)Hvis du registrerer SSH-, Telnet- eller anden tjenestetrafik, kan du muligvis opleve automatiserede loginforsøg. Vær opmærksom på længere sessioner (de er normalt succesfulde), pakkestørrelser og antallet af forsøg på at registrere mistænkelige mønstre.
• Risiko for ekstern trafikFiltrer al SSH-trafik, der ikke kommer fra dit interne netværk: Hvis du ser forbindelser udefra, skal du være opmærksom!
• Adgangskoder i almen tekstHvis et websted overfører ukrypterede brugernavne og adgangskoder, kan du se det på skærmbilledet. Brug aldrig Wireshark til at indhente disse data på udenlandske netværk. Husk at det er ulovligt at gøre det uden tilladelse.
• Samtykke og lovlighedAnalyserer kun trafik fra egne netværk eller med udtrykkelig tilladelse. Loven er meget klar på dette punkt, og misbrug kan have alvorlige konsekvenser.
• Gennemsigtighed og etikHvis du arbejder i et virksomhedsmiljø, skal du informere brugerne om analysen og dens formål. Respekt for privatlivets fred er lige så vigtig som teknisk sikkerhed.

Wireshark-alternativer: Andre muligheder for netværksanalyse

Wireshark er den ubestridte reference, men der findes andre værktøjer, der kan supplere eller i specifikke situationer erstatte dens brug:

• tcpdumpIdeel til Unix/Linux-miljøer, fungerer på kommandolinjen. Den er let, hurtig og fleksibel til hurtige optagelser eller automatiserede opgaver.
• SkyhajWebplatform til upload, analyse og deling af pakkeoptagelser fra browseren. Meget nyttigt til samarbejdsmiljøer.
• SmartSniffFokuseret på Windows, nem at bruge til spot-captures og visning af samtaler mellem klienter og servere.
• ColaSoft CapsaGrafisk netværksanalysator, der skiller sig ud ved sin enkle brugerflade og specifikke muligheder for portscanning, eksport og kompakt visualisering.

Valget af det bedste alternativ afhænger af dine specifikke behov.: hastighed, grafisk brugerflade, online samarbejde eller kompatibilitet med specifik hardware.

Avancerede indstillinger: Promiskuøs tilstand, skærm og navneopløsning

Promiskuøs tilstand tillader netværkskortet at opfange ikke kun pakkerne, der var beregnet til hende, men al trafik, der cirkulerer gennem det netværk, som den er forbundet til. Det er afgørende for at analysere virksomhedsnetværk, delte hubs eller pentestningsscenarier.

På Windows skal du gå til Optag > Indstillinger, vælg grænsefladen og marker feltet promiskuøs tilstand. Husk på, at du på Wi-Fi-netværk, bortset fra meget specifik hardware, kun vil se trafik fra din egen enhed.

Endvidere Navneopløsning konverterer IP-adresser til læsbare domænenavne (for eksempel 8.8.8.8 i google-public-dns-a.google.com). Du kan aktivere eller deaktivere denne indstilling under Rediger > Indstillinger > Navneforståelse. Det hjælper meget med at identificere enheder under en scanning, selvom det kan forsinke processen, hvis der er mange adresser, der skal løses.