Πώς να χρησιμοποιήσετε το Wireshark σε Windows: Ένας πλήρης, πρακτικός και ενημερωμένος οδηγός

Έχετε ποτέ αναρωτηθεί Τι συμβαίνει πραγματικά στο δίκτυό σας όταν περιηγείστε, παίζετε online ή διαχειρίζεστε συνδεδεμένες συσκευές; Αν απλώς είστε περίεργοι για τα μυστήρια που κυκλοφορούν στο WiFi σας ή αν απλώς χρειάζεστε ένα επαγγελματικό εργαλείο για να Ανάλυση της κίνησης δικτύου και εντοπισμός προβλημάτων με τη σύνδεσή σας, σίγουρα το όνομα του Wireshark έχει ήδη τραβήξει την προσοχή σας.

Λοιπόν, σε αυτό το άρθρο θα ανακαλύψετε χωρίς παρακάμψεις όλες οι λεπτομέρειες για το WiresharkΤι είναι, σε τι χρησιμοποιείται στα Windows, πώς να το εγκαταστήσετε και οι καλύτερες συμβουλές πριν ξεκινήσετε την καταγραφή δεδομένων. Ας το δούμε.

Τι είναι το Wireshark; Αναλύοντας τον κολοσσό της ανάλυσης δικτύων

Το Wireshark είναι ο πιο δημοφιλής και αναγνωρισμένος αναλυτής πρωτοκόλλου δικτύου παγκοσμίως.. Αυτό το δωρεάν, ανοιχτού κώδικα και ισχυρό εργαλείο σάς επιτρέπει να καταγραφή και εξέταση όλης της κίνησης δικτύου που περνάει από τον υπολογιστή σας, είτε πρόκειται για υπολογιστή με Windows, Linux, macOS ή ακόμα και για συστήματα όπως το FreeBSD και το Solaris. Με το Wireshark, μπορείτε να δείτε, σε πραγματικό χρόνο ή μετά την καταγραφή, ακριβώς ποια πακέτα εισέρχονται και εξέρχονται από τον υπολογιστή σας, την πηγή τους, τον προορισμό τους, τα πρωτόκολλά τους, ακόμη και να τα αναλύσετε για να λάβετε λεπτομέρειες για κάθε επίπεδο σύμφωνα με το μοντέλο OSI.

Σε αντίθεση με πολλούς αναλυτές, Το Wireshark ξεχωρίζει για το εύχρηστο γραφικό του περιβάλλον εργασίας., αλλά προσφέρει επίσης μια ισχυρή έκδοση κονσόλας που ονομάζεται TShark για όσους προτιμούν τη γραμμή εντολών ή χρειάζονται να εκτελούν αυτοματοποιημένες εργασίες. Η ευελιξία του Wireshark Είναι τέτοιο που σας επιτρέπει να αναλύετε μια σύνδεση ενώ περιηγείστε, να εκτελείτε επαγγελματικούς ελέγχους ασφαλείας, να επιλύετε σημεία συμφόρησης δικτύου ή να μαθαίνετε από την αρχή πώς λειτουργούν τα πρωτόκολλα Διαδικτύου, όλα από τον δικό σας υπολογιστή!

Λήψη και εγκατάσταση του Wireshark σε Windows

Η εγκατάσταση του Wireshark στα Windows είναι μια απλή διαδικασία., αλλά συνιστάται να το κάνετε βήμα προς βήμα, ώστε να μην αφήσετε εκκρεμότητες, ειδικά όσον αφορά τα δικαιώματα και τους πρόσθετους οδηγούς για τη λήψη.

• Επίσημη λήψη: Πρόσβαση στο η επίσημη ιστοσελίδα του Wireshark και επιλέξτε την έκδοση των Windows (32 ή 64 bit ανάλογα με το σύστημά σας).
• Εκτελέστε το πρόγραμμα εγκατάστασης: Κάντε διπλό κλικ στο ληφθέν αρχείο και ακολουθήστε τον οδηγό. Αποδεχτείτε τις προεπιλεγμένες επιλογές εάν έχετε οποιεσδήποτε ερωτήσεις.
• Βασικοί οδηγοί: Κατά την εγκατάσταση, ο εγκαταστάτης θα σας ρωτήσει εγκατάσταση Npcap. Αυτό το στοιχείο είναι απαραίτητο, καθώς επιτρέπει στην κάρτα δικτύου σας να συλλαμβάνει πακέτα σε λειτουργία "promiscuous". Αποδεχτείτε την εγκατάστασή του.
• Τερματισμός και επανεκκίνηση: Μόλις ολοκληρωθεί η διαδικασία, επανεκκινήστε τον υπολογιστή σας για να βεβαιωθείτε ότι όλα τα στοιχεία είναι έτοιμα.

Ετοιμος! Τώρα μπορείτε να ξεκινήσετε να χρησιμοποιείτε το Wireshark από το μενού Έναρξη των Windows. Λάβετε υπόψη ότι αυτό το πρόγραμμα ενημερώνεται συχνά, επομένως είναι καλή ιδέα να ελέγχετε για νέες εκδόσεις κατά καιρούς.

Πώς λειτουργεί το Wireshark: Σύλληψη και εμφάνιση πακέτων

Όταν ανοίγετε το Wireshark, Το πρώτο πράγμα που θα δείτε είναι η λίστα με όλες τις διεπαφές δικτύου που είναι διαθέσιμες στο σύστημά σας.Ενσύρματες κάρτες δικτύου, WiFi, ακόμη και εικονικοί προσαρμογείς εάν χρησιμοποιείτε εικονικές μηχανές όπως VMware ή VirtualBox. Κάθε μία από αυτές τις διεπαφές αντιπροσωπεύει ένα σημείο εισόδου ή εξόδου για ψηφιακές πληροφορίες.

Για να ξεκινήσετε τη λήψη δεδομένων, Απλά πρέπει να κάνετε διπλό κλικ στην επιθυμητή διεπαφή. Από τότε, Το Wireshark θα εμφανίζει σε πραγματικό χρόνο όλα τα πακέτα που κυκλοφορούν με βάση αυτήν την κάρτα, ταξινομώντας τα ανά στήλες όπως αριθμός πακέτου, χρόνος λήψης, πηγή, προορισμός, πρωτόκολλο, μέγεθος και πρόσθετες λεπτομέρειες.

Όταν θέλετε να σταματήσετε τη λήψη, πατήστε το κόκκινο κουμπί διακοπής. Μπορείτε να αποθηκεύσετε τις λήψεις σας σε μορφή .pcap για μελλοντική ανάλυση, κοινή χρήση ή ακόμα και εξαγωγή τους σε διάφορες μορφές (CSV, κείμενο, συμπιεσμένο κ.λπ.). Αυτή η ευελιξία είναι που κάνει Το Wireshark είναι ένα απαραίτητο εργαλείο τόσο για επιτόπια ανάλυση όσο και για πλήρεις ελέγχους..

Ξεκινώντας: Συμβουλές πριν από τη λήψη στιγμιότυπου οθόνης στα Windows

Για να διασφαλίσετε ότι οι πρώτες σας λήψεις Wireshark είναι χρήσιμες και δεν θα καταλήξουν γεμάτες με άσχετο θόρυβο ή συγκεχυμένα δεδομένα, υπάρχουν αρκετές βασικές συστάσεις που πρέπει να ακολουθήσετε:

• Κλείστε τα περιττά προγράμματαΠριν ξεκινήσετε μια καταγραφή, τερματίστε τις εφαρμογές που δημιουργούν επισκεψιμότητα στο παρασκήνιο (ενημερώσεις, συνομιλίες, προγράμματα-πελάτες email, παιχνίδια κ.λπ.). Με αυτόν τον τρόπο θα αποφύγετε την ανάμειξη άσχετης επισκεψιμότητας.
• Έλεγχος του τείχους προστασίαςΤα τείχη προστασίας μπορούν να μπλοκάρουν ή να τροποποιήσουν την κυκλοφορία. Σκεφτείτε το ενδεχόμενο να το απενεργοποιήσετε προσωρινά, αν θέλετε να κάνετε πλήρη καταγραφή.
• Αποτυπώστε μόνο ό,τι είναι σχετικόΑν θέλετε να αναλύσετε μια συγκεκριμένη εφαρμογή, περιμένετε ένα ή δύο δευτερόλεπτα μετά την έναρξη της καταγραφής για να εκκινήσετε την εφαρμογή και κάντε το ίδιο όταν την κλείνετε πριν διακόψετε την εγγραφή.
• Γνωρίστε την ενεργή διεπαφή σαςΒεβαιωθείτε ότι έχετε επιλέξει τη σωστή κάρτα δικτύου, ειδικά εάν έχετε πολλούς προσαρμογείς ή βρίσκεστε σε εικονικό δίκτυο.

Ακολουθώντας αυτές τις οδηγίες, τα στιγμιότυπα οθόνης σας θα είναι πολύ πιο καθαρά και πιο χρήσιμα για περαιτέρω ανάλυση..

Φίλτρα στο Wireshark: Πώς να εστιάσετε σε αυτό που πραγματικά έχει σημασία

Ένα από τα πιο ισχυρά χαρακτηριστικά του Wireshark είναι τα φίλτρα. Υπάρχουν δύο βασικοί τύποι:

• Φίλτρα καταγραφήςΕφαρμόζονται πριν από την έναρξη της καταγραφής, επιτρέποντάς σας να συλλέγετε μόνο την επισκεψιμότητα που σας ενδιαφέρει από την αρχή.
• Φίλτρα εμφάνισηςΑυτά ισχύουν για τη λίστα των πακέτων που έχουν ήδη καταγραφεί, επιτρέποντάς σας να εμφανίσετε μόνο εκείνα που πληρούν τα κριτήριά σας.

Μεταξύ των πιο συνηθισμένων φίλτρων είναι:

• Με πρωτόκολλοΦιλτράρει μόνο πακέτα HTTP, TCP, DNS κ.λπ.
• Με διεύθυνση IPΓια παράδειγμα, εμφάνιση μόνο πακέτων από ή προς μια συγκεκριμένη IP χρησιμοποιώντας ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• Ανά λιμάνιΠεριορίζει τα αποτελέσματα σε μια συγκεκριμένη θύρα (tcp.port == 80).
• Με συμβολοσειρά κειμένου: Εντοπίζει πακέτα που περιέχουν μια λέξη-κλειδί στο περιεχόμενό τους.
• Με διεύθυνση MAC, μήκος πακέτου ή εύρος IP.

Επιπλέον, τα φίλτρα μπορούν να συνδυαστούν με λογικούς τελεστές (και , or, δεν) για πολύ ακριβείς αναζητήσεις, όπως tcp.port == 80 και ip.src == 192.168.1.1.

Τι μπορείτε να καταγράψετε και να αναλύσετε με το Wireshark σε Windows;

Το Wireshark είναι ικανό να ερμηνεύσει περισσότερα από 480 διαφορετικά πρωτόκολλα, από βασικά όπως TCP, UDP, IP, έως πρωτόκολλα ειδικά για εφαρμογές, IoT, VoIP και πολλά άλλα. Αυτό σημαίνει ότι μπορείτε να εξετάσετε όλους τους τύπους κίνησης δικτύου, από απλά ερωτήματα DNS έως κρυπτογραφημένες συνεδρίες SSH, συνδέσεις HTTPS, μεταφορές FTP ή κίνηση SIP από τηλεφωνία μέσω Διαδικτύου.

Επιπλέον, Το Wireshark υποστηρίζει τυπικές μορφές καταγραφής όπως tcpdump (libpcap), pcapng και άλλες, και σας επιτρέπει να συμπιέσετε και να αποσυμπιέσετε στιγμιότυπα οθόνης εν κινήσει χρησιμοποιώντας GZIP για εξοικονόμηση χώρου. Για κρυπτογραφημένη κίνηση (TLS/SSL, IPsec, WPA2, κ.λπ.), εάν έχετε τα σωστά κλειδιά, μπορείτε ακόμη και να αποκρυπτογραφήσετε τα δεδομένα και να δείτε το αρχικό τους περιεχόμενο.

Λεπτομερής καταγραφή επισκεψιμότητας: πρόσθετες προτάσεις

Πριν ξεκινήσετε οποιαδήποτε σημαντική καταγραφή, ακολουθήστε αυτό το πρωτόκολλο για να μεγιστοποιήσετε τη χρησιμότητα των πληροφοριών που συλλέγονται.:

• Επιλέξτε τη σωστή διεπαφήΚανονικά, ο ενεργός προσαρμογέας σας θα είναι αυτός για τη σύνδεση που χρησιμοποιείτε. Εάν έχετε οποιεσδήποτε αμφιβολίες, ελέγξτε ποιο είναι συνδεδεμένο από τις ρυθμίσεις δικτύου των Windows.
• Στήνω σκηνικόΑνοίξτε μόνο τα προγράμματα ή τις εφαρμογές που θα δημιουργήσουν την επισκεψιμότητα που θέλετε να αναλύσετε.
• Απομονώστε το φαινόμενοΑν θέλετε να αναλύσετε την επισκεψιμότητα μιας εφαρμογής, ακολουθήστε την εξής σειρά: εκκινήστε την εφαρμογή αφού ξεκινήσετε την καταγραφή, εκτελέστε την ενέργεια που θέλετε να αναλύσετε και κλείστε την εφαρμογή πριν διακόψετε την καταγραφή.
• Αποθηκεύστε το στιγμιότυπο οθόνης: Διακόψτε την εγγραφή, μεταβείτε στο Αρχείο > Αποθήκευση και επιλέξτε .pcap ή τη μορφή που προτιμάτε.

Έτσι θα αποκτήσετε καθαρά και εύκολα στην ανάλυση αρχεία, χωρίς να παρεμβάλλεται καθόλου ανεπιθύμητη κίνηση.

Ενδεικτικά παραδείγματα: ανάλυση κυκλοφορίας με το Wireshark

Ας υποθέσουμε ότι έχετε δύο υπολογιστές στο τοπικό σας δίκτυο και ο ένας από αυτούς σταματά να έχει πρόσβαση στο Διαδίκτυο. Μπορείτε να χρησιμοποιήσετε το Wireshark για να καταγράψετε την κίνηση από αυτό το μηχάνημα. και δείτε αν υπάρχουν σφάλματα κατά την επίλυση διευθύνσεων DNS, αν τα πακέτα δεν φτάνουν στον δρομολογητή ή αν ένα τείχος προστασίας εμποδίζει τις επικοινωνίες.

Μια άλλη χαρακτηριστική περίπτωση: εντοπίζει εάν ένας ιστότοπος δεν κρυπτογραφεί σωστά τα στοιχεία σύνδεσής σας. Εάν συνδεθείτε σε έναν ιστότοπο χωρίς HTTPS και εφαρμόσετε ένα φίλτρο HTTP σε συνδυασμό με το όνομα χρήστη σας, ενδέχεται ακόμη και να δείτε τον κωδικό πρόσβασής σας να ταξιδεύει χωρίς να εμφανίζεται στο δίκτυο, μια πραγματική επίδειξη του κινδύνου των μη ασφαλών ιστότοπων.

Wireshark και Ασφάλεια: Κίνδυνοι, Επιθέσεις και Προστατευτικά Μέτρα

Η ισχύς του Wireshark είναι επίσης ο μεγαλύτερος κίνδυνος που αντιμετωπίζει: Σε λάθος χέρια, μπορεί να διευκολύνει την κατάσχεση διαπιστευτηρίων, την κατασκοπεία ή την αποκάλυψη ευαίσθητων πληροφοριών.. Ακολουθούν ορισμένες απειλές και συστάσεις:

• Παραποίηση διαπιστευτηρίων (επιθέσεις ωμής βίας με διαπιστευτήρια)Εάν καταγράψετε κίνηση SSH, Telnet ή άλλης υπηρεσίας, ενδέχεται να παρατηρήσετε αυτοματοποιημένες προσπάθειες σύνδεσης. Δώστε προσοχή στις μεγαλύτερες συνεδρίες (συνήθως είναι επιτυχημένες), στα μεγέθη πακέτων και στον αριθμό των προσπαθειών ανίχνευσης ύποπτων μοτίβων.
• Κίνδυνος εξωτερικής κίνησηςΦιλτράρετε όλη την κίνηση SSH που δεν προέρχεται από το εσωτερικό σας δίκτυο: εάν δείτε συνδέσεις από έξω, να είστε σε εγρήγορση!
• Κωδικοί πρόσβασης απλού κειμένουΕάν ένας ιστότοπος μεταδίδει μη κρυπτογραφημένα ονόματα χρήστη και κωδικούς πρόσβασης, θα το δείτε στο στιγμιότυπο οθόνης. Μην χρησιμοποιείτε ποτέ το Wireshark για να αποκτήσετε αυτά τα δεδομένα σε ξένα δίκτυα. Να θυμάστε ότι η πραγματοποίηση αυτού χωρίς άδεια είναι παράνομη.
• Συναίνεση και νομιμότηταΑναλύει μόνο την επισκεψιμότητα από τα δικά του δίκτυα ή με ρητή εξουσιοδότηση. Ο νόμος είναι πολύ σαφής σε αυτό το σημείο και η κακή χρήση μπορεί να έχει σοβαρές συνέπειες.
• Διαφάνεια και ηθικήΕάν εργάζεστε σε εταιρικό περιβάλλον, ενημερώστε τους χρήστες σχετικά με την ανάλυση και τον σκοπό της. Ο σεβασμός της ιδιωτικότητας είναι εξίσου σημαντικός με την τεχνική ασφάλεια.

Εναλλακτικές λύσεις Wireshark: Άλλες επιλογές για ανάλυση δικτύου

Το Wireshark είναι η αδιαμφισβήτητη αναφορά, αλλά υπάρχουν και άλλα εργαλεία που μπορούν να συμπληρώσουν ή, σε συγκεκριμένες περιπτώσεις, να αντικαταστήσουν τη χρήση του:

• tcpdumpΙδανικό για περιβάλλοντα Unix/Linux, λειτουργεί μέσω γραμμής εντολών. Είναι ελαφρύ, γρήγορο και ευέλικτο για γρήγορες λήψεις ή αυτοματοποιημένες εργασίες.
• Νεφοκαρχαρίας: Διαδικτυακή πλατφόρμα για τη μεταφόρτωση, ανάλυση και κοινή χρήση καταγραφών πακέτων από το πρόγραμμα περιήγησης. Πολύ χρήσιμο για συνεργατικά περιβάλλοντα.
• SmartSniffΕστιασμένο σε Windows, εύχρηστο για καταγραφές σημείων και προβολή συνομιλιών μεταξύ πελατών και διακομιστών.
• ColaSoft CapsaΓραφικός αναλυτής δικτύου που ξεχωρίζει για την απλότητα της διεπαφής του και τις συγκεκριμένες επιλογές για σάρωση θυρών, εξαγωγή και συμπαγή οπτικοποίηση.

Η επιλογή της καλύτερης εναλλακτικής λύσης εξαρτάται από τις συγκεκριμένες ανάγκες σας.: ταχύτητα, γραφική διεπαφή, διαδικτυακή συνεργασία ή συμβατότητα με συγκεκριμένο υλικό.

Ρυθμίσεις για προχωρημένους: Λειτουργία αχαλίνωτης αναπαραγωγής, Παρακολούθηση και Επίλυση ονόματος

Η λειτουργία Promiscuous επιτρέπει στην κάρτα δικτύου να καταγράφει όχι μόνο τα πακέτα που προορίζονταν για εκείνη, αλλά όλη η κίνηση που κυκλοφορεί μέσω του δικτύου στο οποίο είναι συνδεδεμένο. Είναι κρίσιμο για την ανάλυση εταιρικών δικτύων, κοινόχρηστων κόμβων ή σεναρίων διείσδυσης.

Στα Windows, μεταβείτε στο Λήψη > Επιλογές, επιλέξτε τη διεπαφή και επιλέξτε το πλαίσιο αχαλίνωτης λειτουργίας. Λάβετε υπόψη ότι σε δίκτυα Wi-Fi, εκτός από πολύ συγκεκριμένο υλικό, θα βλέπετε μόνο κίνηση από τη δική σας συσκευή.

Επιπλέον, Η ανάλυση ονομάτων μετατρέπει τις διευθύνσεις IP σε αναγνώσιμα ονόματα τομέα (για παράδειγμα, 8.8.8.8 στο google-public-dns-a.google.com). Μπορείτε να ενεργοποιήσετε ή να απενεργοποιήσετε αυτήν την επιλογή από την επιλογή Επεξεργασία > Προτιμήσεις > Ανάλυση ονόματος. Βοηθάει πολύ η αναγνώριση συσκευών κατά τη διάρκεια μιας σάρωσης, αν και μπορεί να επιβραδύνει τη διαδικασία εάν υπάρχουν πολλές διευθύνσεις που επιλύονται.