Wiresharki kasutamine Windowsis: täielik, praktiline ja ajakohane juhend

Kas olete kunagi mõelnud Mis teie võrgus tegelikult toimub, kui sirvite veebis, mängite võrgus või haldate ühendatud seadmeid? Kui olete lihtsalt uudishimulik oma WiFi-s levivate saladuste vastu või vajate lihtsalt professionaalset tööriista Analüüsige võrguliiklust ja tuvastage ühenduse probleeme, kindlasti nimi Wireshark on juba teie tähelepanu köitnud.

Noh, selles artiklis avastate ilma kõrvalepõiketeta kõik üksikasjad Wiresharki kohtaMis see on, milleks seda Windowsis kasutatakse, kuidas seda installida ja parimad näpunäited enne andmete kogumise alustamist. Asume asja kallale.

Mis on Wireshark? Võrguanalüüsi titaani lahtiharutamine

Wireshark on maailmas populaarseim ja tunnustatuim võrguprotokolli analüsaator.. See tasuta, avatud lähtekoodiga ja võimas tööriist võimaldab teil jäädvustada ja uurida kogu võrguliiklust mis läbib teie arvutit, olgu see siis Windowsi, Linuxi, macOS-i masin või isegi sellised süsteemid nagu FreeBSD ja Solaris. Wiresharki abil saate reaalajas või pärast salvestamist näha täpselt, millised paketid teie arvutisse sisenevad ja sealt lahkuvad, nende allikat, sihtkohta, protokolle ja isegi jagada need osadeks, et saada iga kihi kohta üksikasju vastavalt OSI-mudelile.

Erinevalt paljudest analüsaatoritest, Wireshark paistab silma oma intuitiivse graafilise liidese poolest., aga pakub ka võimsat konsooliversiooni nimega TShark neile, kes eelistavad käsurida või peavad automatiseeritud ülesandeid täitma. Wiresharki paindlikkus See võimaldab teil sirvimise ajal ühendust analüüsida, teha professionaalseid turvaauditeid, lahendada võrgu kitsaskohti või õppida nullist, kuidas internetiprotokollid toimivad – kõik oma arvutist!

Laadige alla ja installige Wireshark Windowsi

Wiresharki installimine Windowsi on lihtne protsess., kuid soovitatav on seda teha samm-sammult, et mitte jätta lahtisi otsi, eriti õiguste ja jäädvustamiseks vajalike lisadraiverite osas.

• Descarga oficial: Juurdepääs Wiresharki ametlik veebisait ja valige Windowsi versioon (32-bitine või 64-bitine, olenevalt teie süsteemist).
• Ejecuta el instalador: Topeltklõpsake allalaaditud failil ja järgige viisardi juhiseid. Küsimuste korral nõustuge vaikesuvanditega.
• Olulised draiverid: Installimise ajal küsib installija teilt installige Npcap. See komponent on oluline, kuna see võimaldab teie võrgukaardil pakette "promiscuous" režiimis jäädvustada. Nõustuge selle installimisega.
• Lõpeta ja taaskäivita: Kui protsess on lõpule viidud, taaskäivitage arvuti, et veenduda kõigi komponentide valmisolekus.

Valmis! Nüüd saate Wiresharki kasutama hakata Windowsi menüüst Start. Pange tähele, et seda programmi värskendatakse sageli, seega on hea mõte aeg-ajalt uusi versioone kontrollida.

Kuidas Wireshark töötab: pakettide püüdmine ja kuvamine

Kui avate Wiresharki, Esimene asi, mida näete, on kõigi teie süsteemis saadaolevate võrguliideste loend.Juhtmega võrgukaardid, WiFi ja isegi virtuaalsed adapterid, kui kasutate virtuaalmasinaid nagu VMware või VirtualBox. Kõik need liidesed esindavad digitaalse teabe sisenemis- või väljumispunkti.

Andmete kogumise alustamiseks Peate lihtsalt soovitud liidesel topeltklõpsama. Desde ese momento, Wireshark kuvab reaalajas kõiki ringlevaid pakette selle kaardi järgi, sorteerides neid veergude kaupa, näiteks paketi number, püüdmise aeg, allikas, sihtkoht, protokoll, suurus ja lisateave.

Kui soovite jäädvustamise lõpetada, vajutage nuppu punane stopp-nupp. Saate oma jäädvustusi salvestada .pcap-vormingus hilisemaks analüüsimiseks, jagamiseks või isegi erinevates vormingutes (CSV, tekst, tihendatud jne) eksportimiseks. See paindlikkus teebki Wireshark on asendamatu tööriist nii kohapealseks analüüsiks kui ka täielikeks audititeks..

Alustamine: näpunäited enne Windowsi ekraanipildi tegemist

Selleks, et teie esimesed Wiresharki jäädvustused oleksid kasulikud ega täituks ebaolulise müra või segaste andmetega, on mitmeid olulisi soovitusi.

• Cierra programas innecesariosEnne jäädvustamise alustamist sulgege rakendused, mis genereerivad taustal liiklust (värskendused, vestlused, e-posti kliendid, mängud jne). Nii väldite ebaolulise liikluse segamist.
• Tulemüüri haldamineTulemüürid saavad liiklust blokeerida või muuta. Kui soovite täielikku jäädvustamist, kaaluge selle ajutist keelamist.
• Jäädvusta ainult see, mis on olulineKui soovite konkreetset rakendust analüüsida, oodake pärast jäädvustamise alustamist sekund või kaks, enne kui rakendus käivitate, ja tehke sama ka selle sulgemisel enne salvestamise peatamist.
• Tunne oma aktiivset liidestVeenduge, et valite õige võrgukaardi, eriti kui teil on mitu adapterit või olete virtuaalses võrgus.

Neid juhiseid järgides on teie ekraanipildid palju puhtamad ja edasiseks analüüsiks kasulikumad..

Wiresharki filtrid: kuidas keskenduda sellele, mis on tõeliselt oluline

Üks Wiresharki võimsamaid funktsioone on filtrid. On kaks põhitüüpi:

• JäädvustusfiltridNeid rakendatakse enne kogumise alustamist, võimaldades teil koguda ainult liiklust, mis teid algusest peale huvitab.
• Filtros de visualización: Need kehtivad juba püütud pakettide loendile, võimaldades kuvada ainult neid, mis vastavad teie kriteeriumidele.

Kõige levinumate filtrite hulgas on:

• Protokolli järgiFiltreerib ainult HTTP-, TCP-, DNS- jne pakette.
• IP-aadressi järgiNäiteks kuvab ainult kindlalt IP-aadressilt või sellele saadetud pakette, kasutades ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• Por puerto: Piirab tulemusi kindla pordiga (tcp.port == 80).
• Tekstistringi järgi: Leiab paketid, mille sisus on märksõna.
• MAC-aadressi, paketi pikkuse või IP-vahemiku järgi.

Lisaks saab filtreid kombineerida loogiliste operaatoritega (ja, or, not) väga täpsete otsingute jaoks, näiteks tcp.port == 80 ja ip.src == 192.168.1.1.

Mida saab Windowsi Wiresharkiga jäädvustada ja analüüsida?

Wireshark es võimeline tõlgendama enam kui 480 erinevat protokolli, alates põhitõdedest nagu TCP, UDP, IP kuni rakenduspõhiste protokollide, IoT, VoIP ja paljude teisteni. See tähendab, et saate uurida igat tüüpi võrguliiklust, alates lihtsatest DNS-päringutest kuni krüptitud SSH-seansside, HTTPS-ühenduste, FTP-edastuste või internetitelefoni SIP-liikluseni.

Pealegi, Wireshark toetab standardseid püüdmisvorminguid, näiteks tcpdump (libpcap), pcapng ja teised.ja võimaldab teil ekraanipilte GZIP-i abil ruumi kokkuhoiuks lennult tihendada ja lahti pakkida. Krüptitud liikluse (TLS/SSL, IPsec, WPA2 jne) puhul saate õigete võtmete olemasolul andmeid isegi dekrüpteerida ja nende algset sisu vaadata.

Liikluse üksikasjalik kogumine: lisasoovitused

Enne olulise jäädvustamise alustamist järgige seda protokolli, et maksimeerida kogutud teabe kasulikkust.:

• Valige õige liidesTavaliselt on aktiivne adapter see, mis on mõeldud kasutatava ühenduse jaoks. Kahtluse korral kontrollige Windowsi võrgusätetest, milline neist on ühendatud.
• Prepara la escena: Avage ainult need programmid või rakendused, mis genereerivad liiklust, mida soovite analüüsida.
• Isoleerige nähtusRakenduse liikluse analüüsimiseks järgige seda järjekorda: käivitage rakendus pärast jäädvustamise alustamist, tehke toiming, mida soovite analüüsida, ja sulgege rakendus enne salvestamise peatamist.
• Guarda la captura: Lõpeta salvestamine, mine menüüsse Fail > Salvesta ja vali .pcap või oma eelistatud vorming.

Así conseguirás puhtad ja hõlpsasti analüüsitavad failid, ilma igasuguse rämpsliikluseta.

Illustreerivad näited: liikluse analüüs Wiresharkiga

Oletame, et teil on kohtvõrgus kaks arvutit ja üks neist ei pääse enam internetiga kokku. Selle masina liikluse jäädvustamiseks saate kasutada Wiresharki. ja vaadake, kas DNS-aadresside lahendamisel esineb vigu, kas paketid ei jõua ruuterini või kas tulemüür blokeerib sidet.

Teine tüüpiline juhtum: tuvastada, kas veebisait ei krüpteeri teie sisselogimist korralikult. Kui logite sisse veebisaidile ilma HTTPS-ita ja rakendate oma kasutajanimega koos HTTP-filtrit, võite isegi näha oma parooli võrgus selgelt liikumas, mis on reaalne näide ebaturvaliste veebisaitide ohust.

Wireshark ja turvalisus: riskid, rünnakud ja kaitsemeetmed

Wiresharki võimsus on ka selle suurim risk: Valedesse kätesse sattudes võib see hõlbustada volituste võtmist, spionaaži või paljastada tundlikku teavet.. Siin on mõned ähvardused ja soovitused:

• Volituste lisamine andmetesse (volituste jõhkra jõu rünnakud)SSH, Telneti või muu teenuse liikluse jäädvustamisel võite märgata automaatseid sisselogimiskatseid. Pöörake tähelepanu pikematele seanssidele (need on tavaliselt edukad), pakettide suurustele ja kahtlaste mustrite tuvastamise katsete arvule.
• Välise liikluse ohtFiltreeri kogu SSH-liiklus, mis ei tule sinu sisevõrgust: kui näed ühendusi väljastpoolt, ole valvas!
• Lihttekstiga paroolidKui veebisait edastab krüpteerimata kasutajanimesid ja paroole, näete seda ekraanipildil. Ärge kunagi kasutage Wiresharki nende andmete hankimiseks välismaistest võrkudest. Pea meeles, et ilma loata on selline tegevus ebaseaduslik.
• Nõusolek ja seaduslikkus: Analüüsib liiklust ainult oma võrkudest või selgesõnalise volituse alusel. Seadus on selles küsimuses väga selge ja väärkasutamisel võivad olla tõsised tagajärjed.
• Transparencia y éticaKui töötate ettevõtte keskkonnas, teavitage kasutajaid analüüsist ja selle eesmärgist. Privaatsuse austamine on sama oluline kui tehniline turvalisus.

Wiresharki alternatiivid: muud võrguanalüüsi valikud

Wireshark on vaieldamatu viide, kuid on ka teisi tööriistu, mis võivad selle kasutamist täiendada või teatud olukordades asendada:

• TcpdumpIdeaalne Unixi/Linuxi keskkondade jaoks, töötab käsurealt. See on kerge, kiire ja paindlik kiireks jäädvustamiseks või automatiseeritud ülesannete täitmiseks.
• PilvehaiVeebiplatvorm brauserist pakettide jäädvustamise üleslaadimiseks, analüüsimiseks ja jagamiseks. Väga kasulik koostöökeskkondade jaoks.
• SmartSniffWindowsile keskendunud, hõlpsasti kasutatav kohapealsete jäädvustuste tegemiseks ja klientide ning serverite vaheliste vestluste vaatamiseks.
• ColaSoft CapsaGraafiline võrguanalüsaator, mis paistab silma oma liidese lihtsuse ja spetsiifiliste portide skaneerimise, eksportimise ja kompaktse visualiseerimise valikute poolest.

Parima alternatiivi valimine sõltub teie konkreetsetest vajadustest.kiirus, graafiline liides, võrgukoostöö või ühilduvus konkreetse riistvaraga.

Täpsemad sätted: valikuline režiim, monitor ja nimelahendus

Promiscuous režiim võimaldab võrgukaardil jäädvustada mitte ainult talle mõeldud pakid, vaid ka kogu liiklus, mis liigub läbi võrgu, millega see on ühendatud. See on ülioluline ettevõtte võrkude, jagatud jaoturite või läbitungivate stsenaariumide analüüsimiseks.

Windowsis minge aadressile Jäädvusta > Valikud, valige liides ja märkige ruut valikulise režiimi ees. Pea meeles, et WiFi-võrkudes näed liiklust ainult oma seadmest, välja arvatud väga spetsiifilise riistvara puhul.

Teisest küljest, Nimede lahendamine teisendab IP-aadressid loetavateks domeeninimedeks (näiteks 8.8.8.8 domeenis google-public-dns-a.google.com). Selle valiku saate lubada või keelata menüüst Redigeeri > Eelistused > Nimelahendus. See aitab skannimise ajal seadmeid tuvastada, kuigi see võib protsessi aeglustada, kui lahendatavaid aadresse on palju.