Wiresharkin käyttö Windowsissa: Täydellinen, käytännöllinen ja ajantasainen opas

Oletko koskaan miettinyt Mitä verkossasi oikeasti tapahtuu, kun selaat, pelaat verkossa tai hallinnoit yhdistettyjä laitteita? Jos olet vain utelias WiFi-verkossasi liikkuvista mysteereistä tai jos tarvitset vain ammattimaisen työkalun Analysoi verkkoliikennettä ja havaitse yhteysongelmia, varmasti nimi Wireshark on jo herättänyt huomiosi.

No, tässä artikkelissa löydät ilman kiertoteitä kaikki tiedot Wiresharkista: Mikä se on, mihin sitä käytetään Windowsissa, miten se asennetaan ja parhaat vinkit ennen tiedonkeruun aloittamista. Ryhdytään asiaan.

Mikä on Wireshark? Verkkoanalyysin jättiläisen purkaminen

Wireshark on maailmanlaajuisesti suosituin ja tunnetuin verkkoprotokolla-analysaattori.. Tämä ilmainen, avoimen lähdekoodin ja tehokas työkalu antaa sinulle mahdollisuuden kaappaa ja tutkii kaiken verkkoliikenteen joka kulkee tietokoneesi läpi, olipa kyseessä sitten Windows-, Linux- tai macOS-kone tai jopa järjestelmät, kuten FreeBSD ja Solaris. Wiresharkin avulla voit reaaliajassa tai tallennuksen jälkeen nähdä tarkalleen, mitkä paketit tulevat tietokoneellesi ja lähtevät sieltä, niiden lähteen, määränpään ja protokollat, ja jopa jakaa ne osiin saadaksesi tietoja jokaisesta kerroksesta OSI-mallin mukaan.

Toisin kuin monet analysaattorit, Wireshark erottuu edukseen intuitiivisen graafisen käyttöliittymänsä ansiosta., mutta tarjoaa myös tehokkaan konsoliversion nimeltä TShark niille, jotka suosivat komentoriviä tai tarvitsevat automatisoituja tehtäviä. Wiresharkin joustavuus Se mahdollistaa yhteyden analysoinnin selaamisen aikana, ammattimaisten tietoturvatarkastusten suorittamisen, verkon pullonkaulojen ratkaisemisen tai internet-protokollien toiminnan oppimisen alusta alkaen – kaikki omalta tietokoneeltasi!

Wiresharkin lataaminen ja asentaminen Windowsiin

Wiresharkin asentaminen Windowsiin on yksinkertainen prosessi., mutta on suositeltavaa tehdä se askel askeleelta, jotta ei jää löysiä päitä, etenkään käyttöoikeuksien ja lisäohjainten osalta tallennukseen.

• Virallinen lataus: Pääsy Wiresharkin virallinen verkkosivusto ja valitse Windows-versio (32- tai 64-bittinen järjestelmästäsi riippuen).
• Suorita asennusohjelma: Kaksoisnapsauta ladattua tiedostoa ja seuraa ohjattua toimintoa. Hyväksy oletusasetukset, jos sinulla on kysyttävää.
• Olennaiset ajurit: Asennuksen aikana asennusohjelma kysyy sinulta asenna Npcap. Tämä komponentti on välttämätön, koska sen avulla verkkokorttisi voi kaapata paketteja "siveettömässä" tilassa. Hyväksy sen asennus.
• Lopeta ja käynnistä uudelleen: Kun prosessi on valmis, käynnistä tietokone uudelleen varmistaaksesi, että kaikki osat ovat valmiita.

Valmis! Voit nyt aloittaa Wiresharkin käytön Windowsin Käynnistä-valikosta. Huomaa, että tätä ohjelmaa päivitetään usein, joten on hyvä tarkistaa uudet versiot aika ajoin.

Wiresharkin toimintaperiaate: Pakettien sieppaus ja näyttö

Kun avaat Wiresharkin, Ensimmäinen asia, jonka näet, on luettelo kaikista järjestelmässäsi käytettävissä olevista verkkoliitännöistä.Langalliset verkkokortit, WiFi ja jopa virtuaalisovittimet, jos käytät virtuaalikoneita, kuten VMware tai VirtualBox. Jokainen näistä rajapinnoista edustaa digitaalisen tiedon sisään- tai ulostulopistettä.

Aloittaaksesi tiedonkeruun, Sinun tarvitsee vain kaksoisnapsauttaa haluamaasi käyttöliittymää. Siitä lähtien, Wireshark näyttää reaaliajassa kaikki liikkuvat paketit kyseisen kortin mukaan lajittelemalla ne sarakkeiden, kuten pakettinumeron, sieppausajan, lähteen, kohteen, protokollan, koon ja lisätietojen, mukaan.

Kun haluat lopettaa kuvaamisen, paina punainen pysäytyspainike. Voit tallentaa kaappaukset .pcap-muodossa myöhempää analysointia, jakamista tai jopa viemistä varten eri muodoissa (CSV, teksti, pakattu jne.). Tämä joustavuus tekee Wireshark on välttämätön työkalu sekä pistokoeanalyyseihin että täydellisiin auditointeihin..

Aloittaminen: Vinkkejä ennen kuvakaappauksen ottamista Windowsissa

Jotta ensimmäiset Wireshark-tallenteet olisivat hyödyllisiä eivätkä ne päätyisi täyttymään epäolennaisesta kohinasta tai hämmentävästä datasta, on olemassa useita tärkeitä suosituksia, joita kannattaa noudattaa:

• Sulje tarpeettomat ohjelmatSulje taustaliikennettä tuottavat sovellukset (päivitykset, keskustelut, sähköpostiohjelmat, pelit jne.) ennen tallennuksen aloittamista. Tällä tavoin vältät epäolennaisen liikenteen sekoittamisen.
• Hallitse palomuuriaPalomuurit voivat estää tai muokata liikennettä. Harkitse sen väliaikaista poistamista käytöstä, jos haluat täydellisen kaappauksen.
• Tallenna vain se, mikä on olennaistaJos haluat analysoida tiettyä sovellusta, odota sekunti tai kaksi tallennuksen aloittamisen jälkeen ennen sovelluksen käynnistämistä ja tee sama sulkeessasi sitä ennen tallennuksen lopettamista.
• Tunne aktiivinen käyttöliittymäsiVarmista, että valitset oikean verkkokortin, varsinkin jos sinulla on useita sovittimia tai olet virtuaaliverkossa.

Noudattamalla näitä ohjeita kuvakaappauksesi ovat paljon siistimpiä ja hyödyllisempiä jatkoanalyysejä varten..

Wiresharkin suodattimet: Kuinka keskittyä siihen, millä on todella merkitystä

Yksi Wiresharkin tehokkaimmista ominaisuuksista on suodattimet. On olemassa kaksi perustyyppiä:

• TallennussuodattimetNe otetaan käyttöön ennen tallennuksen aloittamista, jolloin voit kerätä vain sinua kiinnostavan liikenteen alusta alkaen.
• Näytä suodattimet: Nämä koskevat jo siepattujen pakettien luetteloa, jolloin voit näyttää vain ne, jotka täyttävät kriteerisi.

Yleisimpiä suodattimia ovat:

• Protokollan mukaan: Suodattaa vain HTTP-, TCP-, DNS- jne. paketit.
• IP-osoitteen mukaanNäytä esimerkiksi vain tietystä IP-osoitteesta tai tietylle IP-osoitteelle lähetetyt paketit käyttämällä ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• Sataman mukaan: Rajoittaa tulokset tiettyyn porttiin (tcp.portti == 80).
• Tekstimerkkijonon mukaan: Paikantaa paketteja, joiden sisällössä on avainsana.
• MAC-osoitteen, paketin pituuden tai IP-alueen mukaan.

Lisäksi suodattimia voidaan yhdistää loogisten operaattoreiden (ja, or, emme) erittäin tarkkoja hakuja varten, kuten tcp.port == 80 ja ip.src == 192.168.1.1.

Mitä Wiresharkilla voi tallentaa ja analysoida Windowsissa?

Wireshark on pystyy tulkitsemaan yli 480 erilaista protokollaa, perusasiakkaista, kuten TCP, UDP, IP, sovelluskohtaisiin protokolliin, IoT:hen, VoIP:hen ja moniin muihin. Tämä tarkoittaa, että voit tutkia kaikenlaista verkkoliikennettä yksinkertaisista DNS-kyselyistä salattuihin SSH-istuntoihin, HTTPS-yhteyksiin, FTP-siirtoihin tai internet-puhelinliikenteen SIP-liikenteeseen.

Lisäksi, Wireshark tukee vakiomuotoisia tallennusmuotoja, kuten tcpdump (libpcap), pcapng ja muita., ja sen avulla voit pakata ja purkaa kuvakaappauksia lennossa GZIP-tiedostojen avulla tilan säästämiseksi. Salatun liikenteen (TLS/SSL, IPsec, WPA2 jne.) tapauksessa voit jopa purkaa datan salauksen ja tarkastella sen alkuperäistä sisältöä, jos sinulla on oikeat avaimet.

Yksityiskohtainen liikenteen seuranta: lisäsuosituksia

Ennen minkään tärkeän tiedonkeruun aloittamista noudata tätä protokollaa kerättyjen tietojen hyödyllisyyden maksimoimiseksi.:

• Valitse oikea käyttöliittymäNormaalisti aktiivinen sovitin on se, jota käytät yhteydellä. Jos sinulla on epäilyksiä, tarkista Windowsin verkkoasetuksista, kumpi on yhdistetty.
• Luo pohjaAvaa vain ne ohjelmat tai sovellukset, jotka tuottavat analysoitavaa liikennettä.
• Eristä ilmiöJos haluat analysoida sovellusliikennettä, noudata seuraavaa järjestystä: käynnistä sovellus tallennuksen aloittamisen jälkeen, suorita analysoitava toiminto ja sulje sovellus ennen tallennuksen lopettamista.
• Tallenna kuvakaappaus: Lopeta tallennus, siirry kohtaan Tiedosto > Tallenna ja valitse .pcap tai haluamasi tiedostomuoto.

Näin saat siistit ja helposti analysoitavat tiedostotilman mitään roskaliikennettä seassa.

Havainnollistavia esimerkkejä: liikenneanalyysi Wiresharkilla

Oletetaan, että lähiverkossasi on kaksi tietokonetta ja toinen niistä lakkaa käyttämästä internetiä. Voit käyttää Wiresharkia kaapataksesi liikennettä kyseiseltä koneelta. ja tarkista, onko DNS-osoitteiden selvittämisessä virheitä, eivätkö paketit saavuta reititintä tai estääkö palomuuri tietoliikennettä.

Toinen tyypillinen tapaus: havaita, jos verkkosivusto ei salaa kirjautumistasi oikein. Jos kirjaudut verkkosivustolle ilman HTTPS:ää ja käytät HTTP-suodatinta yhdessä käyttäjätunnuksesi kanssa, saatat jopa nähdä salasanasi kulkevan verkossa selkeästi, mikä on tosielämän esimerkki turvattomien verkkosivustojen riskeistä.

Wireshark ja turvallisuus: Riskit, hyökkäykset ja suojaustoimenpiteet

Wiresharkin teho on myös sen suurin riski: Väärissä käsissä se voi helpottaa tunnistetietojen kaappaamista, vakoilua tai paljastaa arkaluonteisia tietoja.. Tässä on joitakin uhkauksia ja suosituksia:

• Tunnistetietojen täyttö (tunnistetietojen raa'an voiman hyökkäykset)Jos tallennat SSH-, Telnet- tai muun palvelun liikennettä, saatat havaita automaattisia kirjautumisyrityksiä. Kiinnitä huomiota pidempiin istuntoihin (ne yleensä onnistuvat), pakettien kokoihin ja epäilyttävien kuvioiden havaitsemisyritysten määrään.
• Ulkoisen liikenteen riskiSuodata kaikki SSH-liikenne, joka ei tule sisäisestä verkostasi: jos näet yhteyksiä ulkopuolelta, ole valppaana!
• Selkotekstiset salasanatJos verkkosivusto lähettää salaamattomia käyttäjätunnuksia ja salasanoja, näet sen kuvakaappauksessa. Älä koskaan käytä Wiresharkia näiden tietojen hankkimiseen ulkomaisista verkoista. Muista, että sen tekeminen ilman lupaa on laitonta.
• Suostumus ja laillisuusAnalysoi liikennettä vain omista verkoista tai nimenomaisella valtuutuksella. Laki on tässä asiassa hyvin selkeä, ja väärinkäytöksillä voi olla vakavia seurauksia.
• Läpinäkyvyys ja etiikkaJos työskentelet yritysympäristössä, kerro käyttäjille analyysistä ja sen tarkoituksesta. Yksityisyyden kunnioittaminen on yhtä tärkeää kuin tekninen turvallisuus.

Wiresharkin vaihtoehdot: Muita verkkoanalyysin vaihtoehtoja

Wireshark on kiistaton viittaus, mutta on olemassa muita työkaluja, jotka voivat täydentää tai tietyissä tilanteissa korvata sen käytön:

• tcpdumpIhanteellinen Unix/Linux-ympäristöihin, toimii komentorivillä. Se on kevyt, nopea ja joustava nopeisiin kaappauksiin tai automatisoituihin tehtäviin.
• PilvihaiVerkkoalusta selaimesta kaapattujen pakettien lataamiseen, analysointiin ja jakamiseen. Erittäin hyödyllinen yhteistyöympäristöissä.
• SmartSniffWindows-keskeinen, helppokäyttöinen kohdennettuun kuvakaappaukseen ja asiakkaiden ja palvelimien välisten keskustelujen katseluun.
• ColaSoft CapsaGraafinen verkkoanalysaattori, joka erottuu edukseen yksinkertaisen käyttöliittymänsä ja erityisten porttiskannaus-, vienti- ja kompakti visualisointivaihtoehtojensa ansiosta.

Parhaan vaihtoehdon valinta riippuu erityistarpeistasi.nopeus, graafinen käyttöliittymä, verkkoyhteistyö tai yhteensopivuus tietyn laitteiston kanssa.

Lisäasetukset: Siepattu tila, näyttö ja nimenselvitys

Siveetön tila sallii verkkokortin kaapata ei vain hänelle tarkoitettuja paketteja, vaan kaikki liikenne, joka kulkee sen verkon läpi, johon se on yhdistetty. Se on ratkaisevan tärkeää yritysverkkojen, jaettujen keskittimien tai penetraatiotestausskenaarioiden analysoinnissa.

Siirry Windowsissa osoitteeseen Kuvaa > Asetukset, valitse käyttöliittymä ja valitse siveetön tila -ruutu. Muista, että Wi-Fi-verkoissa näet vain oman laitteesi liikenteen, lukuun ottamatta hyvin erityisiä laitteita.

Lisäksi, Nimenselvitys muuntaa IP-osoitteet luettaviksi verkkotunnuksiksi (esimerkiksi 8.8.8.8 osoitteessa google-public-dns-a.google.com). Voit ottaa tämän asetuksen käyttöön tai poistaa sen käytöstä kohdassa Muokkaa > Asetukset > Nimen tarkkuus. Se auttaa paljon laitteiden tunnistamisessa skannauksen aikana, vaikka se voi hidastaa prosessia, jos selvitettäviä osoitteita on useita.