Hoe Wireshark te brûken op Windows: In folsleine, praktyske en aktuele hantlieding

Hawwe jo ea ôffrege Wat bart der eins op jo netwurk as jo blêdzje, online spielje of ferbûne apparaten beheare? As jo ​​gewoan nijsgjirrich binne oer de mystearjes dy't op jo WiFi sirkulearje, of as jo gewoan in profesjoneel ark nedich binne om Analysearje netwurkferkear en ûntdek problemen mei jo ferbining, wis de namme fan Wireshark hat jo oandacht al lutsen.

No, yn dit artikel sille jo sûnder omwegen ûntdekke alle details oer WiresharkWat it is, wêrfoar it brûkt wurdt yn Windows, hoe't jo it ynstallearje kinne, en de bêste tips foardat jo begjinne mei it fêstlizzen fan gegevens. Litte wy deroan begjinne.

Wat is Wireshark? De titan fan netwurkanalyse ôfbrekke

Wireshark is de populêrste en erkende netwurkprotokolanalysator wrâldwiid.. Dit fergese, iepen boarne en krêftige ark lit jo ta al it netwurkferkear fêstlizze en ûndersykje dat troch jo kompjûter giet, of it no in Windows-, Linux-, macOS-masine is, of sels systemen lykas FreeBSD en Solaris. Mei Wireshark kinne jo, yn realtime of nei opname, krekt sjen hokker pakketten jo kompjûter yn- en útgeane, har boarne, bestimming, protokollen, en se sels opdiele om details fan elke laach te krijen neffens it OSI-model.

Oars as in protte analysators, Wireshark falt op troch syn yntuïtive grafyske ynterface, mar biedt ek in krêftige konsoleferzje mei de namme TShark foar dyjingen dy't de kommandorigel leaver hawwe of automatisearre taken moatte útfiere. De fleksibiliteit fan Wireshark It is sa dat it jo mooglik makket om in ferbining te analysearjen wylst jo blêdzje, profesjonele feiligenskontrôles út te fieren, netwurkknelpunten op te lossen, of fanôf it begjin te learen oer hoe't ynternetprotokollen wurkje, allegear fan jo eigen PC!

Download en ynstallearje Wireshark op Windows

It ynstallearjen fan Wireshark op Windows is in ienfâldich proses., mar it is oan te rieden om it stap foar stap te dwaan, sadat der gjin losse einen oerbliuwe, foaral oangeande tagongsrjochten en ekstra stjoerprogramma's foar de opname.

• Offisjele download: Tagong ta de offisjele Wireshark-webside en kies de Windows-ferzje (32 of 64 bits ôfhinklik fan jo systeem).
• Run de ynstallearder: Dûbelklik op it ynladen bestân en folgje de wizard. Akseptearje de standertopsjes as jo fragen hawwe.
• Essensjele sjauffeurs: Tidens de ynstallaasje sil de ynstallearder jo freegje ynstallearje Npcap. Dizze komponint is essensjeel, om't it jo netwurkkaart tastean om pakketten te fangen yn "promiskueuze" modus. Akseptearje syn ynstallaasje.
• Beëinigje en opnij starte: Sadree't it proses foltôge is, start jo kompjûter opnij op om te soargjen dat alle komponinten klear binne.

Klear! Jo kinne no Wireshark brûke fanút it Windows Startmenu. Tink derom dat dit programma faak bywurke wurdt, dus it is in goed idee om fan tiid ta tiid te kontrolearjen op nije ferzjes.

Hoe Wireshark wurket: Pakketfangst en werjefte

As jo ​​Wireshark iepenje, It earste ding dat jo sille sjen is de list mei alle netwurkynterfaces dy't beskikber binne op jo systeem.Bedrade netwurkkaarten, WiFi, en sels firtuele adapters as jo firtuele masines lykas VMware of VirtualBox brûke. Elk fan dizze ynterfaces fertsjintwurdiget in yngongs- of útgongspunt foar digitale ynformaasje.

Om te begjinnen mei it fêstlizzen fan gegevens, Jo hoege allinich dûbel te klikken op de winske ynterface. Sûnt dy tiid, Wireshark sil yn realtime alle pakketten werjaan dy't sirkulearje troch dy kaart, sortearje se op kolommen lykas pakketnûmer, fêstlizzenstiid, boarne, bestimming, protokol, grutte en ekstra details.

As jo ​​stopje wolle mei it opnimmen, druk dan op de reade Stopknop. Jo kinne jo opnamen bewarje yn .pcap-formaat foar lettere analyze, dielen of sels eksportearjen yn ferskate formaten (CSV, tekst, komprimearre, ensfh.). Dizze fleksibiliteit is wat makket Wireshark is in ûnmisber ark foar sawol spotanalyse as folsleine audits..

Begjinne: Tips foardat jo in skermôfbylding nimme yn Windows

Om te soargjen dat jo earste Wireshark-opnamen nuttich binne en net fol binne mei irrelevante rûs of betiizjende gegevens, binne d'r ferskate wichtige oanbefellings om te folgjen:

• Slút ûnnedige programma'sFoardat jo in opname begjinne, slút applikaasjes dy't eftergrûnferkear generearje (updates, petearen, e-postkliïnten, spultsjes, ensfh.). Op dizze manier foarkomme jo dat jo irrelevant ferkear mingje.
• Kontrolearje de firewallFirewalls kinne ferkear blokkearje of oanpasse. Oerwagje it tydlik út te skeakeljen as jo op syk binne nei in folsleine opname.
• Fang allinnich op wat relevant isAs jo ​​in spesifike app analysearje wolle, wachtsje dan in sekonde of twa nei it starten fan 'e opname om de app te starten, en doch itselde as jo it slute foardat jo de opname stopje.
• Ken jo aktive ynterfaceSoargje derfoar dat jo de juste netwurkkaart selektearje, foaral as jo meardere adapters hawwe of op in firtueel netwurk binne.

Troch dizze rjochtlinen te folgjen, sille jo skermôfbyldings folle skjinner en nuttiger wêze foar fierdere analyze..

Filters yn Wireshark: Hoe kinne jo jo rjochtsje op wat echt wichtich is

Ien fan 'e machtichste funksjes fan Wireshark binne de filters. Der binne twa basistypen:

• OpnamefiltersSe wurde tapast foardat se begjinne mei it fêstlizzen, wêrtroch jo allinich it ferkear kinne sammelje dat jo fan it begjin ôf ynteresseart.
• Filters werjaanDizze jilde foar de list mei pakketten dy't al fêstlein binne, wêrtroch jo allinich dejingen werjaan kinne dy't oan jo kritearia foldogge.

Under de meast foarkommende filters binne:

• Neffens protokolFilteret allinnich HTTP-, TCP-, DNS-, ensfh.-pakketten.
• Op IP-adresBygelyks, allinich pakketten fan of nei in spesifyk IP-adres werjaan mei ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• Per haven: Beheint resultaten ta in spesifike poarte (tcp.poarte == 80).
• Troch tekststring: Sykje pakketten dy't in kaaiwurd yn har ynhâld befetsje.
• Troch MAC-adres, pakketlingte of IP-berik.

Derneist kinne filters wurde kombineare mei logyske operators (en, or, net) foar tige krekte sykaksjes, lykas tcp.port == 80 en ip.src == 192.168.1.1.

Wat kinne jo fêstlizze en analysearje mei Wireshark op Windows?

Wireshark is yn steat om mear as 480 ferskillende protokollen te ynterpretearjen, fan basisprinsipes lykas TCP, UDP, IP, oant applikaasjespesifike protokollen, IoT, VoIP, en in protte oaren. Dit betsjut dat jo alle soarten netwurkferkear kinne ûndersykje, fan ienfâldige DNS-fragen oant fersifere SSH-sesjes, HTTPS-ferbiningen, FTP-oerdrachten of SIP-ferkear fan ynternettelefony.

Ek, Wireshark stipet standert opnameformaten lykas tcpdump (libpcap), pcapng en oaren, en lit jo skermôfbyldings ûnderweis komprimearje en dekomprimearje mei GZIP om romte te besparjen. Foar fersifere ferkear (TLS/SSL, IPsec, WPA2, ensfh.), as jo de juste kaaien hawwe, kinne jo sels de gegevens ûntsiferje en de orizjinele ynhâld besjen.

Detaillearre ferkearsregistraasje: ekstra oanbefellings

Folgje dit protokol foardat jo begjinne mei wichtige opnamen om it nut fan 'e sammele ynformaasje te maksimalisearjen.:

• Kies de juste ynterfaceNormaal sil jo aktive adapter dejinge wêze foar de ferbining dy't jo brûke. As jo ​​twifels hawwe, kontrolearje dan hokker ferbûn is fanút de Windows-netwurkynstellingen.
• Set it tafrielIepenje allinich de programma's of apps dy't it ferkear generearje dat jo analysearje wolle.
• Isolearje it ferskynselAs jo ​​app-ferkear analysearje wolle, folgje dan dizze folchoarder: start de app nei it starten fan 'e opname, fier de aksje út dy't jo analysearje wolle, en slút de app foardat jo de opname stopje.
• Bewarje it skermôfbylding: Stopje mei opnimmen, gean nei Triem > Bewarje en kies .pcap of jo foarkarsformaat.

Dit is hoe't jo krije sille skjin en maklik te analysearjen bestannen, sûnder rommelferkear deryn mingd.

Yllustrative foarbylden: ferkearsanalyse mei Wireshark

Lit ús sizze dat jo twa kompjûters op jo lokale netwurk hawwe en ien fan harren hat gjin tagong ta it ynternet mear. Jo kinne Wireshark brûke om ferkear fan dy masine te fangen. en sjoch oft der flaters binne by it oplossen fan DNS-adressen, oft pakketten de router net berikke, of oft in firewall kommunikaasje blokkearret.

In oar typysk gefal: detektearje as in webside jo oanmelding net goed fersiferet. As jo ​​​​​​ynlogge op in webside sûnder HTTPS en in HTTP-filter tapasse yn kombinaasje mei jo brûkersnamme, kinne jo sels jo wachtwurd sûnder problemen oer it netwurk sjen reizgje, in echte demonstraasje fan it risiko fan ûnfeilige websiden.

Wireshark en feiligens: risiko's, oanfallen en beskermjende maatregels

De krêft fan Wireshark is ek it grutste risiko: Yn 'e ferkearde hannen kin it it fêstlizzen fan ynloggegevens, spionaazje of it iepenbierjen fan gefoelige ynformaasje fasilitearje.. Hjir binne wat bedrigingen en oanbefellings:

• Credential stuffing (brute force-oanfallen fan credentials)As jo ​​SSH-, Telnet- of oare tsjinstferkear fêstlizze, kinne jo automatyske oanmeldpogingen fernimme. Jou omtinken oan langere sesjes (se binne meastentiids suksesfol), pakketgruttes en oantal pogingen om fertochte patroanen te detektearjen.
• Risiko fan ekstern ferkearFilterje alle SSH-ferkear dat net fan jo ynterne netwurk komt: as jo ferbiningen fan bûten sjogge, wês dan alert!
• Gewoane tekst wachtwurdenAs in webside net-fersifere brûkersnammen en wachtwurden trochstjoert, sille jo dat yn 'e skermôfbylding sjen. Brûk Wireshark noait om dizze gegevens te krijen op bûtenlânske netwurken. Tink derom dat it dwaan sûnder tastimming yllegaal is.
• Tastimming en wettichheid: Analysearret allinnich ferkear fan eigen netwurken of mei eksplisite autorisaasje. De wet is tige dúdlik op dit punt, en misbrûk kin serieuze gefolgen hawwe.
• Transparânsje en etykAs jo ​​yn in bedriuwsomjouwing wurkje, ynformearje brûkers dan oer de analyze en it doel dêrfan. Respekt foar privacy is like wichtich as technyske feiligens.

Wireshark-alternativen: Oare opsjes foar netwurkanalyse

Wireshark is de ûnbestriden referinsje, mar d'r binne oare ark dy't it gebrûk kinne oanfolje of, yn spesifike situaasjes, ferfange:

• tcpdumpIdeaal foar Unix/Linux-omjouwings, wurket op 'e kommandorigel. It is lichtgewicht, rap en fleksibel foar rappe opnamen of automatisearre taken.
• WolkenhaaiWebplatfoarm foar it uploaden, analysearjen en dielen fan pakketopnamen fanút de browser. Hiel nuttich foar gearwurkjende omjouwings.
• SmartSniffRjochte op Windows, maklik te brûken foar spot-captures en it besjen fan petearen tusken kliïnten en servers.
• ColaSoft CapsaGrafyske netwurkanalysator dy't opfalt troch de ienfâld fan syn ynterface en spesifike opsjes foar poartescannen, eksportearjen en kompakte fisualisaasje.

It kiezen fan it bêste alternatyf hinget ôf fan jo spesifike behoeften.: snelheid, grafyske ynterface, online gearwurking, of kompatibiliteit mei spesifike hardware.

Avansearre ynstellings: Promiskue modus, monitor en namme-resolúsje

Promiskue modus lit de netwurkkaart fêstlizze net allinnich de pakketten dy't foar har bedoeld wiene, mar al it ferkear dat troch it netwurk sirkulearret dêr't it mei ferbûn is. It is krúsjaal foar it analysearjen fan bedriuwsnetwurken, dielde hubs, of penetraasjetestscenario's.

Op Windows, gean nei Opnimme > Opsjes, selektearje de ynterface en kontrolearje it fakje foar promiskue modus. Hâld der rekken mei dat jo op Wi-Fi-netwurken, útsein hiel spesifike hardware, allinich ferkear fan jo eigen apparaat sille sjen.

Oan 'e oare kant, Namme-resolúsje konvertearret IP-adressen yn lêsbere domeinnammen (bygelyks, 8.8.8.8 yn google-public-dns-a.google.com). Jo kinne dizze opsje yn- of útskeakelje fia Bewurkje > Foarkarren > Namme-resolúsje. It helpt in protte om apparaten te identifisearjen tidens in scan, hoewol it it proses fertrage kin as der in protte adressen binne dy't oplost wurde.