Kako koristiti Wireshark za otkrivanje problema s mrežom

Ako radite u području umrežavanja, sigurnosti ili razvoja i želite razumjeti što se događa na vašim kabelima i Wi-Fi mreži, rad s Wireshark To je bitan element. Ovo analizator paketa otvorenog koda s desetljećima evolucije koja omogućuje hvatanje, analizu i proučavanje prometa na razini paketa s kirurškom preciznošću.

U ovom članku ga detaljno analiziramo: od licence i sponzorstva do paketa u GNU/Linuxu, uključujući konzolne uslužne programe, podržane formate, zahtjeve za kompajliranje, dozvole za snimanje i doista cjelovit povijesni i funkcionalni pregled.

Što je Wireshark i za što se danas koristi?

U biti, Wireshark je analizator protokola i uređaj za snimanje prometa što vam omogućuje da sučelje stavite u promiskuitetni ili nadzorni način rada (ako sustav to podržava) i pregledavate okvire koji se ne bi poslali na vaš Mac, analizirate razgovore, rekonstruirate tokove, obojite pakete prema pravilima i primijenite vrlo ekspresivne filtere prikaza. Nadalje, uključuje TShark (terminalna verzija) i skup uslužnih programa za zadatke poput promjene redoslijeda, dijeljenja, spajanja i pretvaranja snimaka zaslona.

Iako njegova upotreba podsjeća na tcpdump, pruža moderno grafičko sučelje temeljeno na Qt-u s filtriranje, sortiranje i dubinska disekcija za tisuće protokola. Ako ste na switchu, imajte na umu da promiskuitetni način rada ne jamči da ćete vidjeti sav promet: za potpune scenarije trebat će vam zrcaljenje portova ili mrežni prisluškivanja, što se u njihovoj dokumentaciji također spominje kao najbolja praksa.

Licenca, temelj i model razvoja

Wireshark se distribuira pod GNU GPL v2 i na mnogim mjestima, kao „GPL v2 ili noviji“. Neki uslužni programi u izvornom kodu licencirani su pod različitim, ali kompatibilnim licencama, poput alata pidl s GPLv3+, što ne utječe na rezultirajuću binarnu datoteku analizatora. Ne postoji izričito ili implicitno jamstvo; koristite ga na vlastitu odgovornost, kao što je uobičajeno kod slobodnog softvera.

La Zaklada Wireshark Koordinira razvoj i distribuciju. Oslanja se na donacije pojedinaca i organizacija čiji se rad temelji na Wiresharku. Projekt se može pohvaliti tisućama registriranih autora i povijesnih osoba poput Geralda Combsa, Gilberta Ramireza i Guya Harrisa među svojim najistaknutijim podupirateljima.

Wireshark radi na Linuxu, Windowsu, macOS-u i drugim Unix-sličnim sustavima (BSD, Solaris itd.). Službeni paketi izdaju se za Windows i macOS, a na GNU/Linuxu je obično uključen kao standardni ili dodatni paket u distribucijama kao što su Debian, Ubuntu, Fedora, CentOS, RHEL, Arch, Gentoo, openSUSE, FreeBSD, DragonFly BSD, NetBSD i OpenBSD. Također je dostupan na sustavima trećih strana kao što su Homebrew, MacPorts, pkgsrc ili OpenCSW.

Za kompajliranje iz koda trebat će vam Python 3; AsciiDoctor za dokumentaciju; i alati poput Perla i GNU flexa (klasični lex neće raditi). Konfiguracija pomoću CMakea omogućuje vam omogućavanje ili onemogućavanje određene podrške, na primjer, biblioteka za kompresiju s -DENABLE_ZLIB=ISKLJUČENO, -DENABLE_LZ4=ISKLJUČENO ili -DENABLE_ZSTD=ISKLJUČENOili libsmi podrška s -DENABLE_SMI=OFF ako ne želite učitavati MIB-ove.

Paketi i biblioteke u sustavima temeljenim na Debianu

U Debianu/Ubuntuu i derivativnim okruženjima, Wireshark ekosustav je podijeljen na više paketaU nastavku slijedi pregled značajki, približnih veličina i ovisnosti. Ovi paketi omogućuju vam odabir od potpunog grafičkog korisničkog sučelja do biblioteka i razvojnih alata za integraciju disekcija u vlastite aplikacije.

Wireshark

Grafička aplikacija za snimanje i analizu prometa s Qt sučeljem. Procijenjena veličina: 10.59 MBObjekt: sudo apt install wireshark

Ključne ovisnosti

• libc6, libgcc-s1, libstdc++6
• libgcrypt20, libglib2.0-0t64
• libpcap0.8t64
• Qt 6 (jezgra, grafičko sučelje, dodaci, multimedija, svg, podrška za ispis i QPA dodaci)
• libwireshark18, libwiretap15, libwsutil16
• libnl-3-200, libnl-genl-3-200, libnl-route-3-200
• libminizip1t64, libspeexdsp1, wireshark-common

Među njegovim opcijama pokretanja naći ćete parametre za odabir sučelja (-i), filteri za snimanje (-f), ograničenje snimke, način praćenja, popisi vrsta veza, filtri prikaza (-Y), „Dekodiraj kao“ i postavke, kao i formate izlaznih datoteka i komentare za snimanje. Aplikacija također omogućuje profiliranje i statistika konfiguracije napredne značajke iz sučelja.

morski pas

Konzolna verzija za snimanje i analizu iz naredbenog retka. Procijenjena veličina: 429 KBObjekt: sudo apt install tshark

Ključne ovisnosti

• libc6, libglib2.0-0t64
• libnl-3-200, libnl-ruta-3-200
• libpcap0.8t64
• libwireshark18, libwiretap15, libwsutil16
• wireshark-common

Omogućuje vam odabir sučelja, primjenu filtera za snimanje i prikaz, definiranje uvjeta zaustavljanja (vrijeme, veličina, broj paketa), korištenje kružnih međuspremnika, ispis detalja, heksadecimalnih i JSON ispisa podataka te izvoz TLS objekata i ključeva. Također može obojiti izlaz u kompatibilnom terminalu. prilagodi zapisivanje zapisnika po domenama i razinama detalja. Preporučuje se oprez ako omogućite BPF JIT na razini jezgre, jer to može imati sigurnosne implikacije.

wireshark-common

Uobičajene datoteke za wireshark i tshark (npr. rječnici, konfiguracije i linijski uslužni programi). Procijenjena veličina: 1.62 MBObjekt: sudo apt install wireshark-common

Ključne ovisnosti

• debconf (ili debconf-2.0), libc6
• libcap2 i libcap2-bin
• libgcrypt20, libglib2.0-0t64
• libpcap0.8t64, libpcre2-8-0
• libnl-3-200, libnl-genl-3-200, libnl-route-3-200
• libspeexdsp1, libssh-4, libsystemd0
• libmaxminddb0
• libwireshark18, libwiretap15, libwsutil16
• zlib1g

Ovaj paket uključuje uslužne programe kao što su capinfos (informacije o datoteci za snimanje: vrsta, enkapsulacija, trajanje, brzine, veličine, hash-ovi i komentari), vrsta kapitele (identificirati vrste datoteka), poklopac za odlaganje otpada (lagani uređaj za snimanje koji koristi pcapng/pcap s automatskim zaustavljanjem i kružnim međuspremnicima), uređivanje kapice (uređivanje/dijeljenje/pretvaranje snimaka, prilagođavanje vremenskih oznaka, uklanjanje duplikata, dodavanje komentara ili tajni), spajanje kapice (spajanje ili spajanje više snimaka), mmdbresolve (rješavanje IP geolokacije s MMDB bazama podataka), randpkt (generator sintetičkih paketa s više protokola), sirovi morski pas (gruba disekcija s terenskim rezultatima), ograničenje narudžbe (preslaganje prema vremenskoj oznaci), sharkd (demon s API-jem za obradu snimaka) i text2pcap (pretvori heksadecimalne izvode ili strukturirani tekst u valjane snimke).

libwireshark18 i libwireshark-data

Središnja biblioteka za analizu paketa. Pruža analizatore protokola koje koristi Wireshark/TShark. Približna veličina biblioteke: 126.13 MBObjekt: sudo apt install libwireshark18 y sudo apt install libwireshark-data

Značajni odjeli

• libc6, libglib2.0-0t64
• libgcrypt20, libgnutls30t64
• liblua5.4-0
• libpcre2-8-0
• libxml2-16
• zlib1g, libzstd1, liblz4-1, libsnappy1v5
• libnghttp2-14, libnghttp3-9
• libbrotli1
• libopus0, libsbc1, libspandsp2t64, libbcg729-0
• libcares2
• libk5crypto3, libkrb5-3
• libopencore-amrnb0
• libwiretap15, libwsutil16
• libwireshark-podaci

Uključuje podršku za velik broj protokola i opcija kao što su omogućavanje ili onemogućavanje određenih disekcija, heuristika i "Dekodiraj kao" iz sučelja ili naredbenog retka; zahvaljujući tome možete prilagoditi analiza stvarnog prometa vašeg okruženja.

libwiretap15 i libwiretap-dev

Wiretap je biblioteka za čitanje i pisanje više formata datoteka za snimanje. Njene snage su raznolikost formata koje podržava; njena ograničenja su: Ne filtrira niti vrši izravno snimanje.Objekt: sudo apt install libwiretap15 y sudo apt install libwiretap-dev

Podržani formati (izbor)

• libpcap
• Sniffer/Windows Sniffer Pro i NetXRay
• LANalyzer
• Mrežni monitor
• njuškati
• AIX iptrace
• RADCOM WAN/LAN
• Lucent/Uspon
• HP-UX nettl
• Toshibin ISDN ruter
• ISDN4BSD i4btrace
• Cisco Secure IDS iplogging
• Zapisnici pppd-a (pppdump)
• VMS TCPTRACE
• DBS Etherwatch (tekst)
• Katapult DCT2000 (.out)

ovisnosti libwiretap15

• libc6, libglib2.0-0t64
• liblz4-1, libzstd1, zlib1g
• libwsutil16

Varijanta -dev pruža statičku biblioteku i C zaglavlja za integraciju operacija čitanja/pisanja u vaše alate. To vam omogućuje razvoj uslužnih programa koji manipuliraju podacima. pcap, pcapng i ostali kontejneri kao dio naših vlastitih cjevovoda.

libwsutil16 i libwsutil-dev

Skup uslužnih programa koje dijele Wireshark i srodne biblioteke: pomoćne funkcije za manipulaciju stringovima, međuspremnik, šifriranje itd. Instalacija: sudo apt install libwsutil16 y sudo apt install libwsutil-dev

ovisnosti libwsutil16

• libc6
• libgcrypt20
• libglib2.0-0t64
• libgnutls30t64
• libpcre2-8-0
• zlib1g

Paket -dev uključuje zaglavlja i statičku biblioteku tako da vanjske aplikacije mogu povezivati ​​uobičajene uslužne programe bez ponovne implementacije kotača. To je temelj više dijeljenih funkcija koji koriste Wireshark i TShark.

Wireshark-dev

Alati i datoteke za stvaranje novih "disektora". Pruža skripte poput idl2wrs, kao i ovisnosti za kompajliranje i testiranje. Procijenjena veličina: 621 KBObjekt: sudo apt install wireshark-dev

gospodarske zgrade

• esnacc
• libc6
• libglib2.0-0t64
• libpcap0.8-dev
• libwireshark-dev
• libwiretap-dev
• libwsutil16
• omniidl
• python3 i python3-slojni

Ekskluzivan sadržaj - Kliknite ovdje  Kako ukloniti posljednji pristup WhatsApp-u

Uključuje uslužne programe kao što su asn2deb (generira Debian pakete za praćenje BER-a iz ASN.1) i idl2deb (paketi za CORBA-u). I, prije svega, idl2wrsOvaj alat transformira CORBA IDL u kostur C dodatka za analizu GIOP/IIOP prometa. Ovaj tijek rada oslanja se na Python skripte (wireshark_be.py i wireshark_gen.py) i prema zadanim postavkama podržava heurističku analizu. Alat pretražuje svoje module u PYTHONPATH/web-packages ili u trenutnom direktoriju i prihvaća preusmjeravanje datoteke za generiranje koda.

wireshark-doc

Korisnička dokumentacija, vodič za razvoj i Lua referenca. Procijenjena veličina: 13.40 MBObjekt: sudo apt install wireshark-doc

Preporučuje se ako želite dublje istražiti proširenja, skriptiranje i API-jiOnline dokumentacija na službenoj web stranici ažurira se sa svakom stabilnom verzijom.

Dozvole za hvatanje i osiguranje

U mnogim sustavima, izravno snimanje zahtijeva povišene privilegije. Zbog toga Wireshark i TShark delegiraju snimanje usluzi treće strane. poklopac za odlaganje otpadaBinarna datoteka dizajnirana za pokretanje s privilegijama (set-UID ili mogućnosti) kako bi se smanjila površina za napad. Pokretanje cijelog GUI-ja kao root nije dobra praksa; poželjnije je snimati s dumpcap ili tcpdump i analizirati bez privilegija kako bi se smanjili rizici.

Povijest projekta uključuje sigurnosne incidente u disektorima tijekom godina, a neke platforme poput OpenBSD-a su iz tog razloga ukinule staru instancu Ethereala. S trenutnim modelom, izolacija od snimanja i stalna ažuriranja poboljšavaju situaciju, ali uvijek je preporučljivo slijedite sigurnosne napomene A ako otkrijete sumnjivu aktivnost, znajte kako blokiranje sumnjivih mrežnih veza i izbjegavajte otvaranje nepouzdanih snimaka zaslona bez prethodnog pregleda.

Formati datoteka, kompresija i posebni fontovi

Wireshark čita i zapisuje pcap i pcapng, kao i formate iz drugih analizatora kao što su snoop, Network General Sniffer, Microsoft Network Monitor i mnogi koje je Wiretap gore naveo. Može otvoriti komprimirane datoteke ako su kompajlirane s bibliotekama za pcapng. GZIP, LZ4 i ZSTDPosebno, GZIP i LZ4 s neovisnim blokovima omogućuju brze skokove, poboljšavajući performanse GUI-ja u velikim snimkama.

Projekt dokumentira značajke poput AIX iptrace-a (gdje se HUP prema daemonu zatvara bez problema), podršku za Lucent/Ascend tragove, Toshiba ISDN ili CoSine L2 te pokazuje kako snimiti tekstualni izlaz u datoteku (npr. s telnet <equipo> | tee salida.txt ili pomoću alata rukopis) da biste ga kasnije uvezli pomoću text2pcap. Ove staze vas vode iz „konvencionalna“ snimanja kada koristite opremu koja se ne prevrće izravno preko PCAP-a.

Usluge i kategorije opcija apartmana

Uz Wireshark i TShark, distribucija uključuje nekoliko alata koji pokrivaju vrlo specifične zadatkeBez doslovnog prepisivanja teksta pomoći, evo sažetka organiziranog po kategorijama kako biste znali što svaka od njih radi i koje opcije ćete pronaći:

• poklopac za odlaganje otpada„čisto i jednostavno“ snimanje pcap/pcapng, odabir sučelja, BPF filteri, veličina međuspremnika, rotacija po vremenu/veličini/datotekama, stvaranje prstenastih međuspremnika, komentari o snimanju i izlaz u formatu strojno čitljivoUpozorava na aktiviranje JIT-a BPF-a zbog potencijalnih rizika.
• capinfosPrikazuje vrstu datoteke, enkapsulaciju, sučelja i metapodatke; broj paketa, veličinu datoteke, ukupnu duljinu, ograničenje snimki, kronologiju (prvi/zadnji), prosječne brzine (bps/Bps/pps), prosječnu veličinu paketa, hashove i komentare. Omogućuje tablični ili detaljni izlaz i strojno čitljive formate.
• vrsta kapitele: identificira vrstu datoteke za snimanje za jedan ili više unosa s opcijama pomoći i verzije.
• uređivanje kapiceOdabire/briše raspone paketa, spaja/sjecka, prilagođava vremenske oznake (uključujući strogi redoslijed), uklanja duplikate s konfiguriranim prozorima, dodaje komentare po okviru, dijeli izlaz prema broju ili vremenu, mijenja spremnik i enkapsulaciju, radi s tajnim šiframa za dešifriranje i komprimira izlaz. To je svestrani alat za "čišćenje" snimljenih podataka.
• spajanje kapice: kombinira više snimaka u jedan, bilo linearnim spajanjem ili miješanjem na temelju vremenskih oznaka, kontrolira Snaplen, definira vrstu izlaza, način spajanja IDB-ova i konačnu kompresiju.
• ograničenje narudžbe: preuređuje datoteku prema vremenskoj oznaci generirajući čist izlaz i, ako je već sortirana, može izbjeći pisanje rezultata radi uštede I/O operacija.
• text2pcap: pretvara heksadecimalne ispise ili tekst s regularnim izrazom u valjano snimanje; prepoznaje pomake u raznim bazama podataka, vremenske oznake s formatima strptime (uključujući frakcijsku preciznost), detektira priloženi ASCII ako je primjenjivo i može dodati "lažne" zaglavlja (Ethernet, IPv4/IPv6, UDP/TCP/SCTP, EXPORTED_PDU) s portovi, adrese i oznake naznačeno.
• sirovi morski pas: „sirovi“ čitač orijentiran na polje; omogućuje vam postavljanje protokola enkapsulacije ili disekcije, onemogućavanje razlučivanja imena, postavljanje filtera za čitanje/prikaz i odabir formata izlaza polja, korisno za cjevovod s drugim alatima.
• randpktGenerira datoteke sa slučajnim paketima tipova kao što su ARP, BGP, DNS, Ethernet, IPv4/IPv6, ICMP, TCP/UDP, SCTP, Syslog, USB-Linux itd., navodeći račun, maksimalnu veličinu i spremnik. Idealno za testovi i demonstracije.
• mmdbresolveUpiti MaxMind baze podataka (MMDB) za prikaz geolokacije IPv4/IPv6 adresa, navodeći jednu ili više datoteka baze podataka.
• sharkd: demon koji izlaže API (način rada „gold“) ili klasični socket (način rada „classic“); podržava konfiguracijske profile i njime upravljaju klijenti za analizu i pretraživanja na strani poslužitelja, korisno u automatizaciji i uslugama.

Arhitektura, karakteristike i ograničenja

Wireshark se oslanja na libpcap/Npcap za snimanje i na ekosustav biblioteka (libwireshark, libwiretap, libwsutil) koje odvajaju disekciju, formate i uslužne programe. Omogućuje detekciju VoIP poziva, reprodukciju zvuka u podržanim kodiranjima, snimanje sirovog USB prometa i filtriranje na Wi-Fi mrežama (ako prolaze kroz nadzirani Ethernet). dodaci za nove protokole napisan u C-u ili Lua-i. Također može primati enkapsulirani udaljeni promet (npr. TZSP) za analizu u stvarnom vremenu s drugog računala.

Nije IDS, niti izdaje upozorenja; njegova je uloga pasivna: pregledava, mjeri i prikazuje. Unatoč tome, pomoćni alati pružaju statistiku i tijekove rada, a materijali za obuku lako su dostupni (uključujući obrazovne aplikacije usmjerene na 2025. godinu koje podučavaju filtere, njuškanje, osnovno otiske OS-a, analizu u stvarnom vremenu, automatizaciju, šifrirani promet i integraciju s DevOps praksama). Ovaj obrazovni aspekt nadopunjuje osnovnu funkcionalnost dijagnoza i rješavanje problema.

Kompatibilnost i ekosustav

Platforme za izgradnju i testiranje uključuju Linux (Ubuntu), Windows i macOSProjekt također spominje široku kompatibilnost s dodatnim Unix-sličnim sustavima i distribuciju putem upravitelja trećih strana. U nekim slučajevima, starije verzije OS-a zahtijevaju prethodne grane (na primjer, Windows XP s verzijom 1.10 ili ranijom). Općenito, možete instalirati iz službenih repozitorija ili binarnih datoteka u većini okruženja bez većih problema.

Integriraju se s mrežnim simulatorima (ns, OPNET Modeler), a alati trećih strana (npr. Aircrack za 802.11) mogu se koristiti za izradu snimaka koje Wireshark otvara bez poteškoća. U ime stroga zakonitost i etikaImajte na umu da snimate samo na mrežama i u scenarijima za koje imate izričito ovlaštenje.

Naziv, službene web stranice i kontrolni podaci

Službena web stranica je wireshark.orgs preuzimanjima u poddirektoriju /download i online dokumentacijom za korisnike i razvojne programere. Postoje stranice s kontrola autoriteta (npr. GND) i popisi poveznica na repozitorij koda, praćenje grešaka i blog projekta, korisni za praćenje novosti i izvještavanje o problemima.

Prije nego što započnete snimanje, provjerite dopuštenja i mogućnosti vašeg sustava, odlučite hoćete li koristiti dumpcap/tcpdump za ispis na disk i analizu bez privilegija te pripremite filtere za snimanje i prikaz u skladu s vašim ciljem. Uz dobru metodologiju, Wireshark pojednostavljuje kompleks i daje vam točno potrebne informacije. Vidljivost koja vam je potrebna za dijagnosticiranje, učenje ili reviziju mreža bilo koje veličine.