Kako koristiti Wireshark na Windowsima: Potpun, praktičan i ažuriran vodič

Jeste li se ikad zapitali Što se zapravo događa na vašoj mreži kada pregledavate internet, igrate se online ili upravljate povezanim uređajima? Ako ste jednostavno znatiželjni o misterijama koje kruže vašim WiFi-jem ili vam je jednostavno potreban profesionalni alat za... Analizirajte mrežni promet i otkrijte probleme s vašom vezom, sigurno ime Wireshark već je privuklo tvoju pažnju.

Pa, u ovom članku ćete otkriti bez zaobilaznih puteva svi detalji o WiresharkuŠto je to, za što se koristi u sustavu Windows, kako ga instalirati i najbolji savjeti prije nego što počnete snimati podatke. Idemo na to.

Što je Wireshark? Razbijanje titana mrežne analize

Wireshark je najpopularniji i najpriznatiji analizator mrežnih protokola u svijetu.. Ovaj besplatni, otvoreni i moćan alat omogućuje vam da uhvatiti i ispitati sav mrežni promet koji prolazi kroz vaše računalo, bilo da se radi o Windows, Linux, macOS računalu ili čak sustavima poput FreeBSD-a i Solarisa. Pomoću Wiresharka možete vidjeti, u stvarnom vremenu ili nakon snimanja, točno koji paketi ulaze i izlaze iz vašeg računala, njihov izvor, odredište, protokole, pa čak i raščlaniti ih kako biste dobili detalje svakog sloja prema OSI modelu.

Za razliku od mnogih analizatora, Wireshark se ističe svojim intuitivnim grafičkim sučeljem, ali nudi i moćnu konzolnu verziju pod nazivom TShark za one koji preferiraju komandnu liniju ili trebaju izvršavati automatizirane zadatke. Fleksibilnost Wiresharka To je takvo da vam omogućuje analizu veze dok pregledavate internet, provođenje profesionalnih sigurnosnih revizija, rješavanje uskih grla u mreži ili učenje od nule o tome kako internetski protokoli funkcioniraju, sve s vašeg vlastitog računala!

Preuzmite i instalirajte Wireshark na Windowsima

Instaliranje Wiresharka na Windows je jednostavan proces., ali preporučljivo je to raditi korak po korak kako ne bi ostalo ništa nedovršeno, posebno u vezi s dozvolama i dodatnim upravljačkim programima za snimanje.

• Službeno preuzimanje: Pristup službena Wiresharkova web stranica i odaberite verziju sustava Windows (32 ili 64 bita, ovisno o vašem sustavu).
• Pokrenite instalacijski program: Dvaput kliknite preuzetu datoteku i slijedite upute čarobnjaka. Prihvatite zadane opcije ako imate bilo kakvih pitanja.
• Bitni pokretači: Tijekom instalacije, instalater će vas pitati instalirajte Npcap. Ova komponenta je bitna jer omogućuje vašoj mrežnoj kartici hvatanje paketa u "promiskuitetnom" načinu rada. Prihvatite njegovu instalaciju.
• Prekini i ponovno pokreni: Nakon što je postupak završen, ponovno pokrenite računalo kako biste bili sigurni da su sve komponente spremne.

Spreman! Sada možete početi koristiti Wireshark iz izbornika Start sustava Windows. Imajte na umu da se ovaj program često ažurira, stoga je dobro s vremena na vrijeme provjeriti ima li novih verzija.

Kako Wireshark radi: Snimanje i prikaz paketa

Kada otvorite Wireshark, Prvo što ćete vidjeti je popis svih mrežnih sučelja dostupnih na vašem sustavu.Žične mrežne kartice, WiFi, pa čak i virtualni adapteri ako koristite virtualne strojeve poput VMwarea ili VirtualBoxa. Svako od ovih sučelja predstavlja ulaznu ili izlaznu točku za digitalne informacije.

Za početak prikupljanja podataka, Samo trebate dvaput kliknuti na željeno sučelje. Od tad, Wireshark će u stvarnom vremenu prikazivati ​​sve pakete koji cirkuliraju prema toj kartici, sortirajući ih po stupcima kao što su broj paketa, vrijeme snimanja, izvor, odredište, protokol, veličina i dodatni detalji.

Kada želite zaustaviti snimanje, pritisnite crveni gumb Stop. Snimke možete spremiti u .pcap formatu za kasniju analizu, dijeljenje ili čak izvoz u raznim formatima (CSV, tekst, komprimirani itd.). Ta fleksibilnost je ono što čini Wireshark je nezamjenjiv alat i za analizu na licu mjesta i za potpune revizije..

Početak: Savjeti prije snimanja zaslona u sustavu Windows

Kako biste osigurali da vaši prvi Wireshark snimci budu korisni i da ne budu ispunjeni nebitnom bukom ili zbunjujućim podacima, postoji nekoliko ključnih preporuka kojih se treba pridržavati:

• Zatvorite nepotrebne programePrije početka snimanja zatvorite aplikacije koje generiraju pozadinski promet (ažuriranja, chatove, klijente e-pošte, igre itd.). Na ovaj način ćete izbjeći miješanje nebitnog prometa.
• Kontrolirajte vatrozidZaštitni zidovi mogu blokirati ili mijenjati promet. Razmislite o privremenom onemogućavanju ako tražite potpuni snimak.
• Zabilježi samo ono što je relevantnoAko želite analizirati određenu aplikaciju, pričekajte sekundu ili dvije nakon pokretanja snimanja da biste pokrenuli aplikaciju i učinite isto prilikom zatvaranja prije zaustavljanja snimanja.
• Poznajte svoje aktivno sučeljeProvjerite jeste li odabrali ispravnu mrežnu karticu, posebno ako imate više adaptera ili ste na virtualnoj mreži.

Slijedeći ove smjernice, vaše će snimke zaslona biti puno čišće i korisnije za daljnju analizu..

Filteri u Wiresharku: Kako se usredotočiti na ono što je zaista važno

Jedna od najmoćnijih značajki Wiresharka su filteri. Postoje dvije osnovne vrste:

• Filteri za snimanje: Primjenjuju se prije početka snimanja, što vam omogućuje prikupljanje samo prometa koji vas zanima od samog početka.
• Filtri prikaza: Ovo se odnosi na popis već snimljenih paketa, što vam omogućuje prikaz samo onih koji zadovoljavaju vaše kriterije.

Među najčešćim filterima su:

• Po protokoluFiltrira samo HTTP, TCP, DNS itd. pakete.
• Po IP adresiNa primjer, prikažite samo pakete od ili do određene IP adrese pomoću ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• Po luciOgraničava rezultate na određeni port (tcp.port == 80).
• Po tekstualnom nizu: Locira pakete koji sadrže ključnu riječ u svom sadržaju.
• Po MAC adresi, duljini paketa ili IP rasponu.

Osim toga, filteri se mogu kombinirati s logičkim operatorima (i, or, ne) za vrlo precizne pretrage, kao što su tcp.port == 80 i ip.src == 192.168.1.1.

Što možete snimiti i analizirati pomoću Wiresharka na Windowsima?

Wireshark je sposoban interpretirati više od 480 različitih protokola, od osnova poput TCP-a, UDP-a, IP-a, do protokola specifičnih za aplikacije, IoT-a, VoIP-a i mnogih drugih. To znači da možete ispitati sve vrste mrežnog prometa, od jednostavnih DNS upita do šifriranih SSH sesija, HTTPS veza, FTP prijenosa ili SIP prometa s internetske telefonije.

Osim toga, Wireshark podržava standardne formate snimanja kao što su tcpdump (libpcap), pcapng i drugi, i omogućuje vam komprimiranje i dekomprimiranje snimaka zaslona u hodu pomoću GZIP-a radi uštede prostora. Za šifrirani promet (TLS/SSL, IPsec, WPA2, itd.), ako imate odgovarajuće ključeve, možete čak i dešifrirati podatke i vidjeti njihov izvorni sadržaj.

Detaljno snimanje prometa: dodatne preporuke

Prije početka bilo kakvog važnog snimanja, slijedite ovaj protokol kako biste maksimizirali korisnost prikupljenih informacija.:

• Odaberite pravo sučeljeObično će vaš aktivni adapter biti onaj za vezu koju koristite. Ako imate bilo kakvih nedoumica, provjerite koji je od njih spojen u mrežnim postavkama sustava Windows.
• Postavite scenuOtvorite samo programe ili aplikacije koje će generirati promet koji želite analizirati.
• Izolirajte fenomenAko želite analizirati promet aplikacije, slijedite ovaj redoslijed: pokrenite aplikaciju nakon pokretanja snimanja, izvršite radnju koju želite analizirati i zatvorite aplikaciju prije zaustavljanja snimanja.
• Spremite snimak zaslona: Zaustavite snimanje, idite na Datoteka > Spremi i odaberite .pcap ili željeni format.

Ovako ćeš dobiti čiste i jednostavne za analizu datoteke, bez ikakvog neželjenog prometa.

Ilustrativni primjeri: analiza prometa pomoću Wiresharka

Recimo da imate dva računala u lokalnoj mreži i jedno od njih prestaje pristupati internetu. Možete koristiti Wireshark za hvatanje prometa s tog računala. i provjerite ima li pogrešaka u rješavanju DNS adresa, ne dopiru li paketi do usmjerivača ili blokira li komunikaciju vatrozid.

Još jedan tipičan slučaj: otkriti ako web-mjesto ne šifrira ispravno vašu prijavu. Ako se prijavite na web-stranicu bez HTTPS-a i primijenite HTTP filtar u kombinaciji s korisničkim imenom, možda ćete čak vidjeti i svoju lozinku kako putuje mrežom u čistom obliku, što je stvarna demonstracija rizika nesigurnih web-stranica.

Wireshark i sigurnost: Rizici, napadi i zaštitne mjere

Wiresharkova snaga je ujedno i njegov najveći rizik: U pogrešnim rukama može olakšati krađu vjerodajnica, špijunažu ili otkriti osjetljive informacije.. Evo nekih prijetnji i preporuka:

• Napadi grubom silom (credential stuffing)Ako snimate SSH, Telnet ili promet drugih usluga, možete primijetiti automatske pokušaje prijave. Obratite pozornost na dulje sesije (obično su uspješne), veličine paketa i broj pokušaja otkrivanja sumnjivih obrazaca.
• Rizik od vanjskog prometaFiltrirajte sav SSH promet koji ne dolazi iz vaše interne mreže: ako vidite veze izvana, budite oprezni!
• Lozinke u običnom tekstuAko web-stranica prenosi nešifrirana korisnička imena i lozinke, to ćete vidjeti na snimci zaslona. Nikada nemojte koristiti Wireshark za dobivanje ovih podataka na stranim mrežama. Imajte na umu da je to učiniti bez dopuštenja nezakonito.
• Privola i zakonitostAnalizira samo promet iz vlastitih mreža ili s izričitom autorizacijom. Zakon je po tom pitanju vrlo jasan, a zlouporaba može imati ozbiljne posljedice.
• Transparentnost i etikaAko radite u korporativnom okruženju, obavijestite korisnike o analizi i njezinoj svrsi. Poštovanje privatnosti jednako je važno kao i tehnička sigurnost.

Alternative za Wireshark: Druge mogućnosti za analizu mreže

Wireshark je neosporna referenca, ali postoje i drugi alati koji mogu nadopuniti ili, u određenim situacijama, zamijeniti njegovu upotrebu:

• tcpdumpIdealno za Unix/Linux okruženja, radi iz komandne linije. Lagan je, brz i fleksibilan za brzo snimanje ili automatizirane zadatke.
• CloudsharkWeb platforma za prijenos, analizu i dijeljenje snimljenih paketa iz preglednika. Vrlo korisno za kolaborativna okruženja.
• SmartSniffFokusirano na Windows, jednostavno za korištenje za snimanje točaka i pregled razgovora između klijenata i poslužitelja.
• ColaSoft CapsaGrafički mrežni analizator koji se ističe jednostavnošću sučelja i specifičnim opcijama za skeniranje portova, izvoz i kompaktnu vizualizaciju.

Odabir najbolje alternative ovisi o vašim specifičnim potrebama.brzina, grafičko sučelje, online suradnja ili kompatibilnost sa specifičnim hardverom.

Napredne postavke: Promiskuitetni način rada, monitor i razlučivanje imena

Promiskuitetni način rada omogućuje mrežnoj kartici snimanje ne samo paketi namijenjeni njoj, već sav promet koji cirkulira kroz mrežu na koju je spojen. Ključno je za analizu korporativnih mreža, dijeljenih čvorišta ili scenarija testiranja prodora.

U sustavu Windows idite na Snimanje > Opcije, odaberite sučelje i označite okvir promiskuitetnog načina rada. Imajte na umu da ćete na Wi-Fi mrežama, osim na vrlo specifičnom hardveru, vidjeti promet samo s vlastitog uređaja.

Nadalje, Razrješavanje imena pretvara IP adrese u čitljiva imena domena (na primjer, 8.8.8.8 u google-public-dns-a.google.com). Ovu opciju možete omogućiti ili onemogućiti u Uredi > Postavke > Razlučivanje imena. Puno pomaže u identifikaciji uređaja tijekom skeniranja, iako može usporiti proces ako se rješava mnogo adresa.