Hogyan használjuk a Wiresharkot hálózati problémák észlelésére

Ha hálózatépítéssel, biztonsággal vagy fejlesztéssel foglalkozol, és szeretnéd megérteni, mi történik a kábeleiden és a Wi-Fi-hálózatodon, akkor a ...-val/-vel való együttműködés... Wireshark Ez egy alapvető elem. nyílt forráskódú csomagelemző évtizedes fejlődéssel, amely lehetővé teszi a forgalom csomagszintű rögzítését, elemzését és tanulmányozását sebészi pontossággal.

Ebben a cikkben részletesen elemezzük: a licencétől és a szponzorációjától kezdve a GNU/Linux csomagokig, beleértve a konzol segédprogramokat, a támogatott formátumokat, a fordítási követelményeket, a rögzítési engedélyeket és egy valóban teljes történelmi és funkcionális áttekintést.

Mi az a Wireshark, és mire használják manapság?

Lényegében a Wireshark egy protokoll analizátor és forgalomrögzítő eszköz amely lehetővé teszi, hogy egy interfészt promiszkuitásos vagy monitor módba állítson (ha a rendszer támogatja), és megtekinthesse azokat a kereteket, amelyeket nem küldenének el a Mac-jére, elemezze a beszélgetéseket, rekonstruálja a folyamatokat, szabályok szerint színezze a csomagokat, és nagyon kifejező megjelenítési szűrőket alkalmazzon. Továbbá, tartalmazza a TShark-ot (terminál verzió) és egy sor segédprogram olyan feladatokhoz, mint a képernyőképek átrendezése, felosztása, egyesítése és konvertálása.

Bár a használata a tcpdump-ra emlékeztet, modern, Qt-alapú grafikus felületet biztosít szűrés, válogatás és mélyreható boncolás több ezer protokollhoz. Ha switchet használsz, ne feledd, hogy a promiszkuitási mód nem garantálja, hogy az összes forgalmat látni fogod: a teljes forgatókönyvhöz porttükrözésre vagy hálózati lehallgatásra lesz szükséged, amelyeket a dokumentációjuk is bevált gyakorlatként említ.

Licenc, alapítvány és fejlesztési modell

A Wireshark a következő címen érhető el: GNU GPL v2 és sok helyen „GPL v2 vagy újabb” néven. A forráskódban található egyes segédprogramok eltérő, de kompatibilis licencek alatt érhetők el, például a pidl eszköz GPLv3+ licenccel, amely nem befolyásolja az analizátorból származó bináris fájlt. Nincs kifejezett vagy hallgatólagos garancia; a szabad szoftverek esetében szokásos módon saját felelősségre használja.

La Wireshark Alapítvány Koordinálja a fejlesztést és a terjesztést. Magánszemélyek és szervezetek adományaira támaszkodik, akiknek a munkája a Wireshark-en alapul. A projekt több ezer regisztrált szerzővel és történelmi személyiséggel büszkélkedhet, mint például Gerald Combs, Gilbert Ramirez és Guy Harris, a legkiemelkedőbb támogatói között.

A Wireshark Linux, Windows, macOS és más Unix-szerű rendszereken (BSD, Solaris stb.) fut. Hivatalos csomagok jelennek meg Windows és macOS rendszerre, GNU/Linux rendszeren pedig általában standard vagy kiegészítő csomagként szerepel olyan disztribúciókban, mint a Debian, Ubuntu, Fedora, CentOS, RHEL, Arch, Gentoo, openSUSE, FreeBSD, DragonFly BSD, NetBSD és OpenBSD. Harmadik féltől származó rendszereken is elérhető, mint például Homebrew, MacPorts, pkgsrc vagy OpenCSW.

Kódból való fordításhoz Python 3-ra, AsciiDoctorra a dokumentációhoz, valamint olyan eszközökre lesz szükséged, mint a Perl és a GNU flex (a klasszikus lex nem működik). A CMake használatával történő konfiguráció lehetővé teszi bizonyos támogatások engedélyezését vagy letiltását, például a tömörítési könyvtárakat a következőkkel: -DENABLE_ZLIB=KI, -DENABLE_LZ4=KI vagy -DENABLE_ZSTD=KI, vagy libsmi támogatás a -DENABLE_SMI=OFF kapcsolóval, ha nem szeretné betölteni a MIB-eket.

Csomagok és könyvtárak Debian-alapú rendszerekben

A Debian/Ubuntu és származtatott környezetekben a Wireshark ökoszisztéma a következőkre oszlik: több csomagAz alábbiakban a funkciók, a hozzávetőleges méretek és a függőségek részletes leírását találod. Ezek a csomagok lehetővé teszik, hogy a teljes grafikus felhasználói felülettől a könyvtárakig és fejlesztőeszközökig választhass, amelyekkel a boncolásokat integrálhatod saját alkalmazásaidba.

wireshark

Grafikus alkalmazás forgalom rögzítésére és elemzésére Qt felülettel. Becsült méret: 10.59 MBLétesítmény: sudo apt install wireshark

Kulcsfontosságú függőségek

• libc6, libgcc-s1, libstdc++6
• libgcrypt20, libglib2.0-0t64
• libpcap0.8t64
• Qt 6 (mag, grafikus felhasználói felület, widgetek, multimédia, svg, nyomtatástámogatás és QPA bővítmények)
• libwireshark18, libwiretap15, libwsutil16
• libnl-3-200, libnl-genl-3-200, libnl-route-3-200
• libminizip1t64, libspeexdsp1, wireshark-common

Az indítási lehetőségek között paramétereket talál a felület kiválasztásához (-i), rögzítési szűrők (-f), pillanatfelvétel-korlát, monitor mód, hivatkozástípus-listák, megjelenítési szűrők (-Y), a „Dekódolás másként” és a beállítások, valamint a fájlkimeneti formátumok és a megjegyzések rögzítése. Az alkalmazás lehetővé teszi a következőket is: konfigurációs profilalkotás és statisztikák fejlett funkciók a felületről.

cápa

Konzol verzió parancssori rögzítéshez és elemzéshez. Becsült méret: 429 KBLétesítmény: sudo apt install tshark

Kulcsfontosságú függőségek

• libc6, libglib2.0-0t64
• libnl-3-200, libnl-route-3-200
• libpcap0.8t64
• libwireshark18, libwiretap15, libwsutil16
• wireshark-common

Lehetővé teszi interfészek kiválasztását, rögzítési és megjelenítési szűrők alkalmazását, leállítási feltételek (idő, méret, csomagok száma) meghatározását, körkörös pufferek használatát, részletek nyomtatását, hex és JSON dump-okat, valamint TLS objektumok és kulcsok exportálását. Emellett képes a kimenet színezésére is egy kompatibilis terminálon. naplózás beállítása tartományok és részletességi szintek szerint. Óvatosan kell eljárni, ha kernel szinten engedélyezi a BPF JIT-et, mivel biztonsági következményekkel járhat.

wireshark-common

Gyakori fájlok a Wireshark és a tshark programhoz (pl. szótárak, konfigurációk és segédprogramok). Becsült méret: 1.62 MBLétesítmény: sudo apt install wireshark-common

Kulcsfontosságú függőségek

• debconf (vagy debconf-2.0), libc6
• libcap2 és libcap2-bin
• libgcrypt20, libglib2.0-0t64
• libpcap0.8t64, libpcre2-8-0
• libnl-3-200, libnl-genl-3-200, libnl-route-3-200
• libspeexdsp1, libssh-4, libsystemd0
• libmaxminddb0
• libwireshark18, libwiretap15, libwsutil16
• zlib1g

Ez a csomag olyan segédprogramokat tartalmaz, mint például capinfos (rögzített fájlinformációk: típus, beágyazás, időtartam, sebességek, méretek, hashek és megjegyzések), fejtípus (fájltípusok azonosítása), szemétlerakó kupak (könnyű rögzítőeszköz, amely pcapng/pcap protokollt használ automatikus leállítással és kör alakú pufferekkel), szerkesztőfólia (felvételek szerkesztése/felosztása/konvertálása, időbélyegek módosítása, ismétlődések eltávolítása, megjegyzések vagy titkos kódok hozzáadása), egyesülési tőke (több felvétel egyesítése vagy összefűzése), mmdbresolve (IP-geolokáció feloldása MMDB adatbázisokkal), randpkt (többprotokollos szintetikus csomaggenerátor), nyerscápa (nyers boncolási minta terepi eredményekkel), újrarendelési korlát (újrarendezés időbélyeg szerint), cápa (démon API-val a rögzítések feldolgozásához) és text2pcap (hexdump fájlok vagy strukturált szövegek konvertálása érvényes rögzítésekké).

libwireshark18 és libwireshark-data

Központi csomagbontó könyvtár. A Wireshark/TShark által használt protokoll analizátorokat biztosítja. Hozzávetőleges könyvtárméret: 126.13 MBLétesítmény: sudo apt install libwireshark18 y sudo apt install libwireshark-data

Nevezetes osztályok

• libc6, libglib2.0-0t64
• libgcrypt20, libgnutls30t64
• liblua5.4-0
• libpcre2-8-0
• libxml2-16
• zlib1g, libzstd1, liblz4-1, libsnappy1v5
• libnghttp2-14, libnghttp3-9
• libbrotli1
• libopus0, libsbc1, libspandsp2t64, libbcg729-0
• libcares2
• libk5crypto3, libkrb5-3
• libopencore-amrnb0
• libwiretap15, libwsutil16
• libwireshark-adatok

Számos protokollt és opciót támogat, például bizonyos felbontások, heurisztikák engedélyezését vagy letiltását, valamint a „Dekódolás másként” funkciót a felületről vagy a parancssorból; ennek köszönhetően testreszabhatja a a valós forgalom boncolgatása a környezetedről.

libwiretap15 és libwiretap-dev

A Wiretap egy olyan könyvtár, amely többféle rögzítési fájlformátum olvasására és írására szolgál. Erőssége a támogatott formátumok sokfélesége; korlátai a következők: Nem szűr és nem végez közvetlen rögzítést.Létesítmény: sudo apt install libwiretap15 y sudo apt install libwiretap-dev

Támogatott formátumok (kiválasztás)

• libpcap
• Sniffer/Windows Sniffer Pro és NetXRay
• LANalyzer
• Hálózati monitor
• szaglász
• AIX iptrace
• RADCOM WAN/LAN
• Lucent/Ascend
• HP-UX hálózat
• Toshiba ISDN router
• ISDN4BSD i4btrace
• Cisco Secure IDS iplogolás
• pppd naplók (pppdump)
• VMS TCPTRACE
• DBS Etherwatch (szöveg)
• Catapult DCT2000 (.kimenet)

libwiretap15 függőségek

• libc6, libglib2.0-0t64
• liblz4-1, libzstd1, zlib1g
• libwsutil16

A -dev variáns biztosítja a statikus könyvtárat és a C fejléceket az olvasási/írási műveletek integrálásához az eszközeidbe. Ez lehetővé teszi olyan segédprogramok fejlesztését, amelyek adatokat manipulálnak. pcap, pcapng és egyéb tartályok saját csővezetékeink részeként.

libwsutil16 és libwsutil-dev

A Wireshark és a kapcsolódó könyvtárak által megosztott segédprogramok halmaza: segédfüggvények karakterlánc-manipulációhoz, puffereléshez, titkosításhoz stb. Telepítés: sudo apt install libwsutil16 y sudo apt install libwsutil-dev

libwsutil16 függőségek

• libc6
• libgcrypt20
• libglib2.0-0t64
• libgnutls30t64
• libpcre2-8-0
• zlib1g

A -dev csomag fejléceket és egy statikus könyvtárat tartalmaz, így a külső alkalmazások a kerekek újratervezése nélkül is összekapcsolhatják a gyakori segédprogramokat. Ez a csomag alapja. több megosztott funkció amelyek Wiresharkot és TSharkot használnak.

wireshark-dev

Eszközök és fájlok új "boncok" létrehozásához. Szkripteket biztosít, mint például az idl2wrs, valamint függőségeket a fordításhoz és teszteléshez. Becsült méret: 621 KBLétesítmény: sudo apt install wireshark-dev

gazdasági épületek

• esnacc
• libc6
• libglib2.0-0t64
• libpcap0.8-dev
• libwireshark-dev
• libwiretap-dev
• libwsutil16
• omniidl
• python3 és python3-ply

Exkluzív tartalom – Kattintson ide  BÉPO: a francia billentyűzet

Olyan közműveket tartalmaz, mint asn2deb (Debian csomagokat generál BER monitorozáshoz ASN.1-ből) és idl2deb (csomagok CORBA-hoz). És mindenekelőtt, idl2wrsEz az eszköz egy CORBA IDL-t alakít át egy C plugin vázává a GIOP/IIOP forgalom feldolgozásához. Ez a munkafolyamat Python szkriptekre (wireshark_be.py és wireshark_gen.py) támaszkodik, és alapértelmezés szerint támogatja a heurisztikus feldolgozást. Az eszköz a moduljait a következő helyen keresi: PYTHONPATH/site-packages vagy az aktuális könyvtárban, és elfogadja a fájlátirányítást a kód létrehozásához.

wireshark-doc

Felhasználói dokumentáció, fejlesztői útmutató és Lua referencia. Becsült méret: 13.40 MBLétesítmény: sudo apt install wireshark-doc

Ajánlott, ha mélyebben beleásnád magad a témába bővítmények, szkriptek és API-kA hivatalos weboldalon található online dokumentáció minden stabil verzióval frissül.

Befogási és biztonsági engedélyek

Sok rendszerben a közvetlen rögzítéshez emelt szintű jogosultságok szükségesek. Emiatt a Wireshark és a TShark egy harmadik féltől származó szolgáltatásra delegálja a rögzítést. szemétlerakó kupakEgy jogosultságokkal (set-UID vagy capabilities) futtatható bináris fájl a támadási felület minimalizálása érdekében. A teljes grafikus felület root felhasználóként való futtatása nem ajánlott; a kockázatok csökkentése érdekében célszerűbb a dumpcap vagy tcpdump segítségével rögzíteni és jogosultságok nélkül elemezni.

A projekt történetében az évek során előfordultak biztonsági incidensek a diszektorokban, és egyes platformok, mint például az OpenBSD, emiatt kivonták a régi Ethereal példányt. A jelenlegi modellel az elkülönítés a rögzítéstől és az állandó frissítések javítják a helyzetet, de mindig ajánlott... kövesse a biztonsági utasításokat És ha gyanús tevékenységet észlel, tudja, hogyan gyanús hálózati kapcsolatok blokkolása és kerülje a nem megbízható képernyőképek megnyitását előzetes ellenőrzés nélkül.

Fájlformátumok, tömörítés és speciális betűtípusok

A Wireshark olvassa és írja a pcap és pcapng fájlokat, valamint más elemzők, például a Snoop, a Network General Sniffer, a Microsoft Network Monitor és a Wiretap által fent felsorolt ​​számos formátumot. Meg tudja nyitni a tömörített fájlokat, ha azokat pcapng könyvtárakkal fordították. GZIP, LZ4 és ZSTDKülönösen a független blokkokkal rendelkező GZIP és LZ4 teszi lehetővé a gyors ugrásokat, javítva a grafikus felhasználói felület teljesítményét nagyméretű rögzítések esetén.

A projekt olyan funkciókat dokumentál, mint az AIX iptrace (ahol a démonhoz vezető HUP tisztán lezárul), a Lucent/Ascend nyomkövetések támogatása, a Toshiba ISDN vagy a CoSine L2, és jelzi, hogyan lehet a szöveges kimenetet fájlba rögzíteni (pl. telnet <equipo> | tee salida.txt vagy az eszköz használatával forgatókönyv) későbbi importáláshoz a text2pcap segítségével. Ezek az elérési utak kivezetnek a következőből: „hagyományos” rögzítések ha olyan berendezést használ, amely nem borul fel közvetlenül a kompresszor tetejére.

Suite segédprogramok és opciókategóriák

A Wireshark és a TShark mellett a disztribúció a következőket tartalmazza: számos eszköz, amelyek nagyon specifikus feladatokat fednek leA súgó szövegének szó szerinti másolása nélkül itt egy kategóriákba rendezett összefoglaló, hogy tudd, mit csinálnak és milyen lehetőségeket találsz:

• szemétlerakó kupak„tiszta és egyszerű” pcap/pcapng rögzítés, interfész kiválasztás, BPF szűrők, pufferméret, forgatás idő/méret/fájlok szerint, gyűrűs pufferek létrehozása, megjegyzések rögzítése és formátum szerinti kimenet géppel olvashatóFigyelmeztet a BPF JIT-jének aktiválásától a lehetséges kockázatok miatt.
• capinfosMegjeleníti a fájltípust, a beágyazást, az interfészeket és a metaadatokat; a csomagok számát, a fájlméretet, a teljes hosszt, a pillanatkép-korlátot, a kronológiát (első/utolsó), az átlagos sebességet (bps/Bps/pps), az átlagos csomagméretet, a hasheket és a megjegyzéseket. Táblázatos vagy részletes kimenetet, valamint géppel olvasható formátumokat tesz lehetővé.
• fejtípus: azonosítja egy vagy több bejegyzés rögzítési fájljának típusát súgóval és verzióbeállításokkal.
• szerkesztőfóliaKiválaszt/töröl csomagtartományokat, snappel/choppantással kezeli a csomagokat, beállítja az időbélyegeket (beleértve a szigorú sorrendet is), eltávolítja a duplikátumokat konfigurálható ablakokkal, megjegyzéseket ad hozzá képkockánként, felosztja a kimenetet szám vagy idő szerint, módosítja a konténert és a beágyazást, működik a visszafejtési titkokkal, és tömöríti a kimenetet. Ez a sokoldalú eszköz a rögzített adatok „megtisztítására”.
• egyesülési tőke: több rögzítést egyetlenbe egyesít, akár lineáris összefűzéssel, akár időbélyeg alapú keveréssel, vezérli a snaplen-t, meghatározza a kimeneti típust, az IDB egyesítési módot és a végső tömörítést.
• újrarendelési korlát: időbélyeg alapján rendezi át a fájlt, tiszta kimenetet generálva, és ha már rendezett, akkor elkerülheti az eredmény kiírását az I/O mentéséhez.
• text2pcap: hexdumpokat vagy reguláris kifejezést tartalmazó szöveget alakít át érvényes rögzítéssé; felismeri az eltolásokat különféle adatbázisokban, időbélyegeket strptime formátumokkal (beleértve a tört pontosságot is), érzékeli a csatolt ASCII-t, ha alkalmazható, és "álfejléceket" (Ethernet, IPv4/IPv6, UDP/TCP/SCTP, EXPORTED_PDU) tud hozzáadni a következőhöz: portok, címek és címkék jelzett.
• nyerscápa„nyers” mezőorientált olvasó; lehetővé teszi a beágyazási vagy boncolási protokoll beállítását, a névfeloldások letiltását, az olvasási/megjelenítési szűrők beállítását és a mezőkimeneti formátum meghatározását, ami hasznos más eszközökkel együtt történő folyamatvezérléshez.
• randpktVéletlenszerű csomagokból álló fájlokat generál, például ARP, BGP, DNS, Ethernet, IPv4/IPv6, ICMP, TCP/UDP, SCTP, Syslog, USB-Linux stb. típusú csomagokkal, megadva a fiókot, a maximális méretet és a konténert. Ideális a következőkhöz: tesztek és demók.
• mmdbresolve: MaxMind adatbázisok (MMDB) lekérdezése az IPv4/IPv6 címek geolokációjának megjelenítéséhez, egy vagy több adatbázisfájl megadásával.
• cápa: démon, amely API-t („gold” mód) vagy klasszikus socketet („classic” mód) tesz elérhetővé; támogatja a konfigurációs profilokat, és kliensek vezérlik a szerveroldali bontáshoz és keresésekhez, hasznos az automatizálásban és a szolgáltatásokban.

Architektúra, jellemzők és korlátok

A Wireshark a libpcap/Npcap könyvtárakra támaszkodik a rögzítéshez, valamint egy olyan könyvtárak ökoszisztémájára (libwireshark, libwiretap, libwsutil), amelyek elkülönítik a felbontást, a formátumokat és a segédprogramokat. Lehetővé teszi a VoIP-hívások észlelését, a támogatott kódolásokban történő hanglejátszást, a nyers USB-forgalom rögzítését és a Wi-Fi hálózatokon történő szűrést (ha azok felügyelt Etherneten haladnak át). bővítmények új protokollokhoz C vagy Lua nyelven íródott. Képes beágyazott távoli forgalmat (pl. TZSP) is fogadni valós idejű elemzés céljából egy másik gépről.

Nem IDS, és nem is küld riasztásokat; szerepe passzív: vizsgál, mér és megjelenít. Ennek ellenére a kiegészítő eszközök statisztikákat és munkafolyamatokat biztosítanak, és a képzési anyagok könnyen elérhetők (beleértve a 2025-re tervezett oktatási alkalmazásokat, amelyek a szűrőket, a szimatolást, az operációs rendszer alapvető ujjlenyomat-vételét, a valós idejű elemzést, az automatizálást, a titkosított forgalmat és a DevOps gyakorlatokkal való integrációt tanítják). Ez az oktatási aspektus kiegészíti a... diagnózis és hibaelhárítás.

Kompatibilitás és ökoszisztéma

Az építési és tesztelési platformok a következők: Linux (Ubuntu), Windows és macOSA projekt emellett széleskörű kompatibilitást is említ további Unix-szerű rendszerekkel, valamint harmadik féltől származó kezelőkön keresztüli terjesztést. Bizonyos esetekben a régebbi operációs rendszer verziókhoz korábbi ágak szükségesek (például Windows XP 1.10-es vagy korábbi verzió). Általánosságban elmondható, hogy a legtöbb környezetben hivatalos tárolókból vagy bináris fájlokból telepíthető nagyobb problémák nélkül.

Integrálódnak hálózati szimulátorokkal (ns, OPNET Modeler), és harmadik féltől származó eszközökkel (pl. Aircrack 802.11-hez) olyan rögzítéseket lehet készíteni, amelyeket a Wireshark gond nélkül megnyit. A nevében szigorú törvényesség és etikaNe feledd, hogy csak olyan hálózatokon és olyan esetekben szabad rögzíteni, amelyekre kifejezett engedélyed van.

Név, hivatalos weboldalak és ellenőrzési adatok

A hivatalos weboldal az wireshark.orgletöltésekkel a /download alkönyvtárában, valamint online dokumentációval a felhasználók és fejlesztők számára. Vannak oldalak, amelyek a következőket tartalmazzák: hatósági ellenőrzés (pl. GND) és linkek listája a kódtárhoz, a hibakövetőhöz és a projekt blogjához, amelyek hasznosak a hírek követéséhez és a problémák jelentéséhez.

A rögzítés megkezdése előtt ellenőrizd a rendszered jogosultságait és képességeit, döntsd el, hogy a dumpcap/tcpdump parancsot használod-e a lemezre íráshoz és jogosultságok nélküli elemzéshez, és készítsd elő a rögzítési és megjelenítési szűrőket a célodnak megfelelően. Egy jó módszertannal a Wireshark leegyszerűsíti a bonyolultat, és pontosan a megfelelő információkat nyújtja. A szükséges láthatóság bármilyen méretű hálózat diagnosztizálására, tanulására vagy auditálására.