Ինչպես օգտագործել Wireshark-ը Windows-ում. Լրիվ, գործնական և արդիական ուղեցույց

Երբևէ մտածե՞լ եք Ի՞նչ է իրականում կատարվում ձեր ցանցում, երբ դուք զննում եք, խաղում եք առցանց կամ կառավարում եք միացված սարքերը։ Եթե ​​պարզապես հետաքրքրված եք ձեր WiFi-ում շրջանառվող առեղծվածներով, կամ եթե պարզապես ձեզ անհրաժեշտ է պրոֆեսիոնալ գործիք Վերլուծեք ցանցային երթևեկությունը և հայտնաբերեք ձեր կապի հետ կապված խնդիրները, անկասկած անունը Wireshark արդեն գրավել է ձեր ուշադրությունը։

Դե, այս հոդվածում դուք կբացահայտեք առանց շեղումների Wireshark-ի մասին բոլոր մանրամասներըԻ՞նչ է այն, ինչի՞ համար է օգտագործվում Windows-ում, ինչպես տեղադրել այն և լավագույն խորհուրդները՝ նախքան տվյալներ հավաքելը սկսելը։ Եկեք անցնենք դրան։

Ի՞նչ է Wireshark-ը։ Ցանցային վերլուծության տիտանի քանդումը

Wireshark-ը աշխարհում ամենատարածված և ճանաչված ցանցային արձանագրությունների վերլուծիչն է։. Այս անվճար, բաց կոդով և հզոր գործիքը թույլ է տալիս ձեզ գրանցել և ուսումնասիրել ցանցային ողջ երթևեկությունը որը անցնում է ձեր համակարգչի միջով, լինի դա Windows, Linux, macOS, թե նույնիսկ FreeBSD և Solaris համակարգեր։ Wireshark-ի միջոցով դուք կարող եք իրական ժամանակում կամ ձայնագրությունից հետո տեսնել, թե ճիշտ որ փաթեթներն են մտնում և դուրս գալիս ձեր համակարգչից, դրանց աղբյուրը, նպատակակետը, արձանագրությունները, և նույնիսկ վերլուծել դրանք՝ OSI մոդելի համաձայն յուրաքանչյուր շերտի մանրամասները ստանալու համար։

Ի տարբերություն շատ վերլուծիչների, Wireshark-ը առանձնանում է իր ինտուիտիվ գրաֆիկական ինտերֆեյսով, բայց նաև առաջարկում է հզոր խաղային համակարգային տարբերակ՝ TShark անվամբ, նրանց համար, ովքեր նախընտրում են հրամանի տողը կամ անհրաժեշտ է կատարել ավտոմատացված գործողություններ։ Wireshark-ի ճկունությունը Այն թույլ է տալիս վերլուծել կապը զննարկելիս, անցկացնել մասնագիտական ​​անվտանգության աուդիտներ, լուծել ցանցային խոչընդոտները կամ զրոյից սովորել, թե ինչպես են աշխատում ինտերնետային արձանագրությունները՝ այս ամենը ձեր սեփական համակարգչից։

Ներբեռնեք և տեղադրեք Wireshark-ը Windows-ում

Wireshark-ը Windows-ում տեղադրելը պարզ գործընթաց է։, սակայն խորհուրդ է տրվում դա անել քայլ առ քայլ, որպեսզի չթողնվեն անորոշություններ, հատկապես թույլտվությունների և գրավման համար լրացուցիչ դրայվերների վերաբերյալ։

• Պաշտոնական ներբեռնում. Մուտք դեպի Wireshark-ի պաշտոնական կայքը և ընտրեք Windows-ի տարբերակը (32 կամ 64 բիթ՝ կախված ձեր համակարգից):
• Գործարկեք տեղադրիչը. Կրկնակի սեղմեք ներբեռնված ֆայլի վրա և հետևեք հրաշագործի հրահանգներին: Հարցերի դեպքում ընդունեք լռելյայն տարբերակները։
• Հիմնական դրայվերներ՝ Տեղադրման ընթացքում տեղադրողը ձեզ կհարցնի՝ տեղադրել Npcap-ը. Այս բաղադրիչը կարևոր է, քանի որ այն թույլ է տալիս ձեր ցանցային քարտին որսալ փաթեթները «խառը» ռեժիմով։ Ընդունեք դրա տեղադրումը։
• Ավարտել և վերագործարկել՝ Գործընթացն ավարտվելուց հետո վերագործարկեք համակարգիչը՝ համոզվելու համար, որ բոլոր բաղադրիչները պատրաստ են։

Պատրաստ է! Այժմ կարող եք սկսել օգտագործել Wireshark-ը Windows-ի «Սկսել» ցանկից։ Խնդրում ենք նկատի ունենալ, որ այս ծրագիրը հաճախակի թարմացվում է, ուստի լավ գաղափար է ժամանակ առ ժամանակ ստուգել նոր տարբերակների առկայությունը։

Ինչպես է աշխատում Wireshark-ը. Փաթեթների գրանցում և ցուցադրում

Երբ դուք բացում եք Wireshark-ը, Առաջին բանը, որ դուք կտեսնեք, ձեր համակարգում առկա բոլոր ցանցային ինտերֆեյսների ցանկն է։Լարային ցանցային քարտեր, WiFi և նույնիսկ վիրտուալ ադապտերներ, եթե օգտագործում եք վիրտուալ մեքենաներ, ինչպիսիք են VMware-ը կամ VirtualBox-ը: Այս ինտերֆեյսներից յուրաքանչյուրը ներկայացնում է թվային տեղեկատվության մուտքի կամ ելքի կետ։

Տվյալների հավաքագրումը սկսելու համար, Դուք պարզապես պետք է կրկնակի սեղմեք ցանկալի ինտերֆեյսի վրա. Այդ պահից սկսած, Wireshark-ը իրական ժամանակում կցուցադրի շրջանառվող բոլոր փաթեթները այդ քարտով՝ տեսակավորելով դրանք սյուներով, ինչպիսիք են փաթեթի համարը, գրանցման ժամանակը, աղբյուրը, նպատակակետը, արձանագրությունը, չափը և լրացուցիչ մանրամասները։

Երբ ցանկանում եք դադարեցնել լուսանկարումը, սեղմեք կարմիր կանգառի կոճակ. Դուք կարող եք պահպանել ձեր լուսանկարները .pcap ձևաչափով՝ հետագայում վերլուծելու, կիսվելու կամ նույնիսկ տարբեր ձևաչափերով (CSV, տեքստային, սեղմված և այլն) արտահանելու համար։ Այս ճկունությունն է, որը դարձնում է Wireshark-ը անփոխարինելի գործիք է ինչպես տեղային վերլուծության, այնպես էլ լիարժեք աուդիտների համար։.

Սկսելու համար. Խորհուրդներ Windows-ում էկրանի նկար անելուց առաջ

Որպեսզի ձեր առաջին Wireshark-ի ձայնագրությունները օգտակար լինեն և չլցվեն անտեղի աղմուկով կամ շփոթեցնող տվյալներով, կան մի քանի հիմնական առաջարկություններ, որոնք պետք է հետևել.

• Փակեք ավելորդ ծրագրերըՄինչև լուսանկարումը սկսելը, փակեք այն հավելվածները, որոնք ֆոնային տրաֆիկ են ստեղծում (թարմացումներ, զրույցներ, էլ. փոստի հաճախորդներ, խաղեր և այլն): Այս կերպ դուք կխուսափեք անտեղի երթևեկության խառնումից։
• Վերահսկեք firewall-ըFirewall-ները կարող են արգելափակել կամ փոփոխել երթևեկությունը։ Եթե ​​ցանկանում եք ամբողջական ձայնագրություն, կարող եք ժամանակավորապես անջատել այն։
• Գրավեք միայն այն, ինչը կարևոր էԵթե ​​​​ցանկանում եք վերլուծել որևէ կոնկրետ հավելված, ձայնագրությունը սկսելուց հետո սպասեք մեկ կամ երկու վայրկյան՝ հավելվածը գործարկելու համար, և նույնը արեք այն փակելիս՝ ձայնագրությունը դադարեցնելուց առաջ։
• Իմացեք ձեր ակտիվ ինտերֆեյսըՀամոզվեք, որ ընտրել եք ճիշտ ցանցային քարտը, հատկապես, եթե ունեք մի քանի ադապտեր կամ գտնվում եք վիրտուալ ցանցի վրա։

Հետևելով այս ուղեցույցներին՝ ձեր էկրանի նկարները կլինեն շատ ավելի մաքուր և ավելի օգտակար հետագա վերլուծության համար։.

Ֆիլտրեր Wireshark-ում. Ինչպես կենտրոնանալ իսկապես կարևորի վրա

Wireshark-ի ամենահզոր առանձնահատկություններից մեկը ֆիլտրերն են։. Կան երկու հիմնական տեսակներ.

• Սևեռման ֆիլտրերԴրանք կիրառվում են գրավումը սկսելուց առաջ, թույլ տալով ձեզ հավաքել միայն այն տրաֆիկը, որը ձեզ հետաքրքրում է սկզբից։
• Ցուցադրման ֆիլտրերՍրանք վերաբերում են արդեն իսկ գրանցված փաթեթների ցանկին, թույլ տալով ցուցադրել միայն ձեր չափանիշներին համապատասխանողները։

Ամենատարածված ֆիլտրերի շարքում են՝

• Ըստ արձանագրությանՖիլտրում է միայն HTTP, TCP, DNS և այլն փաթեթները։
• IP հասցեովՕրինակ, ցուցադրել միայն որոշակի IP հասցեից կամ դեպի փաթեթները՝ օգտագործելով ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• ՆավահանգստովՍահմանափակում է արդյունքները որոշակի պորտով (tcp.port == 80).
• Տեքստային տողովԳտնում է այն փաթեթները, որոնք իրենց բովանդակության մեջ պարունակում են բանալի բառ։
• MAC հասցեով, փաթեթի երկարությամբ կամ IP միջակայքով.

Բացի այդ, ֆիլտրերը կարող են համակցվել տրամաբանական օպերատորների հետ (և, or, Նշում) շատ ճշգրիտ որոնումների համար, ինչպիսիք են՝ tcp.port == 80 և ip.src == 192.168.1.1.

Ի՞նչ կարող եք ֆիքսել և վերլուծել Wireshark-ի միջոցով Windows-ում։

Wireshark-ը կարող է մեկնաբանել ավելի քան 480 տարբեր արձանագրություններ, սկսած TCP, UDP, IP նման հիմունքներից մինչև ծրագրային արձանագրություններ, IoT, VoIP և շատ ուրիշներ։ Սա նշանակում է, որ դուք կարող եք ուսումնասիրել ցանցային երթևեկության բոլոր տեսակները՝ պարզ DNS հարցումներից մինչև կոդավորված SSH սեսիաներ, HTTPS միացումներ, FTP փոխանցումներ կամ ինտերնետ հեռախոսակապից SIP երթևեկություն։

Բացի այդ, Wireshark-ը աջակցում է ստանդարտ գրանցման ձևաչափերին, ինչպիսիք են tcpdump-ը (libpcap), pcapng-ը և այլն։, և թույլ է տալիս սեղմել և ապասեղմել էկրանի նկարները արագ՝ օգտագործելով GZIP՝ տարածք խնայելու համար։ Գաղտնագրված երթևեկության համար (TLS/SSL, IPsec, WPA2 և այլն), եթե ունեք ճիշտ բանալիները, կարող եք նույնիսկ վերծանել տվյալները և դիտել դրանց բնօրինակ բովանդակությունը։

Մանրամասն երթևեկության գրանցում. լրացուցիչ առաջարկություններ

Մինչև որևէ կարևոր գրանցում սկսելը, հետևեք այս արձանագրությանը՝ հավաքված տեղեկատվության օգտակարությունը մեծացնելու համար։:

• Ընտրեք ճիշտ ինտերֆեյսըՍովորաբար ձեր ակտիվ ադապտերը կլինի այն, որը դուք օգտագործում եք միացման համար։ Եթե ​​կասկածներ ունեք, ստուգեք, թե որն է միացված Windows-ի ցանցային կարգավորումներում։
• Սարքեք տեսարանըԲացեք միայն այն ծրագրերը կամ հավելվածները, որոնք կստեղծեն այն տրաֆիկը, որը դուք ցանկանում եք վերլուծել։
• Մեկուսացրեք երևույթըԵթե ​​ցանկանում եք վերլուծել հավելվածի երթևեկությունը, հետևեք այս հաջորդականությանը. ձայնագրությունը սկսելուց հետո գործարկեք հավելվածը, կատարեք վերլուծել անհրաժեշտ գործողությունը և փակեք հավելվածը՝ ձայնագրությունը դադարեցնելուց առաջ։
• Պահպանեք սքրինշոթը. Դադարեցրեք ձայնագրությունը, անցեք Ֆայլ > Պահպանել և ընտրեք .pcap կամ ձեր նախընտրած ձևաչափը։

Ահա թե ինչպես դուք կստանաք մաքուր և հեշտ վերլուծվող ֆայլեր, առանց որևէ աղբային երթևեկության խառնման։

Նկարազարդ օրինակներ՝ երթևեկության վերլուծություն Wireshark-ի միջոցով

Ենթադրենք, որ ձեր տեղական ցանցում ունեք երկու համակարգիչ, և դրանցից մեկը դադարում է մուտք գործել ինտերնետ։ Դուք կարող եք օգտագործել Wireshark-ը՝ այդ մեքենայից երթևեկությունը գրանցելու համար։ և տեսնել, թե արդյոք կան սխալներ DNS հասցեները լուծելիս, արդյոք փաթեթները չեն հասնում ռաութերին, կամ արդյոք firewall-ը արգելափակում է հաղորդակցությունը։

Մեկ այլ բնորոշ դեպք. հայտնաբերել, եթե կայքը պատշաճ կերպով չի կոդավորում ձեր մուտքանունը. Եթե ​​մուտք գործեք HTTPS չունեցող կայք և կիրառեք HTTP ֆիլտր ձեր օգտատիրոջ անվան հետ համատեղ, կարող եք նույնիսկ տեսնել, թե ինչպես է ձեր գաղտնաբառը աննկատ անցնում ցանցով, ինչը իրական կյանքում ցույց է տալիս անապահով կայքերի ռիսկը։

Wireshark-ը և անվտանգությունը. Ռիսկերը, հարձակումները և պաշտպանիչ միջոցառումները

Wireshark-ի հզորությունը նաև նրա ամենամեծ ռիսկն է. Սխալ ձեռքերում այն ​​կարող է նպաստել լիազորագրերի առգրավմանը, լրտեսությանը կամ բացահայտել զգայուն տեղեկություններ։. Ահա մի քանի սպառնալիքներ և առաջարկություններ.

• Հավատարմագրերի լցոնում (հավատարմագրերի կոպիտ ուժի հարձակումներ)Եթե ​​դուք որսում եք SSH, Telnet կամ այլ ծառայությունների տրաֆիկ, կարող եք նկատել ավտոմատ մուտք գործելու փորձեր։ Ուշադրություն դարձրեք ավելի երկար սեսիաներին (դրանք սովորաբար հաջող են լինում), փաթեթների չափերին և կասկածելի օրինաչափությունները հայտնաբերելու փորձերի քանակին։
• Արտաքին երթևեկության ռիսկԶտեք ձեր ներքին ցանցից չեկող ամբողջ SSH տրաֆիկը. եթե տեսնում եք արտաքին կապեր, զգույշ եղեք։
• Պարզ տեքստային գաղտնաբառերԵթե ​​կայքը փոխանցում է չգաղտնագրված օգտանուններ և գաղտնաբառեր, դուք դա կտեսնեք էկրանի նկարում։ Երբեք մի օգտագործեք Wireshark-ը այս տվյալները արտասահմանյան ցանցերում ստանալու համար։ Հիշե՛ք, որ առանց թույլտվության դա անելն անօրինական է։
• Համաձայնություն և օրինականությունՎերլուծում է միայն սեփական ցանցերից կամ հստակ լիազորված անձանցից ստացված երթևեկությունը։ Օրենքը շատ հստակ է այս հարցում, և չարաշահումը կարող է լուրջ հետևանքներ ունենալ։
• Թափանցիկություն և էթիկաԵթե ​​աշխատում եք կորպորատիվ միջավայրում, տեղեկացրեք օգտատերերին վերլուծության և դրա նպատակի մասին։ Գաղտնիության հարգանքը նույնքան կարևոր է, որքան տեխնիկական անվտանգությունը։

Wireshark-ի այլընտրանքներ. ցանցային վերլուծության այլ տարբերակներ

Wireshark-ը անվիճելիորեն լավագույն աղբյուրն է, սակայն կան այլ գործիքներ, որոնք կարող են լրացնել կամ որոշակի իրավիճակներում փոխարինել դրա օգտագործումը.

• tcpdumpԻդեալական է Unix/Linux միջավայրերի համար, աշխատում է հրամանային տողում։ Այն թեթև է, արագ և ճկուն՝ արագ նկարահանումների կամ ավտոմատացված առաջադրանքների համար։
• CloudsharkՎեբ հարթակ՝ զննարկչից փաթեթների գրանցումները վերբեռնելու, վերլուծելու և կիսվելու համար։ Շատ օգտակար է համագործակցային միջավայրերի համար։
• SmartSniffԿենտրոնացած է Windows-ի վրա, հեշտ է օգտագործել տեղայնացման և հաճախորդների ու սերվերների միջև զրույցների դիտման համար։
• ColaSoft CapsaԳրաֆիկական ցանցային վերլուծիչ, որն առանձնանում է իր ինտերֆեյսի պարզությամբ և պորտերի սկանավորման, արտահանման և կոմպակտ վիզուալիզացիայի հատուկ տարբերակներով։

Լավագույն այլընտրանքի ընտրությունը կախված է ձեր կոնկրետ կարիքներից։արագություն, գրաֆիկական ինտերֆեյս, առցանց համագործակցություն կամ համատեղելիություն որոշակի սարքավորումների հետ։

Լրացուցիչ կարգավորումներ՝ Անկանոն ռեժիմ, Մոնիտոր և Անվան լուծում

Անկանոն ռեժիմը թույլ է տալիս ցանցային քարտին գրավել ոչ միայն նրա համար նախատեսված փաթեթները, այլև ամբողջ երթևեկությունը, որը շրջանառվում է այն ցանցով, որին այն միացված է. Այն կարևոր է կորպորատիվ ցանցերի, համատեղ կենտրոնների կամ ներթափանցման թեստավորման սցենարների վերլուծության համար։

Windows-ում անցեք Սևեռել > Ընտրանքներ, ընտրեք ինտերֆեյսը և նշեք անկանոն ռեժիմի վանդակը։ Հիշե՛ք, որ Wi-Fi ցանցերում, բացառությամբ շատ կոնկրետ սարքավորումների, դուք կտեսնեք միայն ձեր սեփական սարքից եկող երթևեկությունը։

Բացի այդ, Անվան լուծումը IP հասցեները վերածում է ընթեռնելի դոմեյնային անունների (օրինակ՝ 8.8.8.8 google-public-dns-a.google.com կայքում): Դուք կարող եք միացնել կամ անջատել այս տարբերակը՝ անցնելով Խմբագրել > Նախընտրանքներ > Անվան լուծում։ Այն շատ է օգնում սարքերը նույնականացնել սկանավորման ընթացքում, չնայած կարող է դանդաղեցնել գործընթացը, եթե շատ հասցեներ են լուծվում։