Hvernig á að nota Wireshark til að greina vandamál í netkerfinu

Ef þú vinnur við netkerfi, öryggi eða þróun og vilt skilja hvað er að gerast í snúrunum þínum og Wi-Fi, þá er að vinna með Wireshark Þetta er nauðsynlegur þáttur. opinn hugbúnaður pakkagreiningarforrit með áratuga þróun sem gerir kleift að handtaka, greina og rannsaka umferð á pakkastigi með skurðlæknisfræðilegri nákvæmni.

Í þessari grein greinum við það ítarlega: allt frá leyfinu og styrktaraðilanum til pakkanna í GNU/Linux, þar á meðal stjórnborðsforrit, studd snið, kröfur um þýtingu, heimildir fyrir upptöku og sannarlega heildstætt yfirlit yfir sögulegt og virkan kerfi.

Hvað er Wireshark og til hvers er það notað í dag?

Í raun er Wireshark a samskiptareglugreiningartæki og umferðarskráningartæki sem gerir þér kleift að setja viðmót í lausa- eða skjáham (ef kerfið styður það) og skoða ramma sem yrðu ekki sendir á Mac-tölvuna þína, greina samræður, endurskapa flæði, lita pakka samkvæmt reglum og beita mjög áhrifamiklum skjásíum. Ennfremur, inniheldur TShark (útgáfu í flugstöð) og safn af tólum fyrir verkefni eins og að endurraða, skipta, sameina og umbreyta skjámyndum.

Þótt notkun þess minni á tcpdump, þá býður það upp á nútímalegt grafískt viðmót byggt á Qt með síun, flokkun og djúpgreining fyrir þúsundir samskiptareglna. Ef þú ert á rofa skaltu muna að lausagangsstilling tryggir ekki að þú sjáir alla umferðina: fyrir heildartilvik þarftu portspeglun eða nettengingar, sem skjölun þeirra nefnir einnig sem bestu starfsvenjur.

Leyfi, grunnur og þróunarlíkan

Wireshark er dreift undir GNU GPL v2 og víða sem „GPL v2 eða nýrri“. Sum forrit í frumkóðanum eru leyfisbundin undir mismunandi en samhæfðum leyfum, eins og pidl tólið með GPLv3+, sem hefur ekki áhrif á tvíundarskrá greiningartækisins. Engin ábyrgð er gefin, hvorki beint né óbeint, til að nota það á eigin ábyrgð, eins og venjulega er með frjálsan hugbúnað.

La Wireshark-stofnunin Það samhæfir þróun og dreifingu. Það reiðir sig á framlög frá einstaklingum og samtökum sem byggja verk sín á Wireshark. Verkefnið státar af þúsundum skráðra höfunda og sögulegra persóna eins og Gerald Combs, Gilbert Ramirez og Guy Harris, sem eru meðal þekktustu stuðningsmanna þess.

Wireshark keyrir á Linux, Windows, macOS og öðrum Unix-líkum kerfum (BSD, Solaris, o.fl.). Opinber pakkar eru gefnir út fyrir Windows og macOS, og á GNU/Linux er það venjulega innifalið sem staðlaður eða viðbótarpakki í dreifingum eins og Debian, Ubuntu, Fedora, CentOS, RHEL, Arch, Gentoo, openSUSE, FreeBSD, DragonFly BSD, NetBSD og OpenBSD. Það er einnig fáanlegt á kerfum þriðja aðila eins og ... Heimabrugg, MacPorts, pkgsrc eða OpenCSW.

Til að þýða úr kóða þarftu Python 3; AsciiDoctor fyrir skjölun; og verkfæri eins og Perl og GNU flex (hefðbundin lex virkar ekki). Stillingar með CMake leyfa þér að virkja eða slökkva á tilteknum stuðningi, til dæmis þjöppunarbókasöfnum með -DENABLE_ZLIB=SLÖKKT, -DENABLE_LZ4=SLÖKKT eða -DENABLE_ZSTD=SLÖKKT, eða libsmi stuðningur með -DENABLE_SMI=OFF ef þú vilt ekki hlaða MIBs.

Pakkar og bókasöfn í Debian-byggðum kerfum

Í Debian/Ubuntu og afleiddum umhverfum er Wireshark vistkerfið skipt í marga pakkaHér að neðan er sundurliðun á eiginleikum, áætlaðri stærð og tengslum. Þessir pakkar leyfa þér að velja úr heildstæðum notendaviðmóti til bókasafna og þróunartóla til að samþætta greiningar í þín eigin forrit.

vírhákarl

Grafískt forrit til að taka upp og greina umferð með Qt viðmóti. Áætluð stærð: 10.59 MBAðstaða: sudo apt install wireshark

Meðal ræsingarvalkostanna finnur þú breytur til að velja viðmótið (-i), handtaka síur (-f), skyndimyndatakmörkun, eftirlitshamur, listar yfir tenglategundir, birtingarsíur (-Y), „Afkóða sem“ og stillingar, svo og snið skráarúttaks og athugasemdir við handtöku. Forritið gerir það einnig kleift stillingarprófíl og tölfræði háþróaðir eiginleikar úr viðmótinu.

tshark

Stjórnborðsútgáfa fyrir skipanalínuupptöku og greiningu. Áætluð stærð: 429 KBAðstaða: sudo apt install tshark

Það gerir þér kleift að velja viðmót, nota síur fyrir handtöku og birtingu, skilgreina stöðvunarskilyrði (tíma, stærð, fjölda pakka), nota hringlaga biðminni, prenta upplýsingar, hex- og JSON-dump og flytja út TLS hluti og lykla. Það getur einnig litað úttakið í samhæfri flugstöð. stilla skráningu eftir lénum og smáatriðum. Gæta skal varúðar ef BPF JIT er virkjað á kjarnastigi, þar sem það getur haft áhrif á öryggi.

Wireshark-algengt

Algengar skrár fyrir Wireshark og Tshark (t.d. orðabækur, stillingar og línuforrit). Áætluð stærð: 1.62 MBAðstaða: sudo apt install wireshark-common

Þessi pakki inniheldur tól eins og capinfos (upplýsingar um skráartöku: gerð, innlimun, lengd, hraði, stærðir, dulritunarkóðar og athugasemdir), tegund loks (auðkenna skráartegundir), losunarlok (létt handtaka sem notar pcapng/pcap með sjálfvirkri stöðvun og hringlaga biðminni), ritstjórnarkapi (breyta/skipta/umbreyta myndatökum, stilla tímastimpla, fjarlægja afrit, bæta við athugasemdum eða leyndarmálum), sameiningarkap (sameina eða tengja saman margar myndir), mmdbresolve (greina staðsetningu IP-tölu með MMDB gagnagrunnum), randpkt (fjölsamskiptareglur tilbúnir pakkaframleiðendur), hráhákarl (hrá greining með úttaki á sviði), endurpöntunarlok (endurraða eftir tímastimpli), hákarl (þjónn með API til að vinna úr handtökum) og text2pcap (umbreyta hexdumps eða skipulögðum texta í gildar myndskjöl).

libwireshark18 og libwireshark-gögn

Miðlægt pakkagreiningarsafn. Veitir samskiptareglurnar sem Wireshark/TShark notar. Áætluð stærð bókasafns: 126.13 MBAðstaða: sudo apt install libwireshark18 y sudo apt install libwireshark-data

Það felur í sér stuðning fyrir gríðarlegan fjölda samskiptareglna og valkosta eins og að virkja eða slökkva á tilteknum greiningum, heuristikum og „Afkóða sem“ úr viðmótinu eða skipanalínunni; þökk sé þessu er hægt að aðlaga greining á raunverulegri umferð af umhverfi þínu.

libwiretap15 og libwiretap-dev

Wiretap er bókasafn til að lesa og skrifa á marga skráarsnið fyrir handtökur. Styrkleikar þess eru fjölbreytnin í sniðum sem það styður en takmarkanir þess eru: Það síar ekki né framkvæmir beina myndatöku.Aðstaða: sudo apt install libwiretap15 y sudo apt install libwiretap-dev

-dev útgáfan býður upp á kyrrstæða bókasafnið og C hausana til að samþætta les-/skrifaðgerðir í verkfærin þín. Þetta gerir þér kleift að þróa tól sem vinna með gögn. pcap, pcapng og önnur ílát sem hluti af okkar eigin leiðslum.

libwsutil16 og libwsutil-dev

Safn af tólum sem Wireshark og tengd bókasöfn deila: hjálparvirkni fyrir strengjastjórnun, biðminni, dulkóðun o.s.frv. Uppsetning: sudo apt install libwsutil16 y sudo apt install libwsutil-dev

Pakkinn -dev inniheldur hausa og kyrrstætt bókasafn svo að utanaðkomandi forrit geti tengt algeng tól án þess að þurfa að endurútfæra hjól. Það er grunnurinn að margar sameiginlegar aðgerðir sem nota Wireshark og TShark.

wireshark-þróun

Tól og skrár til að búa til nýjar „greiningarforrit“. Það býður upp á forskriftir eins og idl2wrs, sem og ósjálfstæði fyrir þýðingu og prófanir. Áætluð stærð: 621 KBAðstaða: sudo apt install wireshark-dev

Það felur í sér veitur eins og asn2deb (býr til Debian pakka fyrir BER eftirlit frá ASN.1) og idl2deb (pakka fyrir CORBA). Og, umfram allt, idl2wrsÞetta tól breytir CORBA IDL í beinagrind C viðbótar til að greina GIOP/IIOP umferð. Þetta verkflæði byggir á Python forskriftum (wireshark_be.py og wireshark_gen.py) og styður sjálfgefið reiknirit. Tólið leitar að einingum sínum í PYTHONPATH/site-packages eða í núverandi möppu og samþykkir tilvísun skráa til að búa til kóðann.

wireshark-doc

Notendagögn, þróunarleiðbeiningar og Lua-tilvísun. Áætluð stærð: 13.40 MBAðstaða: sudo apt install wireshark-doc

Mæli með ef þú ætlar að kafa dýpra í viðbætur, forskriftir og forritaskilNetgögnin á opinberu vefsíðunni eru uppfærð með hverri stöðugri útgáfu.

Handtöku- og öryggisleyfi

Í mörgum kerfum krefst bein skráning aukinna réttinda. Þess vegna úthluta Wireshark og TShark skráningunni til þriðja aðila. losunarlokTvöfaldur skrá hannaður til að keyra með réttindum (set-UID eða capabilities) til að lágmarka árásarflötinn. Að keyra allt notendaviðmótið sem rótarforrit er ekki góð venja; það er betra að taka upp með dumpcap eða tcpdump og greina án réttinda til að draga úr áhættu.

Saga verkefnisins nær yfir öryggisatvik í greiningarforritum í gegnum árin og sumir kerfi eins og OpenBSD hafa hætt að nota gamla Ethereal tilvikið af þeirri ástæðu. Með núverandi líkani bæta einangrun frá skráningu og stöðugar uppfærslur ástandið, en það er alltaf ráðlegt að... fylgdu öryggisráðstöfunum Og ef þú tekur eftir grunsamlegri starfsemi, þá skaltu vita hvernig loka fyrir grunsamlegar nettengingar og forðastu að opna ótraustar skjámyndir án þess að fara yfir þær fyrirfram.

Skráarsnið, þjöppun og sérstök leturgerðir

Wireshark les og skrifar pcap og pcapng, sem og snið frá öðrum greiningarforritum eins og snoop, Network General Sniffer, Microsoft Network Monitor og þeim fjölmörgu sem Wiretap hefur nefnt hér að ofan. Það getur opnað þjappaðar skrár ef þær voru þýddar með bókasöfnum fyrir pcapng. GZIP, LZ4 og ZSTDSérstaklega leyfa GZIP og LZ4 með sjálfstæðum blokkum hraðvirk stökk, sem bætir afköst notendaviðmótsins í stórum myndatökum.

Verkefnið skjalfestar eiginleika eins og AIX iptrace (þar sem HUP við þjónustuna lokast hreint), stuðning við Lucent/Ascend rakningar, Toshiba ISDN eða CoSine L2, og gefur til kynna hvernig á að handtaka textaúttakið í skrá (t.d. með ...). telnet <equipo> | tee salida.txt eða með því að nota tólið script) til að flytja það inn síðar með text2pcap. Þessar slóðir leiða þig út úr „hefðbundnar“ handtökur þegar þú notar búnað sem veltur ekki beint yfir PC-lokið.

Veitur og flokkar valmöguleika í svítunni

Auk Wireshark og TShark inniheldur dreifingin... nokkur verkfæri sem ná yfir mjög sértæk verkefniÁn þess að afrita hjálpartextann orðrétt, þá er hér samantekt flokkuð eftir flokkum svo þú vitir hvað hver og einn gerir og hvaða valkosti þú finnur:

• losunarlok: „hrein og einföld“ pcap/pcapng handtaka, val á viðmóti, BPF síur, stærð biðminnis, snúningur eftir tíma/stærð/skrám, gerð hringbiðminnis, handtaka athugasemda og úttak í sniði véllesanlegtÞað varar við því að virkja JIT á BPF vegna hugsanlegrar áhættu.
• capinfosÞað sýnir skráartegund, innlimun, viðmót og lýsigögn; fjölda pakka, skráarstærð, heildarlengd, skyndimyndatakmörk, tímaröð (fornafn/eftirnafn), meðalhraða (bps/Bps/pps), meðalpakkastærð, dulritunarnúmer og athugasemdir. Það gerir kleift að nota töflu- eða ítarlega úttak og tölvulesanleg snið.
• tegund loks: auðkennir gerð skráar fyrir eina eða fleiri færslur með hjálp og útgáfuvalkostum.
• ritstjórnarkapiÞað velur/eyðir pakkasviðum, smellir/klippir, stillir tímastimpla (þar á meðal stranga röð), fjarlægir afrit með stillanlegum gluggum, bætir við athugasemdum á ramma, skiptir úttaki eftir tölu eða tíma, breytir íláti og innlimun, vinnur með afkóðunarleyndarmálum og þjappar úttaki. Það er alhliða tól til að „hreinsa upp“ gögn.
• sameiningarkapSameinar margar skráningar í eina, annað hvort með línulegri samtengingu eða tímastimplabundinni blöndun, stýrir snaplen, skilgreinir úttaksgerð, sameiningarstillingu IDB og lokaþjöppun.
• endurpöntunarlokEndurraðar skrá eftir tímastimpli sem býr til hreint úttak og, ef það er þegar raðað, getur það forðast að skrifa niðurstöðuna til að spara inn-/úttak.
• text2pcapbreytir hexdumps eða texta með regex í gilda myndatöku; þekkir offsets í ýmsum gagnagrunnum, tímastimplar með strptime sniðum (þar á meðal brotnákvæmni), greinir tengdan ASCII ef við á og getur bætt við „dummy“ hausum (Ethernet, IPv4/IPv6, UDP/TCP/SCTP, EXPORTED_PDU) með tengi, heimilisföng og merkimiðar tilgreint.
• hráhákarl: „hrár“ reitatengdur lesari; gerir þér kleift að stilla innlimunar- eða sundurgreiningarreglur, slökkva á nafnaupplausn, stilla lestrar-/birtingasíur og ákveða úttakssnið reita, gagnlegt fyrir leiðslur með öðrum tólum.
• randpktBýr til skrár með handahófskenndum pakka af gerðum eins og ARP, BGP, DNS, Ethernet, IPv4/IPv6, ICMP, TCP/UDP, SCTP, Syslog, USB-Linux, o.s.frv., og tilgreinir reikning, hámarksstærð og ílát. Tilvalið fyrir prófanir og kynningar.
• mmdbresolveFyrirspurn í MaxMind gagnagrunna (MMDB) til að sýna landfræðilega staðsetningu IPv4/IPv6 vistfanga, með því að tilgreina eina eða fleiri gagnagrunnsskrár.
• hákarlþjónn sem afhjúpar API (stilling „gull“) eða klassískan tengipunkt (stilling „klassísk“); styður stillingarsnið og er stjórnað frá viðskiptavinum fyrir greiningu og leit á netþjóni, gagnlegt í sjálfvirkni og þjónustu.

Arkitektúr, einkenni og takmarkanir

Wireshark notar libpcap/Npcap til að taka upp gögn og vistkerfi bókasafna (libwireshark, libwiretap, libwsutil) sem aðgreina sundurgreiningu, snið og gagnsemi. Það gerir kleift að greina VoIP símtöl, spila hljóð í studdum kóðunum, taka upp hráa USB umferð og sía á Wi-Fi netum (ef þau fara yfir vöktuð Ethernet). viðbætur fyrir nýjar samskiptareglur skrifað í C eða Lua. Það getur einnig tekið á móti innlimaðri fjarumferð (t.d. TZSP) til rauntímagreiningar frá annarri vél.

Þetta er ekki IDS, né gefur það út viðvaranir; hlutverk þess er óvirkt: það skoðar, mælir og birtir. Engu að síður veita hjálpartól tölfræði og vinnuflæði, og þjálfunarefni er aðgengilegt (þar á meðal fræðsluforrit sem miða að árinu 2025 og kenna síur, þefskynjun, grunn fingrafarafræði stýrikerfisins, rauntímagreiningu, sjálfvirkni, dulkóðaða umferð og samþættingu við DevOps starfshætti). Þessi fræðsluþáttur bætir við kjarnavirkni ... greining og bilanaleit.

Samhæfni og vistkerfi

Byggingar- og prófunarpallarnir eru meðal annars Linux (Ubuntu), Windows og macOSVerkefnið nefnir einnig víðtæka samhæfni við önnur Unix-lík kerfi og dreifingu í gegnum þriðja aðila stýrikerfi. Í sumum tilfellum þurfa eldri útgáfur stýrikerfa fyrri greinar (til dæmis Windows XP með útgáfu 1.10 eða eldri). Almennt er hægt að setja upp úr opinberum geymslum eða tvíundarskrám í flestum umhverfum án stórra vandamála.

Þau samþættast nethermum (ns, OPNET Modeler) og hægt er að nota verkfæri frá þriðja aðila (t.d. Aircrack fyrir 802.11) til að búa til myndskrár sem Wireshark opnar án erfiðleika. Fyrir hönd strangt lögmæti og siðferðiMundu að taka aðeins upp á netum og í aðstæðum sem þú hefur sérstakt leyfi fyrir.

Nafn, opinberar vefsíður og stjórnunargögn

El sitio web oficial es wireshark.orgmeð niðurhalum í undirmöppunni /download og skjölun á netinu fyrir notendur og forritara. Það eru síður með yfirvaldsstjórnun (t.d. GND) og lista yfir tengla á kóðageymsluna, villuskráninguna og bloggið um verkefnið, gagnlegt til að fylgjast með fréttum og tilkynna vandamál.

Áður en þú byrjar að taka upp, staðfestu heimildir og getu kerfisins, ákveðið hvort þú notir dumpcap/tcpdump til að afrita á disk og greina án réttinda, og undirbúið upptöku- og birtingarsíur sem eru í samræmi við markmið þitt. Með góðri aðferðafræði einfaldar Wireshark flókið og gefur þér nákvæmlega réttar upplýsingar. Sýnileikinn sem þú þarft til að greina, læra eða endurskoða net af hvaða stærð sem er.

Tengd grein:

Hvað skal gera fyrstu 24 klukkustundirnar eftir tölvuárás: farsíma-, tölvu- og netreikningar

Daníel Terrasa

Ritstjóri sérhæfður í tækni- og netmálum með meira en tíu ára reynslu í mismunandi stafrænum miðlum. Ég hef starfað sem ritstjóri og efnishöfundur fyrir rafræn viðskipti, samskipti, markaðssetningu á netinu og auglýsingafyrirtæki. Ég hef einnig skrifað á vefsíður hagfræði, fjármála og annarra geira. Vinnan mín er líka ástríða mín. Nú, í gegnum greinar mínar í Tecnobits, Ég reyni að kanna allar fréttir og ný tækifæri sem tækniheimurinn býður okkur á hverjum degi til að bæta líf okkar.