როგორ გამოვიყენოთ Wireshark Windows-ზე: სრული, პრაქტიკული და განახლებული სახელმძღვანელო

გაგიცანით ოდესმე რა ხდება სინამდვილეში თქვენს ქსელში, როდესაც ათვალიერებთ, თამაშობთ ონლაინ ან მართავთ დაკავშირებულ მოწყობილობებს? თუ უბრალოდ გაინტერესებთ თქვენს WiFi-ზე გავრცელებული საიდუმლოებები, ან თუ უბრალოდ გჭირდებათ პროფესიონალური ინსტრუმენტი ქსელის ტრაფიკის ანალიზი და თქვენი კავშირის პრობლემების აღმოჩენა, რა თქმა უნდა, სახელი Wireshark უკვე მიიპყრო თქვენი ყურადღება.

ამ სტატიაში თქვენ აღმოაჩენთ გადახვევის გარეშე ყველა დეტალი Wireshark-ის შესახებრა არის ეს, რისთვის გამოიყენება Windows-ში, როგორ დააინსტალიროთ და საუკეთესო რჩევები მონაცემების აღრიცხვამდე. მოდით, საქმეს მივხედოთ.

რა არის Wireshark? ქსელის ანალიზის ტიტანის დაშლა

Wireshark მსოფლიოში ყველაზე პოპულარული და აღიარებული ქსელური პროტოკოლის ანალიზატორია.. ეს უფასო, ღია კოდის და ძლიერი ინსტრუმენტი საშუალებას გაძლევთ ქსელის ყველა ტრაფიკის აღრიცხვა და შემოწმება რომელიც გადის თქვენს კომპიუტერში, იქნება ეს Windows, Linux, macOS მოწყობილობა თუ თუნდაც ისეთი სისტემები, როგორიცაა FreeBSD და Solaris. Wireshark-ის საშუალებით, რეალურ დროში ან ჩაწერის შემდეგ, შეგიძლიათ ნახოთ ზუსტად რომელი პაკეტები შედის და გადის თქვენს კომპიუტერში, მათი წყარო, დანიშნულების ადგილი, პროტოკოლები და კიდევ დაშალოთ ისინი, რათა მიიღოთ თითოეული ფენის დეტალები OSI მოდელის მიხედვით.

ბევრი ანალიზატორისგან განსხვავებით, Wireshark გამოირჩევა თავისი ინტუიციური გრაფიკული ინტერფეისით., არამედ გთავაზობთ ძლიერ კონსოლის ვერსიას, სახელწოდებით TShark, მათთვის, ვინც უპირატესობას ანიჭებს ბრძანების ხაზს ან სჭირდება ავტომატიზირებული დავალებების შესრულება. Wireshark-ის მოქნილობა ის საშუალებას გაძლევთ გააანალიზოთ კავშირი დათვალიერებისას, ჩაატაროთ პროფესიონალური უსაფრთხოების აუდიტი, მოაგვაროთ ქსელის შეფერხებები ან ნულიდან შეისწავლოთ ინტერნეტ პროტოკოლების მუშაობის პრინციპი - ყველაფერი ეს თქვენივე კომპიუტერიდან!

ჩამოტვირთეთ და დააინსტალირეთ Wireshark Windows-ზე

Wireshark-ის Windows-ზე ინსტალაცია მარტივი პროცესია., თუმცა სასურველია ამის გაკეთება ეტაპობრივად, რათა არ დარჩეს რაიმე გაუგებარი საკითხი, განსაკუთრებით ნებართვებთან და დამატებითი დრაივერებთან დაკავშირებით აღებისთვის.

• ოფიციალური ჩამოტვირთვა: წვდომა Wireshark-ის ოფიციალური ვებსაიტი და აირჩიეთ Windows-ის ვერსია (32 ან 64 ბიტიანი, თქვენი სისტემის მიხედვით).
• გაუშვით ინსტალერი: ორჯერ დააწკაპუნეთ გადმოწერილ ფაილზე და მიჰყევით ოსტატის მითითებებს. თუ რაიმე შეკითხვა გაქვთ, დაეთანხმეთ ნაგულისხმევ პარამეტრებს.
• აუცილებელი დრაივერები: ინსტალაციის დროს, ინსტალერი გკითხავთ დააინსტალირეთ Npcap. ეს კომპონენტი აუცილებელია, რადგან ის საშუალებას აძლევს თქვენს ქსელურ ბარათს, პაკეტები „პრომისკუსურ“ რეჟიმში დაიჭიროს. დაეთანხმეთ მის ინსტალაციას.
• შეწყვეტა და გადატვირთვა: პროცესის დასრულების შემდეგ, გადატვირთეთ კომპიუტერი, რათა დარწმუნდეთ, რომ ყველა კომპონენტი მზადაა.

მზადაა! ახლა თქვენ შეგიძლიათ დაიწყოთ Wireshark-ის გამოყენება Windows-ის დაწყების მენიუდან. გაითვალისწინეთ, რომ ეს პროგრამა ხშირად განახლდება, ამიტომ კარგი იდეაა დროდადრო შეამოწმოთ ახალი ვერსიები.

როგორ მუშაობს Wireshark: პაკეტების აღება და ჩვენება

როდესაც Wireshark-ს გახსნით, პირველი, რასაც დაინახავთ, არის თქვენს სისტემაში არსებული ყველა ქსელური ინტერფეისის სია.სადენიანი ქსელის ბარათები, WiFi და ვირტუალური ადაპტერებიც კი, თუ იყენებთ ვირტუალურ მანქანებს, როგორიცაა VMware ან VirtualBox. თითოეული ეს ინტერფეისი წარმოადგენს ციფრული ინფორმაციის შესასვლელ ან გასასვლელ წერტილს.

მონაცემების შეგროვების დასაწყებად, თქვენ უბრალოდ ორჯერ უნდა დააწკაპუნოთ სასურველ ინტერფეისზე. Მას შემდეგ, Wireshark რეალურ დროში აჩვენებს ყველა პაკეტს, რომელიც ცირკულირებს ამ ბარათით, მათი დახარისხებით სვეტების მიხედვით, როგორიცაა პაკეტის ნომერი, აღების დრო, წყარო, დანიშნულების ადგილი, პროტოკოლი, ზომა და დამატებითი დეტალები.

როდესაც გსურთ გადაღების შეწყვეტა, დააჭირეთ ღილაკს წითელი გაჩერების ღილაკი. თქვენ შეგიძლიათ შეინახოთ თქვენი გადაღებული ფაილები .pcap ფორმატში შემდგომი ანალიზისთვის, გასაზიარებლად ან თუნდაც სხვადასხვა ფორმატში (CSV, ტექსტი, შეკუმშული და ა.შ.) ექსპორტისთვის. ეს მოქნილობა არის ის, რაც განაპირობებს Wireshark შეუცვლელი ინსტრუმენტია როგორც ადგილზე ანალიზისთვის, ასევე სრული აუდიტისთვის..

დაწყება: რჩევები Windows-ში სკრინშოტის გადაღებამდე

იმისათვის, რომ თქვენი პირველი Wireshark-ის ჩანაწერები სასარგებლო იყოს და არ იყოს სავსე შეუსაბამო ხმაურით ან დამაბნეველი მონაცემებით, არსებობს რამდენიმე ძირითადი რეკომენდაცია, რომელიც უნდა დაიცვათ:

• დახურეთ არასაჭირო პროგრამებიჩაწერის დაწყებამდე გამოდით აპლიკაციებიდან, რომლებიც ფონურ ტრაფიკს წარმოქმნიან (განახლებები, ჩატები, ელფოსტის კლიენტები, თამაშები და ა.შ.). ამ გზით თქვენ თავიდან აიცილებთ შეუსაბამო ტრაფიკის შერევას.
• აკონტროლეთ firewall-იfirewall-ებს შეუძლიათ ტრაფიკის დაბლოკვა ან შეცვლა. თუ სრული ჩანაწერის გაკეთება გსურთ, განიხილეთ მისი დროებით გამორთვა.
• აღბეჭდეთ მხოლოდ ის, რაც აქტუალურიათუ გსურთ კონკრეტული აპლიკაციის ანალიზი, ჩაწერის დაწყებიდან ერთი ან ორი წამი დაელოდეთ აპლიკაციის გასაშვებად და იგივე გააკეთეთ მისი დახურვისას, სანამ ჩაწერას შეაჩერებთ.
• იცოდეთ თქვენი აქტიური ინტერფეისიდარწმუნდით, რომ სწორი ქსელის ბარათი აირჩიეთ, განსაკუთრებით თუ რამდენიმე ადაპტერი გაქვთ ან ვირტუალურ ქსელში ხართ.

ამ ინსტრუქციების დაცვით, თქვენი ეკრანის ანაბეჭდები გაცილებით სუფთა და სასარგებლო იქნება შემდგომი ანალიზისთვის..

ფილტრები Wireshark-ში: როგორ გავამახვილოთ ყურადღება იმაზე, რაც ნამდვილად მნიშვნელოვანია

Wireshark-ის ერთ-ერთი ყველაზე ძლიერი მახასიათებელი ფილტრებია.. არსებობს ორი ძირითადი ტიპი:

• აღბეჭდვის ფილტრებიისინი გამოიყენება მოზიდვის დაწყებამდე, რაც საშუალებას გაძლევთ თავიდანვე შეაგროვოთ მხოლოდ ის ტრაფიკი, რომელიც გაინტერესებთ.
• ჩვენების ფილტრებიესენი ვრცელდება უკვე აღებული პაკეტების სიაზე, რაც საშუალებას გაძლევთ აჩვენოთ მხოლოდ ის პაკეტები, რომლებიც აკმაყოფილებს თქვენს კრიტერიუმებს.

ყველაზე გავრცელებულ ფილტრებს შორისაა:

• პროტოკოლითფილტრავს მხოლოდ HTTP, TCP, DNS და ა.შ. პაკეტებს.
• IP მისამართითმაგალითად, აჩვენეთ მხოლოდ პაკეტები კონკრეტული IP მისამართიდან ან მისკენ, გამოყენებით ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• პორტის მიხედვით: შედეგებს ზღუდავს კონკრეტული პორტით (tcp.port == 80).
• ტექსტის სტრიქონით: პოულობს პაკეტებს, რომლებიც თავიანთ შინაარსში შეიცავს საკვანძო სიტყვას.
• MAC მისამართის, პაკეტის სიგრძის ან IP დიაპაზონის მიხედვით.

გარდა ამისა, ფილტრების გაერთიანება შესაძლებელია ლოგიკურ ოპერატორებთან (მდე, or, არ) ძალიან ზუსტი ძიებებისთვის, როგორიცაა tcp.port == 80 და ip.src == 192.168.1.1.

რა შეგიძლიათ გადაიღოთ და გააანალიზოთ Wireshark-ით Windows-ზე?

Wireshark არის შეუძლია 480-ზე მეტი სხვადასხვა პროტოკოლის ინტერპრეტაცია, ისეთი საბაზისო პროტოკოლებიდან, როგორიცაა TCP, UDP, IP, აპლიკაციებისთვის სპეციფიკური პროტოკოლებით, IoT, VoIP და მრავალი სხვა პროტოკოლით დამთავრებული. ეს ნიშნავს, რომ თქვენ შეგიძლიათ შეისწავლოთ ქსელური ტრაფიკის ყველა ტიპი, მარტივი DNS მოთხოვნებიდან დაწყებული დაშიფრული SSH სესიებით, HTTPS კავშირებით, FTP გადაცემებით ან ინტერნეტ ტელეფონიიდან SIP ტრაფიკით დამთავრებული.

გარდა ამისა, Wireshark მხარს უჭერს სტანდარტულ ჩაწერის ფორმატებს, როგორიცაა tcpdump (libpcap), pcapng და სხვა.და საშუალებას გაძლევთ, მომენტალურად შეკუმშოთ და გაშიფროთ ეკრანის ანაბეჭდები GZIP-ის გამოყენებით, სივრცის დაზოგვის მიზნით. დაშიფრული ტრაფიკისთვის (TLS/SSL, IPsec, WPA2 და ა.შ.), თუ გაქვთ შესაბამისი გასაღებები, შეგიძლიათ მონაცემების გაშიფვრა და მათი ორიგინალი შინაარსის ნახვაც კი.

დეტალური ტრაფიკის აღრიცხვა: დამატებითი რეკომენდაციები

ნებისმიერი მნიშვნელოვანი ინფორმაციის აღების დაწყებამდე, დაიცავით ეს პროტოკოლი, რათა მაქსიმალურად გამოიყენოთ შეგროვებული ინფორმაციის სარგებლიანობა.:

• აირჩიეთ სწორი ინტერფეისიროგორც წესი, თქვენი აქტიური ადაპტერი იქნება თქვენს მიერ გამოყენებული კავშირისთვის განკუთვნილი. თუ ეჭვი გეპარებათ, შეამოწმეთ რომელია დაკავშირებული Windows-ის ქსელის პარამეტრებიდან.
• სცენის შექმნაგახსენით მხოლოდ ის პროგრამები ან აპლიკაციები, რომლებიც გენერირებენ იმ ტრაფიკს, რომლის ანალიზიც გსურთ.
• ფენომენის იზოლირებათუ აპლიკაციის ტრაფიკის ანალიზს აპირებთ, მიჰყევით ამ თანმიმდევრობას: ჩაწერის დაწყების შემდეგ გაუშვით აპლიკაცია, შეასრულეთ სასურველი მოქმედება და ჩაწერის შეჩერებამდე დახურეთ აპლიკაცია.
• შეინახეთ ეკრანის სურათი: ჩაწერის შესაჩერებლად გადადით File > Save და აირჩიეთ .pcap ან თქვენთვის სასურველი ფორმატი.

ასე მიიღებთ ფაილების სუფთა და მარტივი ანალიზი, ყოველგვარი უსარგებლო ტრაფიკის გარეშე.

საილუსტრაციო მაგალითები: ტრაფიკის ანალიზი Wireshark-ის გამოყენებით

დავუშვათ, რომ თქვენს ლოკალურ ქსელში ორი კომპიუტერი გაქვთ და ერთ-ერთი მათგანი ინტერნეტთან წვდომას წყვეტს. ამ მოწყობილობიდან ტრაფიკის დასაფიქსირებლად შეგიძლიათ გამოიყენოთ Wireshark. და ნახეთ, არის თუ არა შეცდომები DNS მისამართების ამოხსნისას, ხომ არ აღწევს პაკეტები როუტერამდე, ან ხომ არ ბლოკავს firewall კომუნიკაციას.

კიდევ ერთი ტიპიური შემთხვევა: აღმოაჩინოს, თუ ვებსაიტი სწორად არ დაშიფრავს თქვენს შესვლას. თუ შეხვალთ ვებსაიტზე HTTPS-ის გარეშე და თქვენს მომხმარებლის სახელთან ერთად გამოიყენებთ HTTP ფილტრს, შეიძლება თქვენი პაროლი ქსელში გაურკვეველი გზით გადაადგილდეს, რაც დაუცველი ვებსაიტების რისკის რეალურ ცხოვრებაში დემონსტრირებას წარმოადგენს.

Wireshark და უსაფრთხოება: რისკები, შეტევები და დამცავი ზომები

Wireshark-ის სიმძლავრე ასევე მისი უდიდესი რისკია: არასწორ ხელში მოხვედრის შემთხვევაში, მას შეუძლია ხელი შეუწყოს რწმუნებათა სიგელების ხელში ჩაგდებას, ჯაშუშობას ან მგრძნობიარე ინფორმაციის გამჟღავნებას.. აქ მოცემულია რამდენიმე მუქარა და რეკომენდაცია:

• სერთიფიკატების შევსება (სერთიფიკატების უხეში ძალის შეტევები)თუ SSH, Telnet ან სხვა სერვისის ტრაფიკს იჭერთ, შეიძლება შეამჩნიოთ ავტომატური შესვლის მცდელობები. ყურადღება მიაქციეთ უფრო ხანგრძლივ სესიებს (ისინი, როგორც წესი, წარმატებულია), პაკეტების ზომას და საეჭვო ნიმუშების აღმოჩენის მცდელობების რაოდენობას.
• გარე ტრაფიკის რისკიგაფილტრეთ ყველა SSH ტრაფიკი, რომელიც თქვენი შიდა ქსელიდან არ მოდის: თუ გარედან კავშირებს ხედავთ, ფრთხილად იყავით!
• უბრალო ტექსტის პაროლებითუ ვებსაიტი გადასცემს დაუშიფრავ მომხმარებლის სახელებსა და პაროლებს, ამას ეკრანის სურათზე ნახავთ. არასოდეს გამოიყენოთ Wireshark უცხოურ ქსელებში ამ მონაცემების მისაღებად. გახსოვდეთ, რომ ნებართვის გარეშე ამის გაკეთება უკანონოა.
• თანხმობა და კანონიერებააანალიზებს ტრაფიკს მხოლოდ საკუთარი ქსელებიდან ან ექსპლიციტური ავტორიზაციის მქონე პირებიდან. კანონი ამ საკითხთან დაკავშირებით ძალიან მკაფიოა და ბოროტად გამოყენებამ შეიძლება სერიოზული შედეგები გამოიწვიოს.
• გამჭვირვალობა და ეთიკათუ კორპორატიულ გარემოში მუშაობთ, აცნობეთ მომხმარებლებს ანალიზისა და მისი მიზნის შესახებ. კონფიდენციალურობის პატივისცემა ისეთივე მნიშვნელოვანია, როგორც ტექნიკური უსაფრთხოება.

Wireshark-ის ალტერნატივები: ქსელის ანალიზის სხვა ვარიანტები

Wireshark უდავო ცნობარია, თუმცა არსებობს სხვა ინსტრუმენტებიც, რომლებსაც შეუძლიათ მისი გამოყენება შეავსონ ან, კონკრეტულ სიტუაციებში, ჩაანაცვლონ:

• tcpdumpიდეალურია Unix/Linux გარემოსთვის, მუშაობს ბრძანების ხაზზე. ის მსუბუქი, სწრაფი და მოქნილია სწრაფი გადაღებების ან ავტომატიზირებული ამოცანებისთვის.
• ღრუბლოვანი ზვიგენივებ პლატფორმა ბრაუზერიდან აღებული პაკეტების ატვირთვის, ანალიზისა და გაზიარებისთვის. ძალიან სასარგებლოა თანამშრომლობითი გარემოსთვის.
• SmartSniffფოკუსირებულია Windows-ზე, მარტივი გამოსაყენებელია წერტილოვანი გადაღებისთვის და კლიენტებსა და სერვერებს შორის საუბრების სანახავად.
• კოლა-სოფთ კაპსაგრაფიკული ქსელის ანალიზატორი, რომელიც გამოირჩევა ინტერფეისის სიმარტივით და პორტის სკანირების, ექსპორტისა და კომპაქტური ვიზუალიზაციის სპეციფიკური ვარიანტებით.

საუკეთესო ალტერნატივის არჩევა თქვენს კონკრეტულ საჭიროებებზეა დამოკიდებული.: სიჩქარე, გრაფიკული ინტერფეისი, ონლაინ თანამშრომლობა ან თავსებადობა კონკრეტულ აპარატურასთან.

გაფართოებული პარამეტრები: უწესრიგო რეჟიმი, მონიტორი და სახელის გარჩევადობა

Promiscuous რეჟიმი საშუალებას აძლევს ქსელურ ბარათს აიღოს არა მხოლოდ მისთვის განკუთვნილი პაკეტები, არამედ ყველა ტრაფიკი, რომელიც ცირკულირებს ქსელში, რომელთანაც ის არის დაკავშირებული. ეს გადამწყვეტი მნიშვნელობისაა კორპორატიული ქსელების, საერთო ჰაბების ან შეღწევადობის სცენარების ანალიზისთვის.

Windows-ზე გადადით გადაღება > პარამეტრები, აირჩიეთ ინტერფეისი და მონიშნეთ უწყვეტი რეჟიმის ველი. გაითვალისწინეთ, რომ Wi-Fi ქსელებში, ძალიან სპეციფიკური აპარატურის გარდა, თქვენ მხოლოდ თქვენი მოწყობილობიდან შემოსულ ტრაფიკს დაინახავთ.

გარდა ამისა, სახელის გარჩევადობა IP მისამართებს წაკითხვად დომენურ სახელებად გარდაქმნის (მაგალითად, google-public-dns-a.google.com-ში 8.8.8.8). ამ ოფციის ჩართვა ან გამორთვა შეგიძლიათ რედაქტირებიდან > პარამეტრები > სახელის გარჩევადობიდან. ეს ძალიან გვეხმარება მოწყობილობების იდენტიფიცირებაში სკანირების დროს, თუმცა შეიძლება შეანელოს პროცესი, თუ ბევრი მისამართის ამოხსნა ხდება.