Windows жүйесінде Wireshark қалай пайдалануға болады: толық, практикалық және жаңартылған нұсқаулық

Ойланып көрдіңіз бе? Сіз қосылған құрылғыларды шолған, онлайн ойнаған немесе басқарған кезде желіңізде не болып жатыр? Егер сіз жай ғана WiFi желісінде айналатын құпияларға қызығушылық танытсаңыз немесе сізге кәсіби құрал қажет болса Желі трафигін талдаңыз және қосылымдағы ақауларды анықтаңыз, сөзсіз аты Wireshark қазірдің өзінде сіздің назарыңызды аударды.

Бұл мақалада сіз айналма жолдарсыз таба аласыз Wireshark туралы барлық мәліметтер: Бұл не, ол Windows жүйесінде не үшін пайдаланылады, оны орнату жолы және деректерді түсіруді бастамас бұрын ең жақсы кеңестер. Оған жетейік.

Wireshark дегеніміз не? Желілік талдаудың титанын бұзу

Wireshark - әлемдегі ең танымал және танымал желілік протокол анализаторы.. Бұл тегін, ашық бастапқы және қуатты құрал сізге мүмкіндік береді барлық желілік трафикті түсіру және тексеру ол Windows, Linux, macOS құрылғысы немесе тіпті FreeBSD және Solaris сияқты жүйелер болсын, компьютеріңіз арқылы өтеді. Wireshark көмегімен нақты уақыт режимінде немесе жазғаннан кейін компьютерге нақты қандай пакеттер кіріп-шығып жатқанын, олардың көзін, тағайындалған орнын, хаттамаларын көре аласыз, тіпті OSI үлгісіне сәйкес әрбір қабаттың мәліметтерін алу үшін оларды бөлшектей аласыз.

Көптеген анализаторлардан айырмашылығы, Wireshark өзінің интуитивті графикалық интерфейсімен ерекшеленеді, сонымен қатар пәрмен жолын ұнататын немесе автоматтандырылған тапсырмаларды орындауды қажет ететіндер үшін TShark деп аталатын қуатты консоль нұсқасын ұсынады. Wireshark икемділігі Ол шолу кезінде қосылымды талдауға, кәсіби қауіпсіздік аудитін жүргізуге, желідегі қиындықтарды шешуге немесе Интернет протоколдарының қалай жұмыс істейтінін нөлден бастап білуге ​​мүмкіндік береді, барлығын өз компьютеріңізден!

Windows жүйесінде Wireshark жүктеп алыңыз және орнатыңыз

Windows жүйесінде Wireshark орнату қарапайым процесс., бірақ, әсіресе, түсіруге арналған рұқсаттар мен қосымша драйверлерге қатысты бос ұштарды қалдырмау үшін оны кезең-кезеңімен орындаған жөн.

• Descarga oficial: Кіру Wireshark ресми сайты және Windows нұсқасын таңдаңыз (жүйеге байланысты 32 немесе 64 бит).
• Ejecuta el instalador: Жүктелген файлды екі рет басып, шеберді орындаңыз. Сұрақтарыңыз болса, әдепкі опцияларды қабылдаңыз.
• Маңызды драйверлер: Орнату кезінде орнатушы сізден сұрайды Npcap орнатыңыз. Бұл компонент өте маңызды, себебі ол желілік картаңызға пакеттерді «жеңіл» режимде түсіруге мүмкіндік береді. Оны орнатуды қабылдаңыз.
• Аяқтау және қайта іске қосу: Процесс аяқталғаннан кейін барлық құрамдастардың дайын екеніне көз жеткізу үшін компьютерді қайта іске қосыңыз.

Дайын! Енді Wireshark қолданбасын Windows Бастау мәзірінен бастауға болады. Бұл бағдарлама жиі жаңартылып тұратынын ескеріңіз, сондықтан жаңа нұсқаларды мезгіл-мезгіл тексеріп тұрған жөн.

Wireshark қалай жұмыс істейді: пакеттерді түсіру және көрсету

Wireshark ашқанда, Сіз көретін бірінші нәрсе - жүйеде қол жетімді барлық желілік интерфейстердің тізімі.: VMware немесе VirtualBox сияқты виртуалды машиналарды пайдалансаңыз, сымды желі карталары, WiFi және тіпті виртуалды адаптерлер. Бұл интерфейстердің әрқайсысы сандық ақпарат үшін кіру немесе шығу нүктесін білдіреді.

Деректерді түсіруді бастау үшін, Қажетті интерфейсті екі рет басу жеткілікті. Desde ese momento, Wireshark нақты уақытта айналатын барлық пакеттерді көрсетеді сол карта бойынша оларды пакет нөмірі, түсіру уақыты, көз, тағайындау, протокол, өлшем және қосымша мәліметтер сияқты бағандар бойынша сұрыптау.

Түсіруді тоқтатқыңыз келсе, түймесін басыңыз қызыл Тоқтату түймесі. Түсірулерді кейінірек талдау, ортақ пайдалану немесе әртүрлі пішімдерде (CSV, мәтін, қысылған және т.б.) экспорттау үшін .pcap пішімінде сақтауға болады. Бұл икемділік жасайды Wireshark - спот талдауы үшін де, толық аудит үшін де таптырмас құрал..

Жұмысты бастау: Windows жүйесінде скриншотты түсірмес бұрын кеңестер

Алғашқы Wireshark түсірілімдерінің пайдалы болуын және маңызды емес шу немесе шатастыратын деректермен толтырылмауын қамтамасыз ету үшін бірнеше негізгі ұсыныстарды орындау қажет:

• Cierra programas innecesarios: Түсіруді бастамас бұрын, фондық трафикті жасайтын қолданбалардан (жаңартулар, чаттар, электрондық пошта клиенттері, ойындар, т.б.) шығыңыз. Осылайша сіз маңызды емес трафикті араластырудан аулақ боласыз.
• Брандмауэрді басқару: Брандмауэр трафикті блоктайды немесе өзгерте алады. Толық түсіруді іздесеңіз, оны уақытша өшіруді қарастырыңыз.
• Тек маңызды нәрсені түсіріңізБелгілі бір қолданбаны талдағыңыз келсе, түсіруді бастағаннан кейін қолданбаны іске қосу үшін бір-екі секунд күтіңіз және жазуды тоқтатпас бұрын оны жапқан кезде де солай жасаңыз.
• Белсенді интерфейсіңізді біліңіз: Дұрыс желі картасын таңдағаныңызға көз жеткізіңіз, әсіресе бірнеше адаптеріңіз болса немесе виртуалды желіде болсаңыз.

Осы нұсқауларды орындай отырып, скриншоттар кез келген әрі қарай талдау үшін әлдеқайда таза және пайдалырақ болады..

Wireshark сүзгілері: шын мәнінде маңызды нәрсеге қалай назар аудару керек

Wireshark-тың ең күшті мүмкіндіктерінің бірі - сүзгілер. Екі негізгі түрі бар:

• Түсіру сүзгілері: Олар түсіруді бастамас бұрын қолданылады, бұл сізге басынан бастап сізді қызықтыратын трафикті ғана жинауға мүмкіндік береді.
• Filtros de visualización: Олар қазірдің өзінде түсірілген пакеттер тізіміне қолданылады, бұл сізге критерийлерге сәйкес келетіндерді ғана көрсетуге мүмкіндік береді.

Ең көп таралған сүзгілердің арасында:

• Протокол бойынша: Тек HTTP, TCP, DNS және т.б. пакеттерді сүзеді.
• IP мекенжайы бойынша: Мысалы, пайдалану арқылы белгілі бір IP-ден немесе оған пакеттерді ғана көрсету ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• Por puerto: Нәтижені белгілі бір портқа шектейді (tcp.port == 80).
• Мәтін жолы бойынша: Мазмұнында кілт сөзі бар бумаларды табады.
• MAC мекенжайы, пакет ұзындығы немесе IP ауқымы бойынша.

Сонымен қатар, сүзгілерді логикалық операторлармен біріктіруге болады (және, or, not) сияқты өте дәл іздеулер үшін tcp.port == 80 және ip.src == 192.168.1.1.

Windows жүйесінде Wireshark көмегімен нені түсіруге және талдауға болады?

Wireshark es 480-ден астам әртүрлі хаттамаларды түсіндіруге қабілетті, TCP, UDP, IP сияқты негіздерден қолданбалы хаттамаларға, IoT, VoIP және т.б. Бұл қарапайым DNS сұрауларынан шифрланған SSH сеанстарына, HTTPS қосылымдарына, FTP тасымалдауларына немесе Интернет телефониясынан SIP трафигіне дейін желілік трафиктің барлық түрлерін тексеруге болатынын білдіреді.

Сонымен қатар, Wireshark стандартты түсіру пішімдерін қолдайды, мысалы, tcpdump (libpcap), pcapng және т.б., және кеңістікті үнемдеу үшін GZIP көмегімен скриншоттарды жылдам қысуға және ашуға мүмкіндік береді. Шифрланған трафик үшін (TLS/SSL, IPsec, WPA2 және т.б.) дұрыс кілттер болса, тіпті деректердің шифрын ашуға және оның бастапқы мазмұнын көруге болады.

Егжей-тегжейлі трафикті түсіру: қосымша ұсыныстар

Кез келген маңызды түсіруді бастамас бұрын, жиналған ақпараттың пайдалылығын арттыру үшін осы протоколды орындаңыз.:

• Дұрыс интерфейсті таңдаңыз: Әдетте белсенді адаптер сіз пайдаланып жатқан қосылымға арналған болады. Егер күмәніңіз болса, Windows желі параметрлерінен қайсысы қосылғанын тексеріңіз.
• Prepara la escena: Талдағыңыз келетін трафикті жасайтын бағдарламаларды немесе қолданбаларды ғана ашыңыз.
• Құбылысты оқшаулаңызҚолданба трафигін талдағыңыз келсе, келесі ретті орындаңыз: түсіруді бастағаннан кейін қолданбаны іске қосыңыз, талдағыңыз келетін әрекетті орындаңыз және жазбаны тоқтатпас бұрын қолданбаны жабыңыз.
• Guarda la captura: Жазуды тоқтатып, Файл > Сақтау тармағына өтіп, .pcap немесе қалаған пішімін таңдаңыз.

Así conseguirás таза және файлдарды талдауға оңай, ешқандай қоқыс трафик араласпай.

Көрнекі мысалдар: Wireshark көмегімен трафикті талдау

Жергілікті желіде екі компьютер бар делік және олардың біреуі Интернетке кіруді тоқтатты. Бұл құрылғыдан трафикті түсіру үшін Wireshark қолданбасын пайдалануға болады. және DNS мекенжайларын шешуде қателер бар-жоғын, пакеттер маршрутизаторға жетпегенін немесе брандмауэр байланыстарды блоктап жатқанын көріңіз.

Тағы бір типтік жағдай: веб-сайт логиніңізді дұрыс шифрламағанын анықтаңыз. HTTPS жоқ веб-сайтқа кірсеңіз және пайдаланушы атыңызбен біріктірілген HTTP сүзгісін қолдансаңыз, құпия сөзіңіз желі арқылы анық көрінуі мүмкін, бұл қауіпті веб-сайттар қаупінің шынайы көрінісі.

Wireshark және қауіпсіздік: тәуекелдер, шабуылдар және қорғаныс шаралары

Wireshark қуаты да оның ең үлкен қаупі болып табылады: Қате қолдарда ол тіркелгі деректерін басып алуға, тыңшылық жасауға немесе құпия ақпаратты ашуға көмектесуі мүмкін.. Міне, кейбір қауіптер мен ұсыныстар:

• Тіркелгі деректерін толтыру (тіркелгі деректерін дөрекі күш шабуылдары): SSH, Telnet немесе басқа қызмет трафигін түсірсеңіз, автоматты түрде кіру әрекеттерін байқауыңыз мүмкін. Ұзақ сеанстарға (әдетте олар сәтті болады), пакет өлшемдеріне және күдікті үлгілерді анықтау әрекеттерінің санына назар аударыңыз.
• Сыртқы трафик қаупі: Ішкі желіңізден келмейтін барлық SSH трафигін сүзіңіз: сыртқы қосылымдарды көрсеңіз, сақ болыңыз!
• Ашық мәтіндік құпия сөздер: Егер веб-сайт шифрланбаған пайдаланушы аттары мен құпия сөздерді жіберсе, оны скриншотта көресіз. Шетелдік желілерде бұл деректерді алу үшін ешқашан Wireshark қолданбаңыз. Рұқсатсыз мұны істеу заңсыз екенін есте сақтаңыз.
• Келісім және заңдылық: тек жеке желілерден немесе нақты рұқсаты бар трафикті талдайды. Заңда бұл мәселе өте анық және теріс пайдалану ауыр зардаптарға әкелуі мүмкін.
• Transparencia y ética: Корпоративтік ортада жұмыс істесеңіз, пайдаланушыларға талдау және оның мақсаты туралы хабарлаңыз. Құпиялылықты құрметтеу техникалық қауіпсіздік сияқты маңызды.

Wireshark баламалары: желіні талдауға арналған басқа опциялар

Wireshark - бұл даусыз сілтеме, бірақ оның қолданылуын толықтыратын немесе нақты жағдайларда алмастыратын басқа құралдар бар:

• Tcpdump: Unix/Linux орталары үшін өте қолайлы, пәрмен жолында жұмыс істейді. Ол жеңіл, жылдам және жылдам түсіру немесе автоматтандырылған тапсырмалар үшін икемді.
• Cloudshark: Шолғыштан пакеттік түсірілімдерді жүктеп салуға, талдауға және ортақ пайдалануға арналған веб-платформа. Бірлескен орталар үшін өте пайдалы.
• SmartSniff: Windows жүйесіне бағытталған, клиенттер мен серверлер арасындағы сөйлесулерді түсіру және көру үшін пайдалану оңай.
• ColaSoft Capsa: Интерфейстің қарапайымдылығымен және портты сканерлеу, экспорттау және ықшам визуализация үшін арнайы опциялармен ерекшеленетін графикалық желі анализаторы.

Ең жақсы балама таңдау сіздің нақты қажеттіліктеріңізге байланысты.: жылдамдық, графикалық интерфейс, желіде жұмыс істеу немесе арнайы жабдықпен үйлесімділік.

Қосымша параметрлер: Азғындық режимі, монитор және атау рұқсаты

Азғындық режимі желі картасына түсіруге мүмкіндік береді оған арналған пакеттер ғана емес, бірақ ол қосылған желі арқылы айналатын барлық трафик. Бұл корпоративтік желілерді, ортақ хабтарды немесе пентестинг сценарийлерін талдау үшін өте маңызды.

Windows жүйесінде келесіге өтіңіз Түсіру > Параметрлер, интерфейсті таңдап, азғындық режимі жолағын белгілеңіз. Есіңізде болсын, Wi-Fi желілерінде өте нақты жабдықты қоспағанда, сіз тек өзіңіздің құрылғыңыздан трафикті көресіз.

Басқа жақтан, Атау рұқсаты IP мекенжайларын оқылатын домен атауларына түрлендіреді (мысалы, google-public-dns-a.google.com сайтындағы 8.8.8.8). Бұл опцияны Өңдеу > Теңшелімдер > Атау ажыратымдылығы тармағында қосуға немесе өшіруге болады. Бұл сканерлеу кезінде құрылғыларды анықтауға көп көмектеседі, дегенмен шешілетін мекенжайлар көп болса, процесті баяулатуы мүмкін.