Meriv çawa Wireshark bikar tîne da ku pirsgirêkên torê tespît bike

Eger hûn di warên torgilok, ewlehî, an pêşvebirinê de dixebitin û dixwazin fêm bikin ka çi li ser kabloyên we û Wi-Fi-ya we diqewime, bi Wireshark Ew hêmanek girîng e. Ev analîzkerê pakêtên çavkaniya vekirî bi dehsalan pêşketinê ku dihêle trafîk di asta pakêtê de bi rastbûna cerrahî were girtin, parçekirin û lêkolînkirin.

Di vê gotarê de em wê bi kûrahî analîz dikin: ji lîsans û sponsorgeriya wê bigire heya pakêtên wê yên di GNU/Linux de, tevî amûrên konsolê, formatên piştgirîkirî, pêdiviyên berhevkirinê, destûrên girtinê û nihêrînek dîrokî û fonksiyonel a bi rastî bêkêmasî.

Wireshark çi ye û îro ji bo çi tê bikar anîn?

Di bingeh de, Wireshark e analîzkerê protokolê û cîhaza girtina trafîkê ku dihêle hûn navrûyekê bixin moda promiscuous an monitor (eger pergal piştgirîya wê bike) û çarçoveyên ku ji Mac-a we re nayên şandin bibînin, axaftinan analîz bikin, herikînan ji nû ve ava bikin, pakêtan li gorî qaîdeyan reng bikin, û fîlterên dîmenderê yên pir îfadekar bicîh bînin. Wekî din, TShark (guhertoya termînalê) tê de heye û komek ji amrazên bikêrhatî ji bo karên wekî ji nû ve rêzkirina, parçekirin, yekkirin û veguherandina wêneyên ekranê.

Her çend karanîna wê dişibihe tcpdump, ew navgînek grafîkî ya nûjen peyda dike ku li ser bingeha Qt ye bi fîlterkirin, rêzkirin û veqetandina kûr ji bo bi hezaran protokolan. Ger hûn li ser swîçekê ne, ji bîr mekin ku moda promiscuous garantî nake ku hûn ê hemî trafîkê bibînin: ji bo senaryoyên bêkêmasî hûn ê hewceyê neynikkirina portê an jî lêdanên torê bin, ku di belgekirina wan de wekî pratîkên çêtirîn jî têne behs kirin.

Lîsans, bingeh û modela pêşveçûnê

Wireshark li jêr tê belavkirin GNU GPL v2 û li gelek cihan, wekî "GPL v2 an nûtir". Hin amûrên di koda çavkaniyê de di bin lîsansên cûda lê lihevhatî de têne lîsans kirin, wekî amûra pidl bi GPLv3+, ku bandorê li binaryaya encam a analîzker nake. Garantiya eşkere an jî nepenî tune; wê bi berpirsiyariya xwe bikar bînin, wekî ku bi nermalava belaş re her gav e.

La Weqfa Wireshark Ew pêşxistin û belavkirinê hevrêz dike. Ew xwe dispêre bexşên kes û rêxistinên ku xebata wan li ser Wireshark-ê ye. Proje bi hezaran nivîskarên qeydkirî û kesayetiyên dîrokî yên wekî Gerald Combs, Gilbert Ramirez, û Guy Harris di nav alîgirên xwe yên herî berbiçav de pesnê xwe dide.

Wireshark li ser Linux, Windows, macOS, û pergalên din ên mîna Unix (BSD, Solaris, hwd.) dixebite. Pakêtên fermî ji bo Windows û macOS têne berdan, û li ser GNU/Linux ew bi gelemperî wekî pakêtek standard an pêvek di belavkirinên wekî Debian, Ubuntu, Fedora, CentOS, RHEL, Arch, Gentoo, openSUSE, FreeBSD, DragonFly BSD, NetBSD, û OpenBSD de tê de ye. Ew di heman demê de li ser pergalên sêyemîn ên wekî ... jî heye. Homebrew, MacPorts, pkgsrc an OpenCSW.

Ji bo berhevkirina ji kodê, hûn ê hewceyê Python 3; AsciiDoctor ji bo belgekirinê; û amûrên mîna Perl û GNU flex (lex-a klasîk dê nexebite). Mîhengkirina bi karanîna CMake dihêle hûn piştgiriya taybetî çalak bikin an neçalak bikin, mînakî, pirtûkxaneyên pêçandinê bi -DENABLE_ZLIB=GIRTÎ, -DENABLE_LZ4=GIRTÎ an -DENABLE_ZSTD=GIRTÎ, an jî piştgiriya libsmi bi -DENABLE_SMI=OFF heke hûn tercîh dikin ku MIB-an bar nekin.

Pakêt û pirtûkxaneyên di pergalên bingeha Debian de

Di Debian/Ubuntu û jîngehên derivatîf de, ekosîstema Wireshark li du beşan tê dabeşkirin: gelek pakêtLi jêr şirovekirinek bi taybetmendî, mezinahîyên texmînî û girêdayîyan heye. Ev pakêt dihêlin hûn ji GUI-yek temam bigire heya pirtûkxane û amûrên pêşkeftinê ji bo entegrekirina dabeşkirinan di nav sepanên xwe de hilbijêrin.

wireshark

Serlêdana grafîkî ji bo girtin û analîzkirina trafîkê bi navbeynkariya Qt. Mezinahiya texmînkirî: 10.59 MBTesîs: sudo apt install wireshark

Di nav vebijarkên destpêkirina wê de hûn ê parametreyan bibînin da ku navrûyê hilbijêrin (-i), fîlterên girtinê (-f), sînorê wênekêşanê, moda çavdêriyê, lîsteyên celebên girêdanan, fîlterên nîşandanê (-Y), "Decode As" û tercîh, û her weha formatên derana pelan û şîroveyên girtinê. Serlêdan her weha destûrê dide profîlkirin û statîstîkên mîhengkirinê taybetmendiyên pêşkeftî ji navrûyê.

sehmasî

Guhertoya konsolê ji bo girtin û analîzkirina xeta fermanan. Mezinahiya texmînkirî: 429 KBTesîs: sudo apt install tshark

Ew dihêle hûn navrûyan hilbijêrin, fîlterên girtin û nîşandanê bicîh bînin, şert û mercên rawestandinê (dem, mezinahî, hejmara pakêtan) diyar bikin, tamponên dorhêl bikar bînin, hûrguliyên çapkirinê, dumpên hex û JSON, û tişt û mifteyên TLS hinarde bikin. Ew dikare derana di termînalek hevgirtî de jî reng bike. tomarkirina tomarê sererast bike li gorî domainan û astên hûrguliyan. Ger hûn BPF JIT-ê di asta kernel de çalak bikin, divê hûn baldar bin, ji ber ku dibe ku bandorên ewlehiyê hebin.

wireshark-common

Pelên hevpar ji bo wireshark û tshark (mînak, ferheng, mîheng, û amûrên xetê). Mezinahiya texmînkirî: 1.62 MBTesîs: sudo apt install wireshark-common

Ev pakêt fonksiyonên wekî capinfos (agahiyên pelê girtinê: celeb, kapsulkirin, dem, rêje, mezinahî, hash û şîrove), tîpa nivîsê (celebên pelan destnîşan bikin), qapaxa çopê (amûra girtinê ya sivik ku pcapng/pcap bi rawestandina otomatîk û tamponên dorhêl bikar tîne), sernivîsa sererastkirinê (girtiyan biguherîne/parçe bike/veguherîne, demjimêran rast bike, dubareyan jê bibe, şîrove an razên lê zêde bike), mergecap (gelek girtinan yek bikin an jî li hev bikin), mmdbresolve (cihbûna IP-ê bi databasa MMDB çareser bike), randpkt (jeneratorê pakêtên sentetîk ên pir-protokolî), masiyê xav (disection xav bi derana zeviyê), ji nû ve fermankirinê (li gorî mohra demê ji nû ve rêz bike), kêvroşk (daemon bi API-yê ji bo pêvajoya girtinan) û nivîs2pcap (nivîsên heksade an jî nivîsa rêkxistî veguherîne tomarên derbasdar).

libwireshark18 û daneyên libwireshark

Pirtûkxaneya navendî ya parçekirina pakêtê. Analîzkerên protokolê yên ku ji hêla Wireshark/TShark ve têne bikar anîn peyda dike. Mezinahiya pirtûkxaneyê ya texmînî: 126.13 MBTesîs: sudo apt install libwireshark18 y sudo apt install libwireshark-data

Ew piştgiriya hejmareke mezin ji protokol û vebijarkan vedihewîne wekî çalakkirin an neçalakkirina parçekirinên taybetî, heurîstîk, û "Decode As" ji navrûyê an xeta fermanê; bi saya vê yekê, hûn dikarin biguherînin analîzkirina trafîka rastîn ji derdora xwe.

libwiretap15 û libwiretap-dev

Wiretap pirtûkxaneyek e ji bo xwendin û nivîsandina gelek formatên pelên girtinê. Xalên wê yên bihêz cûrbecûr formatên ku ew piştgirî dike ne; kêmasiyên wê ev in: Ew fîltre nake an jî girtina rasterast pêk nayne.Tesîs: sudo apt install libwiretap15 y sudo apt install libwiretap-dev

Guhertoya -dev pirtûkxaneya statîk û sernivîsên C peyda dike da ku operasyonên xwendin/nivîsandinê di nav amûrên we de entegre bike. Ev dihêle hûn amûrên ku daneyan manîpule dikin pêşve bibin. pcap, pcapng û konteynerên din wekî beşek ji boriyên me yên xwe.

libwsutil16 û libwsutil-dev

Komek ji amûrên ku ji hêla Wireshark û pirtûkxaneyên têkildar ve têne parve kirin: fonksiyonên alîkar ji bo manîpulekirina rêzikan, tamponkirin, şîfrekirin, û hwd. Sazkirin: sudo apt install libwsutil16 y sudo apt install libwsutil-dev

Pakêta -dev sernivîs û pirtûkxaneyek statîk dihewîne da ku sepanên derveyî bikaribin bêyî ku çerxên ji nû ve bicîh bikin, amûrên hevpar bi hev ve girêbidin. Ew bingeha gelek fonksiyonên hevbeş ku Wireshark û TShark bikar tînin.

wireshark-dev

Amûr û pelên ji bo afirandina "dissectorên" nû. Ew skrîptên mîna idl2wrs, û her weha girêdayîbûnên ji bo berhevkirin û ceribandinê peyda dike. Mezinahiya texmînkirî: 621 KBTesîs: sudo apt install wireshark-dev

Ew di nav xwe de xizmetên wekî asn2deb (pakêtên Debian ji bo çavdêriya BER ji ASN.1 çêdike) û idl2deb (pakêtên ji bo CORBA). Û, ji her tiştî girîngtir, idl2wrsEv amûr IDL-yeke CORBA vediguherîne îskeleta pêvekek C ji bo veqetandina trafîka GIOP/IIOP. Ev herikîna kar xwe dispêre skrîptên Python (wireshark_be.py û wireshark_gen.py) û bi xweber veqetandina heurîstîk piştgirî dike. Amûr li modulên xwe digere. PYTHONPATH/pakêtên-malperê an jî di navnîşana heyî de, û ji bo çêkirina kodê beralîkirina pelê qebûl dike.

wireshark-doc

Belgeya bikarhêner, rêbernameya pêşveçûnê û referansa Lua. Mezinahiya texmînkirî: 13.40 MBTesîs: sudo apt install wireshark-doc

Ger hûn bixwazin kûrtir lêkolîn bikin tê pêşniyar kirin dirêjkirin, skrîptkirin û APIBelgeya serhêl a li ser malpera fermî bi her guhertoyek sabît re tê nûvekirin.

Destûrên girtin û ewlehiyê

Di gelek sîsteman de, girtina rasterast mafên bilind hewce dike. Ji ber vê sedemê, Wireshark û TShark girtinê ji karûbarek sêyemîn re dişînin. qapaxa çopêPelek binary ku ji bo xebitandina bi îmtiyazan (set-UID an jî şiyan) hatiye sêwirandin da ku rûyê êrîşê kêm bike. Bixebitandina tevahiya GUI wekî root ne pratîkek baş e; çêtir e ku bi dumpcap an tcpdump were girtin û bêyî îmtiyazan were analîzkirin da ku xetereyan kêm bike.

Dîroka projeyê bûyerên ewlehiyê yên di nav salan de di nav de dissektoran de vedihewîne, û hin platformên mîna OpenBSD ji ber vê sedemê mînaka Ethereal a kevin vekişandin. Bi modela heyî re, îzolekirina ji girtinê û nûvekirinên domdar rewşê baştir dike, lê her gav tê pêşniyar kirin ku notên ewlehiyê bişopînin Û, heke hûn çalakiyek gumanbar bibînin, bizanin ka çawa girêdanên torê yên gumanbar asteng bike û bêyî vekolîna pêşwext ji vekirina wêneyên ekranê yên nepêbawer dûr bisekinin.

Formatên pelan, pêlkirin, û tîpên taybet

Wireshark formatên ji analîzkerên din ên wekî snoop, Network General Sniffer, Microsoft Network Monitor, û gelekên ku li jor ji hêla Wiretap ve hatine navnîş kirin dixwîne û dinivîse. Ew dikare pelên pêçayî veke ger ew bi pirtûkxaneyên ji bo pcapng hatine berhev kirin. GZIP, LZ4 û ZSTDBi taybetî, GZIP û LZ4 bi blokên serbixwe rê didin bazdanên bilez, û performansa GUI di girtinên mezin de baştir dikin.

Taybetmendiyên projeyê yên wekî AIX iptrace (ku HUP-ek ji bo daemon bi awayekî paqij digire), piştgiriya şopên Lucent/Ascend, Toshiba ISDN an CoSine L2, belge dike, û nîşan dide ka meriv çawa derana nivîsê li pelê tomar dike (mînak, bi telnet <equipo> | tee salida.txt an jî bi karanîna amûrê nivîs) ji bo ku paşê bi text2pcap wê îtxal bike. Ev rê we ji Girtinên "kevneşopî" dema ku hûn alavên ku rasterast li ser PCP-ê naqelibin bikar tînin.

Amûrên Suitê û kategoriyên vebijarkan

Ji bilî Wireshark û TShark, belavkirin di nav xwe de digire çend amûrên ku karên pir taybetî vedihewîninBêyî ku nivîsa alîkariyê bi rastî kopî bikim, li vir kurteyek li gorî kategoriyan hatî organîzekirin da ku hûn bizanin her yek çi dike û hûn ê çi vebijarkan bibînin:

• qapaxa çopê: girtina pcap/pcapng ya "saf û hêsan", hilbijartina navrûyê, fîlterên BPF, mezinahiya baferê, zivirîna li gorî dem/mezinahî/pelan, çêkirina baferên zengilê, girtina şîroveyan û derxistina bi formatê xwendî ji hêla makîneyê veJi ber xetereyên potansiyel, li dijî aktîvkirina JIT ya BPF hişyarî dide.
• capinfosEw cureyê pelê, kapsulkirin, navrû û metadatayan nîşan dide; hejmara pakêtan, mezinahiya pelê, dirêjahiya giştî, sînorê wêneyên kurt, kronolojî (pêşîn/paşîn), rêjeyên navînî (bps/Bps/pps), mezinahiya navînî ya pakêtê, heş û şîroveyan. Ew rê dide derana tabloyî an berfireh û formatên ku ji hêla makîneyê ve têne xwendin.
• tîpa nivîsê: cureyê pelê girtinê ji bo yek an çend têketinan bi alîkarî û vebijarkên guhertoyê destnîşan dike.
• sernivîsa sererastkirinêEw rêzeyên pakêtan hildibijêre/jê dike, dişkîne/dibire, mohrên demê (tevî rêza hişk) rast dike, dubareyan bi pencereyên mîhengkirî radike, şîroveyan li gorî çarçovê zêde dike, derana li gorî hejmar an demê dabeş dike, konteyner û kapsulasyonê diguherîne, bi razên şîfrekirinê re dixebite, û derana kompres dike. Ew amûrek pir-armanc e ji bo "paqijkirina" girtinan.
• mergecap: gelek girtinan dike yek, çi bi hevgirêdana xêzikî an jî bi tevlihevkirina li ser bingeha demjimêrê, snaplenê kontrol dike, celebê derketinê, moda yekkirina IDB û kompresyona dawîn destnîşan dike.
• ji nû ve fermankirinê: pelê li gorî nîşana demê ji nû ve rêz dike û encamek paqij çêdike, û heke ew jixwe hatibe rêzkirin, dikare ji nivîsandina encamê dûr bisekine da ku I/O tomar bike.
• nivîs2pcap: hexdump an nivîsê bi regex vediguherîne girtina derbasdar; offsetan di databasên cûrbecûr de nas dike, demjimêran bi formatên strptime (tevî rastbûna perçeyî), ASCII-ya pêvekirî tespît dike ger hebe, û dikare sernivîsên "sext" (Ethernet, IPv4/IPv6, UDP/TCP/SCTP, EXPORTED_PDU) bi pêş ve bike. port, navnîşan û etîket nîşankirî.
• masiyê xav: xwendevana "xav" a li ser zeviyê; dihêle hûn protokola kapsulkirin an parçekirinê saz bikin, çareseriyên navan neçalak bikin, fîlterên xwendin/nîşandanê saz bikin û formata derana zeviyê diyar bikin, ji bo boriyê bi amûrên din re kêrhatî ye.
• randpktPelan bi pakêtên rasthatî yên wekî ARP, BGP, DNS, Ethernet, IPv4/IPv6, ICMP, TCP/UDP, SCTP, Syslog, USB-Linux, û hwd. çêdike, hesab, mezinahiya herî zêde û konteynerê diyar dike. Îdeal ji bo test û demoyan.
• mmdbresolveJi bo nîşandana cihê erdnîgarî yê navnîşanên IPv4/IPv6, bi diyarkirina yek an çend pelên databasê, lêpirsînek li ser databasên MaxMind (MMDB) bike.
• kêvroşk: daemonek ku API-yek (moda "zêr") an soketek klasîk (moda "klasîk") eşkere dike; profîlên mîhengkirinê piştgirî dike û ji hêla xerîdaran ve ji bo analîzkirin û lêgerînên aliyê serverê tê kontrol kirin, di otomasyon û karûbaran de bikêr e.

Mîmarî, taybetmendî û sînorkirin

Wireshark ji bo girtinê xwe dispêre libpcap/Npcap, û li ser ekosîstemek pirtûkxaneyan (libwireshark, libwiretap, libwsutil) ku veqetandin, format û amûrên cûda dikin. Ew destûrê dide tesbîtkirina banga VoIP, lêxistina deng di kodkirinên piştgirîkirî de, girtina trafîka USB ya xav, û fîlterkirina li ser torên Wi-Fi (eger ew di Ethernet-a çavdêrîkirî re derbas bibin). pêvekên ji bo protokolên nû bi C an Lua hatiye nivîsandin. Ew dikare trafîka dûr a kapsulkirî (mînak, TZSP) ji bo analîza demrast ji makîneyek din werbigire.

Ew ne IDS ye, û ne jî hişyariyan dide; rola wê pasîf e: ew teftîş dike, dipîve û nîşan dide. Dîsa jî, amûrên alîkar statîstîk û herikînên kar peyda dikin, û materyalên perwerdehiyê bi hêsanî peyda dibin (di nav de sepanên perwerdehiyê yên ku ji bo 2025-an hatine çêkirin ku fîlter, şopgerandin, şopa tiliya OS-ê ya bingehîn, analîza dem rast, otomasyon, trafîka şîfrekirî û entegrasyonê bi pratîkên DevOps re fêr dikin). Ev aliyê perwerdehiyê fonksiyona bingehîn a temam dike. teşhîs û çareserkirina pirsgirêkan.

Lihevhatin û ekosîstem

Platformên avakirin û ceribandinê ev in: Linux (Ubuntu), Windows û macOSProje her wiha behsa lihevhatina berfireh bi pergalên din ên mîna Unix û belavkirina bi rêya rêvebirên sêyemîn dike. Di hin rewşan de, guhertoyên pergalên xebitandinê yên kevintir şaxên berê hewce dikin (mînakî, Windows XP bi guhertoya 1.10 an kevintir). Bi gelemperî, hûn dikarin di piraniya jîngehan de bêyî pirsgirêkên mezin ji depoyên fermî an jî pelên dualî saz bikin.

Ew bi simulasyonên torê (ns, OPNET Modeler) re entegre dibin, û amûrên sêyemîn (mînak, Aircrack ji bo 802.11) dikarin werin bikar anîn da ku tomarên ku Wireshark bê zehmetî vedike çêbikin. Li ser navê qanûnî û exlaqî ya hişkJi bîr mekin ku tenê li ser şebekeyan û di senaryoyên ku destûra we ya eşkere heye de tomar bikin.

Nav, malperên fermî, û daneyên kontrolê

Malpera fermî ye wireshark.orgbi dakêşan di binpelrêça /download û belgekirina serhêl ji bo bikarhêner û pêşdebiran de. Rûpel hene bi kontrola desthilatdariyê (mînak, GND) û lîsteyên girêdanên bo depoya kodê, şopînerê bug, û bloga projeyê, ku ji bo şopandina nûçe û pirsgirêkên raporê kêrhatî ne.

Berî ku hûn dest bi tomarkirinê bikin, destûr û şiyanên pergala xwe verast bikin, biryar bidin ka hûn ê dumpcap/tcpdump bikar bînin da ku bêyî mafên we tomar bikin û li ser dîskê analîz bikin, û fîlterên tomarkirin û nîşandanê li gorî armanca xwe amade bikin. Bi rêbazek baş, Wireshark tevliheviyê hêsan dike û tam agahdariya rast dide we. Dîtina ku hûn hewce ne ji bo teşhîskirin, fêrbûn, an denetimkirina torên her mezinahî.

Gotara peywendîdar:

Di 24 demjimêrên pêşîn de piştî hackkirinê çi bikin: hesabên mobîl, komputer û serhêl

Daniel Terrace

Edîtorê pisporê teknolojî û pirsgirêkên înternetê bi zêdetirî deh salan ezmûna xwe di medyaya dîjîtal a cihêreng de heye. Min ji bo pargîdaniyên e-bazirganî, ragihandinê, kirrûbirra serhêl û reklamê wekî edîtor û afirînerê naverokê xebitî. Min li ser malperên aborî, darayî û sektorên din jî nivîsandiye. Karê min jî hewesa min e. Naha, bi gotarên min di nav de Tecnobits, Ez hewl didim ku hemî nûçe û derfetên nû yên ku cîhana teknolojiyê her roj pêşkêşî me dike ji bo baştirkirina jiyana me bikolim.