ວິທີການໃຊ້ Wireshark ເພື່ອກວດຫາບັນຫາເຄືອຂ່າຍ

ຖ້າ​ຫາກ​ທ່ານ​ເຮັດ​ວຽກ​ໃນ​ເຄືອ​ຂ່າຍ​, ຄວາມ​ປອດ​ໄພ​, ຫຼື​ການ​ພັດ​ທະ​ນາ​ແລະ​ຕ້ອງ​ການ​ທີ່​ຈະ​ເຂົ້າ​ໃຈ​ສິ່ງ​ທີ່​ເກີດ​ຂຶ້ນ​ໃນ​ສາຍ​ເຄ​ເບີນ​ແລະ Wi​-Fi ຂອງ​ທ່ານ​, ເຮັດ​ວຽກ​ຮ່ວມ​ກັບ Wireshark ມັນເປັນອົງປະກອບທີ່ສໍາຄັນ. ນີ້ ເຄື່ອງວິເຄາະແພັກເກັດແຫຼ່ງເປີດ ກັບທົດສະວັດຂອງການ evolution ທີ່ອະນຸຍາດໃຫ້ການຈັບ, dissecting ແລະການສຶກສາການຈະລາຈອນໃນລະດັບ packet ດ້ວຍຄວາມແມ່ນຍໍາໃນການຜ່າຕັດ.

ໃນບົດຄວາມນີ້ພວກເຮົາວິເຄາະມັນໃນຄວາມເລິກ: ຈາກໃບອະນຸຍາດແລະການສະຫນັບສະຫນຸນກັບຊຸດຂອງມັນຢູ່ໃນ GNU/Linux, ລວມທັງ console utilities, ຮູບແບບທີ່ສະຫນັບສະຫນູນ, ຂໍ້ກໍານົດການລວບລວມ, ການອະນຸຍາດການຈັບພາບແລະສະພາບລວມຂອງປະຫວັດສາດແລະເປັນປະໂຫຍດຢ່າງແທ້ຈິງ.

Wireshark ແມ່ນຫຍັງ ແລະມັນໃຊ້ຫຍັງສຳລັບມື້ນີ້?

ໂດຍເນື້ອແທ້ແລ້ວ, Wireshark ເປັນ ເຄື່ອງວິເຄາະໂປຣໂຕຄໍ ແລະອຸປະກອນຈັບພາບການຈະລາຈອນ ເຊິ່ງຊ່ວຍໃຫ້ທ່ານສາມາດໃສ່ອິນເຕີເຟດໃນໂຫມດຫຼືຕິດຕາມກວດກາ (ຖ້າລະບົບສະຫນັບສະຫນູນມັນ) ແລະເບິ່ງເຟຣມທີ່ຈະບໍ່ຖືກສົ່ງໄປຫາ Mac ຂອງທ່ານ, ວິເຄາະການສົນທະນາ, ສ້າງການໄຫລຄືນໃຫມ່, ຊຸດສີຕາມກົດລະບຽບ, ແລະນໍາໃຊ້ການກັ່ນຕອງການສະແດງທີ່ສະແດງອອກຫຼາຍ. ນອກຈາກນັ້ນ, ປະ​ກອບ​ມີ TShark (ສະ​ບັບ terminal​) ແລະຊຸດຂອງຜົນປະໂຫຍດສໍາລັບວຽກງານເຊັ່ນ: ການຈັດລໍາດັບໃຫມ່, ການແຍກ, ການລວມເຂົ້າກັນແລະການແປງພາບຫນ້າຈໍ.

ເຖິງແມ່ນວ່າການນໍາໃຊ້ຂອງມັນແມ່ນ reminiscent ຂອງ tcpdump, ມັນສະຫນອງການໂຕ້ຕອບຮູບພາບທີ່ທັນສະໄຫມໂດຍອີງໃສ່ Qt ກັບ. ການ​ກັ່ນ​ຕອງ​, ການ​ຈັດ​ລຽງ​, ແລະ​ການ​ແຍກ​ເລິກ​ ສໍາລັບພັນໆໂປໂຕຄອນ. ຖ້າທ່ານຢູ່ໃນສະວິດ, ຈື່ໄວ້ວ່າໂຫມດ promiscuous ບໍ່ໄດ້ຮັບປະກັນວ່າທ່ານຈະເຫັນການຈະລາຈອນທັງຫມົດ: ສໍາລັບສະຖານະການທີ່ສົມບູນ, ທ່ານຈະຕ້ອງການການສະທ້ອນພອດຫຼືທໍ່ເຄືອຂ່າຍ, ເຊິ່ງເອກະສານຂອງພວກເຂົາຍັງກ່າວເຖິງການປະຕິບັດທີ່ດີທີ່ສຸດ.

ໃບອະນຸຍາດ, ພື້ນຖານແລະຮູບແບບການພັດທະນາ

Wireshark ຖືກແຈກຢາຍພາຍໃຕ້ GNU GPL v2 ແລະໃນຫຼາຍໆບ່ອນ, ເປັນ "GPL v2 ຫຼືຫຼັງຈາກນັ້ນ". ບາງສິ່ງອໍານວຍຄວາມສະດວກໃນລະຫັດແຫຼ່ງແມ່ນໄດ້ຮັບອະນຸຍາດພາຍໃຕ້ໃບອະນຸຍາດທີ່ແຕກຕ່າງກັນແຕ່ເຂົ້າກັນໄດ້, ເຊັ່ນ: ເຄື່ອງມື pidl ກັບ GPLv3+, ເຊິ່ງບໍ່ມີຜົນຕໍ່ສອງຜົນຂອງຕົວວິເຄາະ. ບໍ່​ມີ​ການ​ຮັບ​ປະ​ກັນ​ໂດຍ​ສະ​ແດງ​ອອກ​ຫຼື​ໂດຍ​ຄວາມ​ຫມາຍ​; ໃຊ້ມັນຢູ່ໃນຄວາມສ່ຽງຂອງທ່ານເອງ, ຕາມປົກກະຕິກັບຊອບແວຟຣີ.

La ມູນນິທິ Wireshark ມັນປະສານງານການພັດທະນາແລະການແຈກຢາຍ. ມັນອີງໃສ່ການບໍລິຈາກຈາກບຸກຄົນ ແລະອົງການຈັດຕັ້ງທີ່ວຽກງານແມ່ນອີງໃສ່ Wireshark. ໂຄງ​ການ​ດັ່ງ​ກ່າວ​ມີ​ນັກ​ຂຽນ​ທີ່​ລົງ​ທະ​ບຽນ​ແລະ​ຕົວ​ເລກ​ປະ​ຫວັດ​ສາດ​ຫຼາຍ​ພັນ​ຄົນ​ເຊັ່ນ Gerald Combs, Gilbert Ramirez, ແລະ Guy Harris ໃນ​ບັນ​ດາ​ຜູ້​ສະ​ຫນັບ​ສະ​ຫນູນ​ທີ່​ສໍາ​ຄັນ​ທີ່​ສຸດ​ຂອງ​ຕົນ.

Wireshark ເຮັດວຽກຢູ່ໃນ Linux, Windows, macOS, ແລະລະບົບອື່ນໆທີ່ຄ້າຍຄືກັບ Unix (BSD, Solaris, ແລະອື່ນໆ). ແພັກເກັດທີ່ເປັນທາງການໄດ້ຖືກປ່ອຍອອກມາສໍາລັບ Windows ແລະ macOS, ແລະໃນ GNU/Linux ມັນມັກຈະຖືກລວມເຂົ້າເປັນຊຸດມາດຕະຖານຫຼື add-on ໃນການແຈກຢາຍເຊັ່ນ: Debian, Ubuntu, Fedora, CentOS, RHEL, Arch, Gentoo, openSUSE, FreeBSD, DragonFly BSD, NetBSD, ແລະ OpenBSD. ມັນຍັງມີຢູ່ໃນລະບົບພາກສ່ວນທີສາມເຊັ່ນ: Homebrew, MacPorts, pkgsrc ຫຼື OpenCSW.

ເພື່ອລວບລວມຈາກລະຫັດ, ທ່ານຈະຕ້ອງມີ Python 3; AsciiDoctor ສໍາລັບເອກະສານ; ແລະເຄື່ອງມືເຊັ່ນ Perl ແລະ GNU flex (lex ຄລາສສິກຈະບໍ່ເຮັດວຽກ). ການຕັ້ງຄ່າໂດຍໃຊ້ CMake ຊ່ວຍໃຫ້ທ່ານສາມາດເປີດຫຼືປິດການສະຫນັບສະຫນູນສະເພາະ, ຕົວຢ່າງເຊັ່ນ, ການບີບອັດຫ້ອງສະຫມຸດທີ່ມີ -DENABLE_ZLIB=OFF, -DENABLE_LZ4=ປິດ ຫຼື -DENABLE_ZSTD=OFF, ຫຼືສະຫນັບສະຫນູນ libsmi ກັບ -DENABLE_SMI=OFF ຖ້າເຈົ້າຕ້ອງການບໍ່ໂຫຼດ MIBs.

ແພັກເກດ ແລະຫ້ອງສະໝຸດໃນລະບົບທີ່ອີງໃສ່ Debian

ໃນ Debian/Ubuntu ແລະສະພາບແວດລ້ອມອະນຸພັນ, ລະບົບນິເວດ Wireshark ຖືກແບ່ງອອກເປັນ ຫຼາຍແພັກເກັດຂ້າງລຸ່ມນີ້ແມ່ນລາຍລະອຽດທີ່ມີຄຸນສົມບັດ, ຂະຫນາດໂດຍປະມານ, ແລະຄວາມຂຶ້ນກັບ. ຊຸດເຫຼົ່ານີ້ຊ່ວຍໃຫ້ທ່ານສາມາດເລືອກຈາກ GUI ທີ່ສົມບູນໄປຫາຫ້ອງສະຫມຸດແລະເຄື່ອງມືການພັດທະນາສໍາລັບການລວມເອົາການແຍກເຂົ້າໄປໃນຄໍາຮ້ອງສະຫມັກຂອງທ່ານເອງ.

wireshark

ຄໍາຮ້ອງສະຫມັກຮູບພາບສໍາລັບການຈັບແລະການວິເຄາະການຈະລາຈອນທີ່ມີການໂຕ້ຕອບ Qt. ຂະຫນາດໂດຍປະມານ: 10.59 MB. ສິ່ງອໍານວຍຄວາມສະດວກ: sudo apt install wireshark

ການເພິ່ງພາອາໄສຫຼັກ

• libc6, libgcc-s1, libstdc++6
• libgcrypt20, libglib2.0-0t64
• libpcap0.8t64
• Qt 6 (core, gui, widget, multimedia, svg, printsupport ແລະ QPA plugins)
• libwireshark18, libwiretap15, libwsutil16
• libnl-3-200, libnl-genl-3-200, libnl-route-3-200
• libminizip1t64, libspeexdsp1, wireshark-common

ໃນ​ບັນ​ດາ​ທາງ​ເລືອກ​ໃນ​ການ​ເລີ່ມ​ຕົ້ນ​ຂອງ​ຕົນ​ທ່ານ​ຈະ​ຊອກ​ຫາ​ຕົວ​ກໍາ​ນົດ​ການ​ທີ່​ຈະ​ເລືອກ​ເອົາ​ການ​ໂຕ້​ຕອບ (-i), capture filters (-f), ຂອບ​ເຂດ​ຈໍາ​ກັດ​ຮູບ​ແບບ​ການ​ຕິດ​ຕາມ​ກວດ​ກາ​, ລາຍ​ການ​ປະ​ເພດ​ການ​ເຊື່ອມ​ຕໍ່​, ການ​ກັ່ນ​ຕອງ​ການ​ສະ​ແດງ (-Y), "ຖອດລະຫັດເປັນ" ແລະຄວາມມັກ, ເຊັ່ນດຽວກັນກັບຮູບແບບຜົນຜະລິດໄຟລ໌ແລະບັນທຶກຄໍາເຫັນ. ຄໍາຮ້ອງສະຫມັກຍັງອະນຸຍາດໃຫ້ ການສ້າງໂປຣໄຟລ໌ ແລະສະຖິຕິ ຄຸນນະສົມບັດແບບພິເສດຈາກການໂຕ້ຕອບ.

ປາສະຫຼາມ

ສະບັບ Console ສໍາລັບການບັນທຶກເສັ້ນຄໍາສັ່ງແລະການວິເຄາະ. ຂະຫນາດໂດຍປະມານ: 429 KB. ສິ່ງອໍານວຍຄວາມສະດວກ: sudo apt install tshark

ການເພິ່ງພາອາໄສຫຼັກ

• libc6, libglib2.0-0t64
• libnl-3-200, libnl-route-3-200
• libpcap0.8t64
• libwireshark18, libwiretap15, libwsutil16
• wireshark-ທົ່ວໄປ

ມັນຊ່ວຍໃຫ້ທ່ານສາມາດເລືອກການໂຕ້ຕອບ, ນໍາໃຊ້ຕົວກອງການຈັບພາບແລະການສະແດງຜົນ, ກໍານົດເງື່ອນໄຂການຢຸດເຊົາ (ເວລາ, ຂະຫນາດ, ຈໍານວນຊອງ), ໃຊ້ buffers ວົງ, ລາຍລະອຽດການພິມ, hex ແລະ JSON dumps, ແລະສົ່ງອອກວັດຖຸແລະກະແຈ TLS. ມັນຍັງສາມາດປັບສີໃຫ້ຜົນຜະລິດຢູ່ໃນຈຸດທີ່ເຂົ້າກັນໄດ້. ປັບ​ການ​ບັນ​ທຶກ​ ໂດຍໂດເມນແລະລະດັບຂອງລາຍລະອຽດ. ຂໍ້ຄວນລະວັງແມ່ນແນະນໍາຖ້າທ່ານເປີດໃຊ້ BPF JIT ໃນລະດັບແກ່ນ, ເພາະວ່າມັນອາດຈະມີຜົນກະທົບດ້ານຄວາມປອດໄພ.

wireshark-ທົ່ວໄປ

ໄຟລ໌ທົ່ວໄປສຳລັບ wireshark ແລະ tserk (ເຊັ່ນ: ວັດຈະນານຸກົມ, ການຕັ້ງຄ່າ ແລະເຄື່ອງໃຊ້ສາຍ). ຂະຫນາດໂດຍປະມານ: 1.62 MB. ສິ່ງອໍານວຍຄວາມສະດວກ: sudo apt install wireshark-common

ການເພິ່ງພາອາໄສຫຼັກ

• debconf (ຫຼື debconf-2.0), libc6
• libcap2 ແລະ libcap2-bin
• libgcrypt20, libglib2.0-0t64
• libpcap0.8t64, libpcre2-8-0
• libnl-3-200, libnl-genl-3-200, libnl-route-3-200
• libspeexdsp1, libssh-4, libsystemd0
• libmaxminddb0
• libwireshark18, libwiretap15, libwsutil16
• zlib1g

ຊຸດນີ້ປະກອບມີສິ່ງອໍານວຍຄວາມສະດວກເຊັ່ນ: capinfos (ເກັບ​ກໍາ​ຂໍ້​ມູນ​ໄຟລ​໌​: ປະ​ເພດ​, encapsulation​, ໄລ​ຍະ​ເວ​ລາ​, ອັດ​ຕາ​ການ​, ຂະ​ຫນາດ​, hashes ແລະ​ຄໍາ​ຄິດ​ເຫັນ​)​, ປະເພດຕົວພິມໃຫຍ່ (ການ​ກໍາ​ນົດ​ປະ​ເພດ​ໄຟລ​໌​)​, dumpcap (ອຸ​ປະ​ກອນ​ການ​ຈັບ​ພາບ​ນ​້​ໍາ​ຫນັກ​ເບົາ​ທີ່​ໃຊ້ pcapng/pcap ກັບ autostop ແລະ buffers ວົງ), editcap (ແກ້​ໄຂ/ແຍກ/ແປງ​ການ​ຈັບ​ພາບ, ປັບ​ການ​ສະ​ແຕມ​ເວ​ລາ, ເອົາ​ການ​ຊໍ້າ​ກັນ, ເພີ່ມ​ຄວາມ​ຄິດ​ເຫັນ ຫຼື​ຄວາມ​ລັບ), ລວມກັນ (ຮວມ ຫຼື​ເຊື່ອມ​ໂຍງ​ການ​ຈັບ​ພາບ​ຫຼາຍ​ອັນ), mmdbresolve (ແກ້​ໄຂ​ທີ່​ຕັ້ງ​ພູມ​ສາດ IP ກັບ​ຖານ​ຂໍ້​ມູນ MMDB​)​, randpkt (ເຄື່ອງສ້າງແພັກເກັດສັງເຄາະຫຼາຍໂປຣໂຕຄໍ), ນ້ຳປາ (ການ​ຕັດ​ສິນ​ຄ້າ​ທີ່​ມີ​ການ​ອອກ​ພາກ​ສະ​ຫນາມ​)​, ຈັດຮຽງໃໝ່ (ຈັດຮຽງໃໝ່ຕາມເວລາ), ປາສະຫຼາມ (daemon ກັບ API ເພື່ອປະມວນຜົນ captures) ແລະ text2pcap (ປ່ຽນ hexdumps ຫຼືຂໍ້ຄວາມທີ່ມີໂຄງສ້າງເປັນ captures ທີ່ຖືກຕ້ອງ).

libwireshark18 ແລະ libwireshark-data

ຫ້ອງສະໝຸດການແຍກແພັກເກັດກາງ. ສະໜອງເຄື່ອງວິເຄາະໂປຣໂຕຄໍທີ່ໃຊ້ໂດຍ Wireshark/TShark. ຂະຫນາດຫ້ອງສະຫມຸດໂດຍປະມານ: 126.13 MB. ສິ່ງອໍານວຍຄວາມສະດວກ: sudo apt install libwireshark18 y sudo apt install libwireshark-data

ພະແນກທີ່ໂດດເດັ່ນ

• libc6, libglib2.0-0t64
• libgcrypt20, libgnutls30t64
• liblua5.4-0
• libpcre2-8-0
• libxml2-16
• zlib1g, libzstd1, liblz4-1, libsnappy1v5
• libnghttp2-14, libnghttp3-9
• libbrotli1
• libopus0, libsbc1, libspandsp2t64, libbcg729-0
• libcares2
• libk5crypto3, libkrb5-3
• libopencore-amrnb0
• libwiretap15, libwsutil16
• libwireshark-data

ມັນປະກອບມີການສະຫນັບສະຫນູນຈໍານວນຫລາຍຂອງໂປໂຕຄອນແລະທາງເລືອກເຊັ່ນການເປີດໃຊ້ຫຼືປິດການແຍກສະເພາະ, heuristics, ແລະ "Decode As" ຈາກການໂຕ້ຕອບຫຼືເສັ້ນຄໍາສັ່ງ; ຂໍ​ຂອບ​ໃຈ​ນີ້​, ທ່ານ​ສາ​ມາດ​ປັບ​ຕົວ​ dissection ຂອງການຈະລາຈອນທີ່ແທ້ຈິງ ຂອງ​ສະ​ພາບ​ແວດ​ລ້ອມ​ຂອງ​ທ່ານ​.

libwiretap15 ແລະ libwiretap-dev

Wiretap ເປັນຫ້ອງສະຫມຸດສໍາລັບການອ່ານແລະຂຽນຮູບແບບໄຟລ໌ capture ຫຼາຍ. ຄວາມເຂັ້ມແຂງຂອງມັນແມ່ນຄວາມຫລາກຫລາຍຂອງຮູບແບບທີ່ມັນສະຫນັບສະຫນູນ; ຂໍ້​ຈໍາ​ກັດ​ຂອງ​ຕົນ​ແມ່ນ​: ມັນບໍ່ໄດ້ກັ່ນຕອງຫຼືປະຕິບັດການຈັບພາບໂດຍກົງ.. ສິ່ງອໍານວຍຄວາມສະດວກ: sudo apt install libwiretap15 y sudo apt install libwiretap-dev

ຮູບແບບທີ່ຮອງຮັບ (ການເລືອກ)

• libpcap
• Sniffer/Windows Sniffer Pro ແລະ NetXRay
• LANalyzer
• ຕິດຕາມກວດກາເຄືອຂ່າຍ
• ສອດແນມ
• AIX iptrace
• RADCOM WAN/LAN
• Lucent/Ascend
• HP-UX nettl
• Toshiba ISDN Router
• ISDN4BSD i4btrace
• Cisco Secure IDS iplogging
• ບັນທຶກ pppd (pppdump)
• VMS TCPTRACE
• DBS Etherwatch (ຂໍ້ຄວາມ)
• Catapult DCT2000 (.out)

libwiretap15 ຂຶ້ນກັບ

• libc6, libglib2.0-0t64
• liblz4-1, libzstd1, zlib1g
• libwsutil16

ຕົວແປ -dev ສະໜອງຫ້ອງສະໝຸດສະຖິດ ແລະສ່ວນຫົວ C ເພື່ອຮວມການດຳເນີນການອ່ານ/ຂຽນເຂົ້າໃນເຄື່ອງມືຂອງທ່ານ. ນີ້ອະນຸຍາດໃຫ້ທ່ານເພື່ອພັດທະນາຜົນປະໂຫຍດທີ່ manipulate ຂໍ້ມູນ. pcap, pcapng ແລະບັນຈຸອື່ນໆ ເປັນສ່ວນຫນຶ່ງຂອງທໍ່ຂອງພວກເຮົາ.

libwsutil16 ແລະ libwsutil-dev

ຊຸດຂອງອຸປະກອນທີ່ແບ່ງປັນໂດຍ Wireshark ແລະຫ້ອງສະຫມຸດທີ່ກ່ຽວຂ້ອງ: ຟັງຊັນຊ່ວຍສໍາລັບການຈັດການສາຍ, buffering, ການເຂົ້າລະຫັດ, ແລະອື່ນໆ. ການຕິດຕັ້ງ: sudo apt install libwsutil16 y sudo apt install libwsutil-dev

libwsutil16 ຂຶ້ນກັບ

• libc6
• libgcrypt20
• libglib2.0-0t64
• libgnutls30t64
• libpcre2-8-0
• zlib1g

ຊຸດ -dev ປະກອບມີສ່ວນຫົວແລະຫ້ອງສະຫມຸດແບບຄົງທີ່ເພື່ອໃຫ້ແອັບພລິເຄຊັນພາຍນອກສາມາດເຊື່ອມຕໍ່ສິ່ງອໍານວຍຄວາມສະດວກທົ່ວໄປໄດ້ໂດຍບໍ່ຕ້ອງໃຊ້ລໍ້ໃຫມ່. ມັນເປັນພື້ນຖານຂອງ ຫນ້າທີ່ແບ່ງປັນຫຼາຍ ທີ່ໃຊ້ Wireshark ແລະ TShark.

wireshark-dev

ເຄື່ອງມືແລະໄຟລ໌ສໍາລັບການສ້າງ "dissectors". ມັນສະຫນອງສະຄິບເຊັ່ນ idl2wrs, ເຊັ່ນດຽວກັນກັບການຂຶ້ນກັບສໍາລັບການລວບລວມແລະການທົດສອບ. ຂະຫນາດໂດຍປະມານ: 621 KB. ສິ່ງອໍານວຍຄວາມສະດວກ: sudo apt install wireshark-dev

ພະແນກຕ່າງໆ

• esnacc
• libc6
• libglib2.0-0t64
• libpcap0.8-dev
• libwireshark-dev
• libwiretap-dev
• libwsutil16
• omniidl
• python3 ແລະ python3-ply

ເນື້ອຫາສະເພາະ - ຄລິກທີ່ນີ້  ວິທີເຊື່ອມຕໍ່ຫູຟັງ Bluetooth ກັບ PC ຂອງທ່ານ

ມັນ​ປະ​ກອບ​ມີ​ອຸ​ປະ​ກອນ​ເຊັ່ນ​: asn2deb (ສ້າງແພັກເກັດ Debian ສໍາລັບການກວດສອບ BER ຈາກ ASN.1) ແລະ idl2deb (ຊຸດສໍາລັບ CORBA). ແລະ, ເຫນືອສິ່ງທັງຫມົດ, idl2wrsເຄື່ອງມືນີ້ປ່ຽນ CORBA IDL ເຂົ້າໄປໃນໂຄງກະດູກຂອງ plugin C ສໍາລັບ dissecting ການຈະລາຈອນ GIOP / IIOP. ຂັ້ນຕອນການເຮັດວຽກນີ້ອີງໃສ່ສະຄຣິບ Python (wireshark_be.py ແລະ wireshark_gen.py) ແລະຮອງຮັບການແຍກທາງ heuristic ຕາມຄ່າເລີ່ມຕົ້ນ. ເຄື່ອງມືຄົ້ນຫາໂມດູນຂອງມັນຢູ່ໃນ PYTHONPATH/site-packages ຫຼືຢູ່ໃນໄດເລກະທໍລີປະຈຸບັນ, ແລະຍອມຮັບການປ່ຽນເສັ້ນທາງໄຟລ໌ເພື່ອສ້າງລະຫັດ.

wireshark-doc

ເອ​ກະ​ສານ​ຜູ້​ໃຊ້​, ຄູ່​ມື​ການ​ພັດ​ທະ​ນາ​ແລະ​ກະ​ສານ​ອ້າງ​ອີງ Lua​. ຂະຫນາດໂດຍປະມານ: 13.40 MB. ສິ່ງອໍານວຍຄວາມສະດວກ: sudo apt install wireshark-doc

ແນະ​ນໍາ​ໃຫ້​ຖ້າ​ຫາກ​ວ່າ​ທ່ານ​ຈະ​ເຈາະ​ເລິກ​ເຂົ້າ​ໄປ​ໃນ​ ສ່ວນຂະຫຍາຍ, scripting ແລະ APIsເອກະສານອອນໄລນ໌ຢູ່ໃນເວັບໄຊທ໌ທາງການໄດ້ຖືກປັບປຸງດ້ວຍແຕ່ລະສະບັບທີ່ຫມັ້ນຄົງ.

ອະນຸຍາດການຈັບພາບ ແລະຄວາມປອດໄພ

ໃນຫຼາຍລະບົບ, ການຈັບພາບໂດຍກົງຮຽກຮ້ອງໃຫ້ມີສິດທິພິເສດສູງ. ດ້ວຍ​ເຫດ​ນີ້, Wireshark ແລະ TShark ມອບ​ໝາຍ​ຈັບ​ຕົວ​ໃຫ້​ບໍ​ລິ​ການ​ຂອງ​ບຸກ​ຄົນ​ທີ​ສາມ. dumpcapໄບນາຣີທີ່ອອກແບບມາເພື່ອແລ່ນດ້ວຍສິດທິພິເສດ (set-UID ຫຼືຄວາມສາມາດ) ເພື່ອຫຼຸດພື້ນທີ່ການໂຈມຕີ. ແລ່ນ GUI ທັງຫມົດເປັນຮາກບໍ່ແມ່ນການປະຕິບັດທີ່ດີ; ມັນມັກທີ່ຈະຈັບດ້ວຍ dumpcap ຫຼື tcpdump ແລະວິເຄາະໂດຍບໍ່ມີສິດທິພິເສດເພື່ອຫຼຸດຜ່ອນຄວາມສ່ຽງ.

ປະຫວັດສາດຂອງໂຄງການປະກອບມີເຫດການຄວາມປອດໄພໃນ dissectors ໃນໄລຍະປີທີ່ຜ່ານມາ, ແລະບາງເວທີເຊັ່ນ OpenBSD ກິນເບັ້ຍບໍານານຂອງ Ethereal ຕົວຢ່າງເກົ່າສໍາລັບເຫດຜົນນັ້ນ. ດ້ວຍຕົວແບບໃນປະຈຸບັນ, ການໂດດດ່ຽວຈາກການຈັບພາບແລະການອັບເດດຄົງທີ່ປັບປຸງສະຖານະການ, ແຕ່ມັນຄວນແນະນໍາໃຫ້ສະເຫມີ. ປະຕິບັດຕາມບັນທຶກຄວາມປອດໄພ ແລະ, ຖ້າທ່ານກວດພົບກິດຈະກໍາທີ່ຫນ້າສົງໄສ, ຮູ້ຈັກວິທີ ຂັດຂວາງການເຊື່ອມຕໍ່ເຄືອຂ່າຍທີ່ຫນ້າສົງໄສ ແລະຫຼີກເວັ້ນການເປີດພາບຫນ້າຈໍທີ່ບໍ່ຫນ້າເຊື່ອຖືໂດຍບໍ່ມີການກວດສອບກ່ອນ.

ຮູບແບບໄຟລ໌, ການບີບອັດ, ແລະຕົວອັກສອນພິເສດ

Wireshark ອ່ານແລະຂຽນ pcap ແລະ pcapng, ເຊັ່ນດຽວກັນກັບຮູບແບບຈາກເຄື່ອງວິເຄາະອື່ນໆເຊັ່ນ snoop, Network General Sniffer, Microsoft Network Monitor, ແລະຫຼາຍໆອັນທີ່ລະບຸໄວ້ໂດຍ Wiretap ຂ້າງເທິງ. ມັນສາມາດເປີດໄຟລ໌ທີ່ຖືກບີບອັດຖ້າພວກມັນຖືກລວບລວມດ້ວຍຫ້ອງສະຫມຸດສໍາລັບ pcapng. GZIP, LZ4 ແລະ ZSTDໂດຍສະເພາະ, GZIP ແລະ LZ4 ທີ່ມີທ່ອນໄມ້ເອກະລາດຊ່ວຍໃຫ້ການກະໂດດໄວ, ປັບປຸງການປະຕິບັດ GUI ໃນການຈັບພາບຂະຫນາດໃຫຍ່.

ໂຄງການເອກະສານລັກສະນະເຊັ່ນ: AIX iptrace (ບ່ອນທີ່ HUP ກັບ daemon ປິດຢ່າງສະອາດ), ສະຫນັບສະຫນູນ Lucent/Ascend traces, Toshiba ISDN ຫຼື CoSine L2, ແລະຊີ້ບອກວິທີການເກັບກໍາຜົນຜະລິດຂໍ້ຄວາມເປັນໄຟລ໌ (ເຊັ່ນ: ກັບ. telnet <equipo> | tee salida.txt ຫຼື​ການ​ນໍາ​ໃຊ້​ເຄື່ອງ​ມື​ ສະຄຣິບ) ເພື່ອນໍາເຂົ້າມັນຕໍ່ມາດ້ວຍ text2pcap. ເສັ້ນທາງເຫຼົ່ານີ້ຈະນໍາທ່ານອອກຈາກ ການຈັບພາບ "ແບບດັ້ງເດີມ". ເມື່ອທ່ານໃຊ້ອຸປະກອນທີ່ບໍ່ໄດ້ປາຍໂດຍກົງໃສ່ pcap.

ເຫມາະ​ສົມ​ອຸ​ປະ​ກອນ​ປະ​ໂຫຍດ​ແລະ​ປະ​ເພດ​ທາງ​ເລືອກ​

ນອກເຫນືອໄປຈາກ Wireshark ແລະ TShark, ການແຈກຢາຍປະກອບມີ ເຄື່ອງມືຈໍານວນຫນຶ່ງທີ່ກວມເອົາວຽກງານສະເພາະຫຼາຍໂດຍບໍ່ມີການຄັດລອກຂໍ້ຄວາມຊ່ວຍເຫຼືອ, ນີ້ແມ່ນບົດສະຫຼຸບທີ່ຈັດລຽງຕາມປະເພດເພື່ອໃຫ້ເຈົ້າຮູ້ວ່າແຕ່ລະຄົນເຮັດຫຍັງແດ່ແລະທາງເລືອກທີ່ເຈົ້າຈະພົບເຫັນ:

• dumpcap: "ບໍລິສຸດແລະງ່າຍດາຍ" ການຈັບ pcap / pcapng, ການເລືອກການໂຕ້ຕອບ, ຕົວກອງ BPF, ຂະຫນາດ buffer, ພືດຫມູນວຽນຕາມເວລາ / ຂະຫນາດ / ໄຟລ໌, ການສ້າງຂອງ ring buffers, ບັນທຶກຄໍາເຫັນແລະຜົນຜະລິດໃນຮູບແບບ ເຄື່ອງສາມາດອ່ານໄດ້ມັນເຕືອນຕໍ່ຕ້ານການເປີດໃຊ້ JIT ຂອງ BPF ເນື່ອງຈາກຄວາມສ່ຽງທີ່ອາດຈະເກີດຂຶ້ນ.
• capinfosມັນສະແດງປະເພດໄຟລ໌, encapsulation, ການໂຕ້ຕອບ, ແລະ metadata; ຈໍາ​ນວນ​ຂອງ​ຊອງ​, ຂະ​ຫນາດ​ໄຟລ​໌​, ຄວາມ​ຍາວ​ທັງ​ຫມົດ​, ຂອບ​ເຂດ​ຈໍາ​ກັດ snapshot​, chronology (ທໍາ​ອິດ / ສຸດ​ທ້າຍ​)​, ອັດ​ຕາ​ສະ​ເລ່ຍ (bps / Bps / pps​)​, ຂະ​ຫນາດ​ຊຸດ​ສະ​ເລ່ຍ​, hashes​, ແລະ​ຄໍາ​ຄິດ​ເຫັນ​. ມັນອະນຸຍາດໃຫ້ສໍາລັບຜົນຜະລິດຕາຕະລາງຫຼືລາຍລະອຽດແລະຮູບແບບເຄື່ອງອ່ານໄດ້.
• ປະເພດຕົວພິມໃຫຍ່: ກໍານົດປະເພດຂອງໄຟລ໌ capture ສໍາລັບຫນຶ່ງຫຼືຫຼາຍລາຍການທີ່ມີການຊ່ວຍເຫຼືອແລະທາງເລືອກສະບັບ.
• editcapມັນເລືອກ / ລຶບໄລຍະແພັກເກັດ, snaps/chops, ປັບເວລາ (ລວມທັງຄໍາສັ່ງຢ່າງເຂັ້ມງວດ), ເອົາສິ່ງທີ່ຊ້ໍາກັນກັບປ່ອງຢ້ຽມທີ່ສາມາດກໍານົດໄດ້, ເພີ່ມຄໍາຄິດເຫັນຕໍ່ກອບ, ແຍກຜົນຜະລິດຕາມຈໍານວນຫຼືເວລາ, ການປ່ຽນແປງບັນຈຸແລະ encapsulation, ເຮັດວຽກກັບຄວາມລັບການຖອດລະຫັດ, ແລະບີບອັດຜົນຜະລິດ. ມັນເປັນເຄື່ອງມືທີ່ມີຈຸດປະສົງທັງຫມົດສໍາລັບການ "ທໍາຄວາມສະອາດ" captures.
• ລວມກັນ: ສົມທົບການຈັບພາບຫຼາຍອັນເປັນອັນດຽວ, ບໍ່ວ່າຈະເປັນການປະສົມເສັ້ນ ຫຼື ການປະສົມຕາມເວລາ, ຄວບຄຸມ snaplen, ກໍານົດປະເພດຜົນຜະລິດ, ຮູບແບບການລວມ IDB ແລະການບີບອັດສຸດທ້າຍ.
• ຈັດຮຽງໃໝ່: ຈັດລໍາດັບໄຟລ໌ຄືນໃຫມ່ໂດຍການສະແຕມເວລາສ້າງຜົນຜະລິດທີ່ສະອາດແລະ, ຖ້າມັນຖືກຈັດຮຽງແລ້ວ, ສາມາດຫຼີກເວັ້ນການຂຽນຜົນໄດ້ຮັບເພື່ອຊ່ວຍປະຢັດ I/O.
• text2pcap: ປ່ຽນ hexdumps ຫຼືຂໍ້ຄວາມດ້ວຍ regex ເປັນການຈັບພາບທີ່ຖືກຕ້ອງ; ຮັບຮູ້ການຊົດເຊີຍໃນຖານຂໍ້ມູນຕ່າງໆ, ການສະແຕມເວລາທີ່ມີຮູບແບບ strptime (ລວມທັງຄວາມແມ່ນຍໍາຂອງເສດສ່ວນ), ກວດພົບ ASCII ທີ່ຕິດຄັດມາຖ້າມີ, ແລະສາມາດ prepend "dummy" headers (Ethernet, IPv4/IPv6, UDP/TCP/SCTP, EXPORTED_PDU) ກັບ ພອດ, ທີ່ຢູ່, ແລະປ້າຍຊື່ ຊີ້ບອກ.
• ນ້ຳປາ: "ວັດຖຸດິບ" ຜູ້ອ່ານທີ່ເນັ້ນໃສ່ພາກສະຫນາມ; ອະນຸຍາດໃຫ້ທ່ານຕັ້ງ encapsulation ຫຼື dissection protocol, ປິດການທໍາງານການແກ້ໄຂຊື່, ກໍານົດການອ່ານ / ການກັ່ນຕອງການສະແດງແລະຕັດສິນໃຈຮູບແບບຜົນຜະລິດພາກສະຫນາມ, ທີ່ເປັນປະໂຫຍດສໍາລັບທໍ່ກັບເຄື່ອງມືອື່ນໆ.
• randpktສ້າງໄຟລ໌ທີ່ມີແພັກເກັດແບບສຸ່ມຂອງປະເພດເຊັ່ນ ARP, BGP, DNS, Ethernet, IPv4/IPv6, ICMP, TCP/UDP, SCTP, Syslog, USB-Linux, ແລະອື່ນໆ, ການລະບຸບັນຊີ, ຂະຫນາດສູງສຸດ, ແລະບັນຈຸ. ເຫມາະສໍາລັບ ການທົດສອບແລະການສາທິດ.
• mmdbresolve: Query MaxMind databases (MMDB) ເພື່ອສະແດງສະຖານທີ່ຕັ້ງພູມສາດຂອງທີ່ຢູ່ IPv4/IPv6, ລະບຸໜຶ່ງ ຫຼືຫຼາຍໄຟລ໌ຖານຂໍ້ມູນ.
• ປາສະຫຼາມ: daemon ທີ່ເປີດເຜີຍ API (mode “gold”) ຫຼື socket ຄລາສສິກ (mode “classic”); ສະຫນັບສະຫນູນໂປຣໄຟລ໌ການຕັ້ງຄ່າແລະຖືກຄວບຄຸມຈາກລູກຄ້າສໍາລັບການ dissection ແລະຄົ້ນຫາຂ້າງເຊີບເວີ, ທີ່ເປັນປະໂຫຍດໃນອັດຕະໂນມັດແລະການບໍລິການ.

ສະຖາປັດຕະຍະກໍາ, ຄຸນລັກສະນະແລະຂໍ້ຈໍາກັດ

Wireshark ອີງໃສ່ libpcap/Npcap ສໍາລັບການຈັບພາບ, ແລະຢູ່ໃນລະບົບນິເວດຂອງຫ້ອງສະຫມຸດ (libwireshark, libwiretap, libwsutil) ທີ່ແຍກການແຍກ, ຮູບແບບ, ແລະເຄື່ອງໃຊ້ຕ່າງໆ. ມັນອະນຸຍາດໃຫ້ກວດຫາການໂທ VoIP, ການຫຼິ້ນສຽງໃນການເຂົ້າລະຫັດທີ່ຮອງຮັບ, ການຈັບພາບການຈາລະຈອນ USB ດິບ, ແລະການກັ່ນຕອງໃນເຄືອຂ່າຍ Wi-Fi (ຖ້າພວກມັນຂ້າມຜ່ານອີເທີເນັດທີ່ຕິດຕາມ). plugins ສໍາລັບໂປໂຕຄອນໃຫມ່ ຂຽນເປັນ C ຫຼື Lua. ມັນຍັງສາມາດໄດ້ຮັບການຈະລາຈອນຫ່າງໄກສອກຫຼີກ encapsulated (ເຊັ່ນ: TZP) ສໍາລັບການວິເຄາະໃນເວລາທີ່ແທ້ຈິງຈາກເຄື່ອງຈັກອື່ນ.

ມັນບໍ່ແມ່ນ IDS, ແລະບໍ່ອອກການແຈ້ງເຕືອນ; ບົດບາດຂອງມັນແມ່ນຕົວຕັ້ງຕົວຕີ: ມັນກວດກາ, ມາດຕະການ, ແລະການສະແດງ. ເຖິງແມ່ນວ່າ, ເຄື່ອງມືຊ່ວຍສະຫນອງສະຖິຕິແລະຂັ້ນຕອນການເຮັດວຽກ, ແລະອຸປະກອນການຝຶກອົບຮົມແມ່ນມີໃຫ້ພ້ອມ (ລວມທັງແອັບຯການສຶກສາທີ່ມຸ່ງໄປສູ່ປີ 2025 ທີ່ສອນການກັ່ນຕອງ, sniffing, ພື້ນຖານ OS fingerprinting, ການວິເຄາະໃນເວລາຈິງ, ອັດຕະໂນມັດ, ການຈະລາຈອນທີ່ຖືກເຂົ້າລະຫັດ, ແລະການເຊື່ອມໂຍງກັບການປະຕິບັດ DevOps). ລັກ​ສະ​ນະ​ການ​ສຶກ​ສາ​ນີ້​ຕື່ມ​ຂໍ້​ມູນ​ໃສ່​ການ​ທໍາ​ງານ​ຫຼັກ​ຂອງ​ ການວິນິດໄສແລະການແກ້ໄຂບັນຫາ.

ຄວາມເຂົ້າກັນໄດ້ ແລະ ລະບົບນິເວດ

ເວທີການກໍ່ສ້າງແລະການທົດສອບປະກອບມີ Linux (Ubuntu), Windows ແລະ macOSໂຄງການດັ່ງກ່າວຍັງກ່າວເຖິງຄວາມເຂົ້າກັນໄດ້ຢ່າງກວ້າງຂວາງກັບລະບົບທີ່ຄ້າຍຄືກັບ Unix ເພີ່ມເຕີມແລະການແຈກຢາຍຜ່ານຜູ້ຈັດການພາກສ່ວນທີສາມ. ໃນ​ບາງ​ກໍ​ລະ​ນີ​, ເວີ​ຊັນ OS ເກົ່າ​ຮຽກ​ຮ້ອງ​ໃຫ້​ມີ​ສາ​ຂາ​ທີ່​ຜ່ານ​ມາ (ຕົວ​ຢ່າງ​, Windows XP ກັບ​ສະ​ບັບ 1.10 ຫຼື​ກ່ອນ​ຫນ້າ​ນັ້ນ​)​. ໂດຍທົ່ວໄປແລ້ວ, ທ່ານສາມາດຕິດຕັ້ງຈາກ repositories ຢ່າງເປັນທາງການຫຼື binaries ໃນສະພາບແວດລ້ອມສ່ວນໃຫຍ່ໂດຍບໍ່ມີບັນຫາໃຫຍ່.

ພວກເຂົາເຈົ້າປະສົມປະສານກັບ simulators ເຄືອຂ່າຍ (ns, OPNET Modeler), ແລະເຄື່ອງມືພາກສ່ວນທີສາມ (ເຊັ່ນ: Aircrack ສໍາລັບ 802.11) ສາມາດນໍາໃຊ້ເພື່ອຜະລິດ captures ທີ່ Wireshark ເປີດໂດຍບໍ່ມີການຄວາມຫຍຸ້ງຍາກ. ໃນນາມຂອງ ດ້ານກົດໝາຍ ແລະ ຈັນຍາບັນທີ່ເຄັ່ງຄັດຈື່ໄວ້ວ່າພຽງແຕ່ຖ່າຍຮູບໃນເຄືອຂ່າຍແລະໃນສະຖານະການທີ່ທ່ານໄດ້ຮັບການອະນຸຍາດດ່ວນ.

ຊື່, ເວັບໄຊທ໌ທາງການ, ແລະຂໍ້ມູນການຄວບຄຸມ

ເວັບໄຊທ໌ທາງການແມ່ນ wireshark.orgດ້ວຍການດາວໂຫລດຢູ່ໃນໄດເລກະທໍລີຍ່ອຍ / ດາວໂຫລດແລະເອກະສານອອນໄລນ໌ສໍາລັບຜູ້ໃຊ້ແລະນັກພັດທະນາ. ມີຫນ້າທີ່ມີ ອຳນາດ​ການ​ຄວບ​ຄຸມ (e.g., GND) ແລະບັນຊີລາຍຊື່ຂອງການເຊື່ອມຕໍ່ກັບ repository ລະຫັດ, ບົບຕິດຕາມລຸດ bug, ແລະ blog ຂອງໂຄງການ, ເປັນປະໂຫຍດສໍາລັບການຕິດຕາມບັນຫາຂ່າວແລະການລາຍງານ.

ກ່ອນທີ່ທ່ານຈະເລີ່ມຕົ້ນການຈັບ, ກວດສອບການອະນຸຍາດແລະຄວາມສາມາດຂອງລະບົບຂອງທ່ານ, ຕັດສິນໃຈວ່າທ່ານຈະໃຊ້ dumpcap/tcpdump ເພື່ອ dump ເຂົ້າໄປໃນແຜ່ນແລະວິເຄາະໂດຍບໍ່ມີສິດທິພິເສດ, ແລະກະກຽມຕົວກອງການຈັບພາບແລະການສະແດງທີ່ສອດຄ່ອງກັບຈຸດປະສົງຂອງທ່ານ. ດ້ວຍວິທີການທີ່ດີ, Wireshark ເຮັດໃຫ້ຄວາມຊັບຊ້ອນງ່າຍຂຶ້ນ ແລະໃຫ້ຂໍ້ມູນທີ່ຖືກຕ້ອງແກ່ເຈົ້າ. ການເບິ່ງເຫັນທີ່ທ່ານຕ້ອງການ ການວິນິດໄສ, ຮຽນຮູ້, ຫຼືການກວດສອບເຄືອຂ່າຍຂອງຂະຫນາດໃດກໍ່ຕາມ.