Kaip naudoti „Wireshark“ sistemoje „Windows“: išsamus, praktiškas ir atnaujintas vadovas

Ar kada susimąstėte? Kas iš tikrųjų vyksta jūsų tinkle, kai naršote, žaidžiate internete arba tvarkote prijungtus įrenginius? Jei tiesiog smalsu sužinoti apie jūsų „Wi-Fi“ tinkle sklandančias paslaptis arba jei jums tiesiog reikia profesionalios priemonės Analizuokite tinklo srautą ir aptikite ryšio problemas, be abejo, vardas wireshark jau patraukė jūsų dėmesį.

Na, šiame straipsnyje jūs atrasite be jokių nukrypimų Visa informacija apie „Wireshark“Kas tai yra, kam jis naudojamas sistemoje „Windows“, kaip jį įdiegti ir geriausi patarimai prieš pradedant rinkti duomenis. Pradėkime.

Kas yra „Wireshark“? Tinklo analizės titanas

„Wireshark“ yra populiariausias ir pripažintas tinklo protokolų analizatorius visame pasaulyje.. Šis nemokamas, atvirojo kodo ir galingas įrankis leidžia jums užfiksuoti ir išanalizuoti visą tinklo srautą kuris praeina per jūsų kompiuterį, nesvarbu, ar tai „Windows“, „Linux“, „macOS“ įrenginys, ar net tokios sistemos kaip „FreeBSD“ ir „Solaris“. Naudodami „Wireshark“ galite realiuoju laiku arba po įrašymo tiksliai matyti, kurie paketai įeina ir išeina iš jūsų kompiuterio, jų šaltinį, paskirties vietą, protokolus ir netgi juos suskaidyti, kad gautumėte išsamią informaciją apie kiekvieną sluoksnį pagal OSI modelį.

Skirtingai nuo daugelio analizatorių, „Wireshark“ išsiskiria savo intuityvia grafine sąsaja, bet taip pat siūlo galingą konsolės versiją, vadinamą TShark, tiems, kurie teikia pirmenybę komandinei eilutei arba kuriems reikia atlikti automatizuotas užduotis. „Wireshark“ lankstumas Tai leidžia analizuoti ryšį naršant, atlikti profesionalius saugumo auditus, spręsti tinklo kliūtis arba nuo nulio mokytis, kaip veikia interneto protokolai, visa tai iš savo kompiuterio!

Atsisiųskite ir įdiekite „Wireshark“ sistemoje „Windows“

„Wireshark“ diegimas „Windows“ sistemoje yra paprastas procesas., tačiau patartina tai daryti žingsnis po žingsnio, kad neliktų jokių nepaliestų klausimų, ypač susijusių su leidimais ir papildomais tvarkyklėmis fiksavimui.

• Oficialus atsisiuntimas: Prieiga prie oficiali „Wireshark“ svetainė ir pasirinkite „Windows“ versiją (32 arba 64 bitų, priklausomai nuo jūsų sistemos).
• Paleiskite diegimo programą: Dukart spustelėkite atsisiųstą failą ir vykdykite vedlio nurodymus. Jei turite klausimų, priimkite numatytuosius nustatymus.
• Svarbiausi vairuotojai: Diegimo metu diegimo programa jūsų paklaus įdiegti Npcap. Šis komponentas yra būtinas, nes leidžia jūsų tinklo plokštei fiksuoti paketus „palaidu“ režimu. Priimkite jo diegimą.
• Nutraukti ir paleisti iš naujo: Kai procesas bus baigtas, paleiskite kompiuterį iš naujo, kad įsitikintumėte, jog visi komponentai yra paruošti.

Pasiruošę! Dabar galite pradėti naudoti „Wireshark“ iš „Windows“ meniu Pradėti. Atkreipkite dėmesį, kad ši programa yra dažnai atnaujinama, todėl rekomenduojama kartkartėmis patikrinti, ar nėra naujų versijų.

Kaip veikia „Wireshark“: paketų fiksavimas ir rodymas

Kai atidarote „Wireshark“, Pirmas dalykas, kurį pamatysite, yra visų jūsų sistemoje esančių tinklo sąsajų sąrašas.Laidinio tinklo plokštės, „Wi-Fi“ ir net virtualūs adapteriai, jei naudojate virtualias mašinas, tokias kaip „VMware“ ar „VirtualBox“. Kiekviena iš šių sąsajų yra skaitmeninės informacijos įėjimo arba išėjimo taškas.

Norėdami pradėti rinkti duomenis, Jums tereikia dukart spustelėti norimą sąsają. Nuo tada, „Wireshark“ realiuoju laiku rodys visus cirkuliuojančius paketus pagal tą kortelę, rūšiuojant juos pagal stulpelius, tokius kaip paketo numeris, fiksavimo laikas, šaltinis, paskirties vieta, protokolas, dydis ir papildoma informacija.

Kai norite sustabdyti filmavimą, paspauskite raudonas Stop mygtukas. Užfiksuotus vaizdus galite išsaugoti .pcap formatu, kad vėliau galėtumėte juos analizuoti, bendrinti ar net eksportuoti įvairiais formatais (CSV, tekstu, suspaustu ir kt.). Šis lankstumas ir lemia „Wireshark“ yra nepakeičiama priemonė tiek vietinei analizei, tiek išsamiam auditui..

Darbo pradžia: patarimai prieš darant ekrano kopiją sistemoje „Windows“

Kad pirmieji „Wireshark“ įrašai būtų naudingi ir nebūtų pripildyti nereikalingo triukšmo ar painių duomenų, reikia laikytis kelių pagrindinių rekomendacijų:

• Uždarykite nereikalingas programasPrieš pradėdami filmuoti, uždarykite programas, kurios generuoja foninį srautą (atnaujinimai, pokalbiai, el. pašto programos, žaidimai ir kt.). Tokiu būdu išvengsite nereikalingo srauto maišymo.
• Valdykite užkardąUgniasienės gali blokuoti arba modifikuoti srautą. Jei norite gauti visą vaizdą, apsvarstykite galimybę laikinai jį išjungti.
• Užfiksuokite tik tai, kas svarbuJei norite analizuoti konkrečią programėlę, palaukite sekundę ar dvi pradėję filmavimą, kad paleistumėte programėlę, ir tą patį padarykite ją uždarydami prieš sustabdydami įrašymą.
• Pažinkite savo aktyviąją sąsająĮsitikinkite, kad pasirinkote tinkamą tinklo plokštę, ypač jei turite kelis adapterius arba esate virtualiame tinkle.

Vadovaujantis šiomis gairėmis, jūsų ekrano kopijos bus daug aiškesnės ir naudingesnės tolesnei analizei..

Filtrai „Wireshark“ programoje: kaip sutelkti dėmesį į tai, kas iš tikrųjų svarbu

Viena iš galingiausių „Wireshark“ funkcijų yra filtrai.. Yra du pagrindiniai tipai:

• Fiksavimo filtraiJie taikomi prieš pradedant fiksuoti duomenis, todėl galite rinkti tik jus dominantį srautą nuo pat pradžių.
• Rodyti filtrus: Jie taikomi jau užfiksuotų paketų sąrašui, todėl galite rodyti tik tuos, kurie atitinka jūsų kriterijus.

Tarp labiausiai paplitusių filtrų yra šie:

• Pagal protokoląFiltruoja tik HTTP, TCP, DNS ir kt. paketus.
• Pagal IP adresąPavyzdžiui, rodyti tik paketus, gautus iš konkretaus IP adreso arba į jį, naudojant ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• Pagal uostą: Apriboja rezultatus iki konkretaus prievado (tcp.port == 80).
• Pagal teksto eilutę: Randa paketus, kurių turinyje yra raktinis žodis.
• Pagal MAC adresą, paketo ilgį arba IP diapazoną.

Be to, filtrus galima derinti su loginiais operatoriais (bei, or, ne) labai tikslioms paieškoms, pvz. tcp.port == 80 ir ip.src == 192.168.1.1.

Ką galima užfiksuoti ir analizuoti naudojant „Wireshark“ sistemoje „Windows“?

Wireshark yra galintis interpretuoti daugiau nei 480 skirtingų protokolų, nuo pagrindinių protokolų, tokių kaip TCP, UDP, IP, iki konkrečioms programoms skirtų protokolų, daiktų interneto, VoIP ir daugelio kitų. Tai reiškia, kad galite tirti visų tipų tinklo srautą – nuo ​​paprastų DNS užklausų iki užšifruotų SSH sesijų, HTTPS ryšių, FTP perdavimų ar SIP srauto iš interneto telefonijos.

Be to, „Wireshark“ palaiko standartinius fiksavimo formatus, tokius kaip tcpdump (libpcap), pcapng ir kitus., ir leidžia akimirksniu suspausti ir išskleisti ekrano kopijas naudojant GZIP, kad būtų sutaupyta vietos. Užšifruoto srauto (TLS/SSL, IPsec, WPA2 ir kt.) atveju, jei turite tinkamus raktus, galite netgi iššifruoti duomenis ir peržiūrėti jų originalų turinį.

Išsamus srauto fiksavimas: papildomos rekomendacijos

Prieš pradėdami bet kokį svarbų fiksavimą, laikykitės šio protokolo, kad surinkta informacija būtų kuo naudingesnė.:

• Pasirinkite tinkamą sąsająPaprastai aktyvus adapteris bus tas, kuris skirtas jūsų naudojamam ryšiui. Jei abejojate, patikrinkite, kuris iš jų yra prijungtas, naudodami „Windows“ tinklo nustatymus.
• Nustatykite aplinką: Atidarykite tik tas programas ar programėles, kurios generuos norimą analizuoti srautą.
• Izoliuokite reiškinįJei norite analizuoti programėlės srautą, atlikite šią veiksmų seką: paleiskite programėlę pradėję fiksavimą, atlikite veiksmą, kurį norite analizuoti, ir uždarykite programėlę prieš sustabdydami įrašymą.
• Išsaugokite ekrano kopiją: Sustabdykite įrašymą, eikite į Failas > Įrašyti ir pasirinkite .pcap arba norimą formatą.

Štai kaip gausite švarūs ir lengvai analizuojami failai, be jokio nepageidaujamo srauto.

Iliustraciniai pavyzdžiai: srauto analizė naudojant „Wireshark“

Tarkime, kad jūsų vietiniame tinkle yra du kompiuteriai, ir vienas iš jų nustoja prisijungti prie interneto. Galite naudoti „Wireshark“, kad užfiksuotumėte srautą iš to kompiuterio. ir patikrinkite, ar nėra klaidų nustatant DNS adresus, ar paketai nepasiekia maršrutizatoriaus, ar užkarda blokuoja ryšį.

Kitas tipiškas atvejis: aptikti, ar svetainė tinkamai neužšifruoja jūsų prisijungimo. Jei prisijungiate prie svetainės be HTTPS ir kartu su savo vartotojo vardu pritaikote HTTP filtrą, galite net pamatyti, kaip jūsų slaptažodis keliauja aiškiai tinkle – tai reali nesaugių svetainių rizikos demonstracija.

„Wireshark“ ir saugumas: rizika, atakos ir apsaugos priemonės

„Wireshark“ galia yra ir didžiausia jos rizika: Patekus į netinkamas rankas, tai gali palengvinti kredencialų vagystę, šnipinėjimą arba atskleisti neskelbtiną informaciją.. Štai keletas grėsmių ir rekomendacijų:

• Įgaliojimų klastojimas (įgaliojimų duomenų „brute force“ atakos)Jei fiksuojate SSH, Telnet ar kitų paslaugų srautą, galite pastebėti automatinius prisijungimo bandymus. Atkreipkite dėmesį į ilgesnius seansus (jie paprastai sėkmingi), paketų dydžius ir bandymų aptikti įtartinus modelius skaičių.
• Išorinio eismo rizikaFiltruokite visą SSH srautą, kuris neateina iš jūsų vidinio tinklo: jei matote ryšius iš išorės, būkite budrūs!
• Paprasto teksto slaptažodžiai: Jei svetainė perduoda nešifruotus vartotojo vardus ir slaptažodžius, tai matysite ekrano kopijoje. Niekada nenaudokite „Wireshark“, kad gautumėte šiuos duomenis užsienio tinkluose. Atminkite, kad tai daryti be leidimo yra neteisėta.
• Sutikimas ir teisėtumas: Analizuoja srautą tik iš nuosavų tinklų arba gavus aiškų leidimą. Įstatymas šiuo klausimu yra labai aiškus, ir piktnaudžiavimas gali turėti rimtų pasekmių.
• Skaidrumas ir etikaJei dirbate įmonės aplinkoje, informuokite vartotojus apie analizę ir jos tikslą. Pagarba privatumui yra tokia pat svarbi kaip ir techninis saugumas.

„Wireshark“ alternatyvos: kitos tinklo analizės parinktys

„Wireshark“ yra neginčijama nuoroda, tačiau yra ir kitų įrankių, kurie gali papildyti arba, konkrečiose situacijose, pakeisti jo naudojimą:

• tcpdumpIdealiai tinka Unix/Linux aplinkoms, veikia komandinėje eilutėje. Jis lengvas, greitas ir lankstus, skirtas greitam fotografavimui ar automatizuotoms užduotims.
• Debesų ryklys: žiniatinklio platforma, skirta naršyklėje užfiksuotų paketų įkėlimui, analizei ir bendrinimui. Labai naudinga bendradarbiaujančioms aplinkoms.
• SmartSniffSukurtas „Windows“ sistemoms, lengvai naudojamas momentiniams vaizdams užfiksuoti ir klientų bei serverių pokalbių peržiūrai.
• ColaSoft CapsaGrafinis tinklo analizatorius, išsiskiriantis paprastu sąsaja ir specifinėmis prievadų nuskaitymo, eksportavimo bei kompaktiškos vizualizacijos parinktimis.

Geriausios alternatyvos pasirinkimas priklauso nuo jūsų konkrečių poreikių.: greitis, grafinė sąsaja, bendradarbiavimas internetu arba suderinamumas su konkrečia aparatine įranga.

Išplėstiniai nustatymai: palaidas režimas, monitorius ir vardų raiška

Palaidas režimas leidžia tinklo plokštei užfiksuoti ne tik jai skirtus paketus, bet ir visas srautas, cirkuliuojantis tinkle, prie kurio jis yra prijungtas. Tai labai svarbu analizuojant įmonių tinklus, bendrus mazgus ar atliekant skverbties testavimą.

Sistemoje Windows eikite į Užfiksuoti > Parinktys, pasirinkite sąsają ir pažymėkite langelį „Pasilinksminimo režimas“. Atminkite, kad „Wi-Fi“ tinkluose, išskyrus labai specifinę aparatinę įrangą, matysite tik srautą iš savo įrenginio.

Be to, Vardų atpažinimas konvertuoja IP adresus į skaitomus domenų vardus (pavyzdžiui, 8.8.8.8, esantį google-public-dns-a.google.com). Šią parinktį galite įjungti arba išjungti pasirinkę Redaguoti > Nuostatos > Vardo skyrimas. Tai labai padeda identifikuoti įrenginius nuskaitymo metu, nors gali sulėtinti procesą, jei sprendžiama daug adresų.