Kā lietot Wireshark operētājsistēmā Windows: pilnīgs, praktisks un atjaunināts ceļvedis

Vai jūs kādreiz esat prātojies? Kas īsti notiek jūsu tīklā, kad pārlūkojat tīmekli, spēlējat spēles tiešsaistē vai pārvaldāt pievienotās ierīces? Ja jūs vienkārši interesē noslēpumi, kas cirkulē jūsu WiFi tīklā, vai arī ja jums vienkārši nepieciešams profesionāls rīks, lai Analizējiet tīkla trafiku un atrodiet problēmas ar savienojumu, noteikti vārds Wireshark jau ir piesaistījis jūsu uzmanību.

Nu, šajā rakstā jūs atklāsiet bez jebkādiem apvedceļiem Visa informācija par Wireshark: Kas tas ir, kam tas tiek izmantots operētājsistēmā Windows, kā to instalēt un labākie padomi pirms datu tveršanas sākšanas. Ķersimies pie lietas.

Kas ir Wireshark? Tīkla analīzes titāna atklāšana

Wireshark ir pasaulē populārākais un atzītākais tīkla protokolu analizators.. Šis bezmaksas, atvērtā koda un jaudīgais rīks ļauj jums uztvert un pārbaudīt visu tīkla trafiku kas iet caur jūsu datoru neatkarīgi no tā, vai tā ir Windows, Linux, macOS mašīna vai pat tādas sistēmas kā FreeBSD un Solaris. Izmantojot Wireshark, reāllaikā vai pēc ierakstīšanas varat redzēt, kuras paketes ienāk un iziet no datora, to avotu, galamērķi, protokolus un pat sadalīt tās, lai iegūtu informāciju par katru slāni atbilstoši OSI modelim.

Atšķirībā no daudziem analizatoriem, Wireshark izceļas ar savu intuitīvo grafisko saskarni, bet piedāvā arī jaudīgu konsoles versiju ar nosaukumu TShark tiem, kas dod priekšroku komandrindai vai kuriem ir jāveic automatizēti uzdevumi. Wireshark elastība Tas ļauj analizēt savienojumu pārlūkošanas laikā, veikt profesionālas drošības revīzijas, novērst tīkla sastrēgumus vai no jauna apgūt interneta protokolu darbību — visu no sava datora!

Lejupielādējiet un instalējiet Wireshark operētājsistēmā Windows

Wireshark instalēšana operētājsistēmā Windows ir vienkāršs process., taču ieteicams to darīt soli pa solim, lai nepaliktu nepabeigti, īpaši attiecībā uz atļaujām un papildu draiveriem uztveršanai.

• Oficiālā lejupielāde: Piekļuve oficiālā Wireshark vietne un izvēlieties Windows versiju (32 vai 64 biti atkarībā no jūsu sistēmas).
• Palaidiet instalētāju: Veiciet dubultklikšķi uz lejupielādētā faila un izpildiet vedņa norādījumus. Ja jums ir kādi jautājumi, pieņemiet noklusējuma opcijas.
• Būtiskākie draiveri: Instalēšanas laikā instalētājs jums jautās instalēt Npcap. Šis komponents ir būtisks, jo tas ļauj tīkla kartei uztvert paketes "promiscuous" režīmā. Akceptējiet tā instalēšanu.
• Pārtraukt un restartēt: Kad process ir pabeigts, restartējiet datoru, lai pārliecinātos, ka visas sastāvdaļas ir gatavas.

Gatavs! Tagad varat sākt lietot Wireshark no Windows izvēlnes Sākt. Lūdzu, ņemiet vērā, ka šī programma tiek bieži atjaunināta, tāpēc ieteicams laiku pa laikam pārbaudīt, vai nav pieejamas jaunas versijas.

Kā darbojas Wireshark: pakešu uztveršana un attēlošana

Atverot Wireshark, Pirmais, ko redzēsiet, ir visu jūsu sistēmā pieejamo tīkla saskarņu saraksts.Vadu tīkla kartes, WiFi un pat virtuālie adapteri, ja izmantojat virtuālās mašīnas, piemēram, VMware vai VirtualBox. Katra no šīm saskarnēm apzīmē digitālās informācijas ieejas vai izejas punktu.

Lai sāktu datu apkopošanu, Jums tikai jāveic dubultklikšķis uz vēlamās saskarnes.. Kopš tā laika, Wireshark reāllaikā parādīs visas cirkulējošās paketes. pēc šīs kartes, kārtojot tos pēc kolonnām, piemēram, pakešu numura, uztveršanas laika, avota, mērķa, protokola, lieluma un papildu informācijas.

Kad vēlaties pārtraukt uzņemšanu, nospiediet sarkana Apturēšanas poga. Uzņemtos attēlus var saglabāt .pcap formātā vēlākai analīzei, kopīgošanai vai pat eksportēšanai dažādos formātos (CSV, teksta, saspiestā formātā utt.). Šī elastība ir tas, kas padara Wireshark ir neaizstājams rīks gan lokālai analīzei, gan pilniem auditiem..

Darba sākšana: padomi pirms ekrānuzņēmuma uzņemšanas operētājsistēmā Windows

Lai nodrošinātu, ka jūsu pirmie Wireshark attēli ir noderīgi un tajos nav nevajadzīga trokšņa vai mulsinošu datu, ir jāievēro vairāki svarīgi ieteikumi:

• Aizveriet nevajadzīgās programmasPirms tveršanas sākšanas aizveriet lietotnes, kas ģenerē fona datplūsmu (atjauninājumi, tērzēšana, e-pasta klienti, spēles utt.). Tādā veidā jūs izvairīsieties no neatbilstošas ​​datplūsmas sajaukšanas.
• Kontrolējiet ugunsmūriUgunsmūri var bloķēt vai modificēt datplūsmu. Apsveriet iespēju to īslaicīgi atspējot, ja vēlaties iegūt pilnu attēlu.
• Uztveriet tikai to, kas ir svarīgsJa vēlaties analizēt konkrētu lietotni, pēc ierakstīšanas sākšanas uzgaidiet sekundi vai divas, lai palaistu lietotni, un dariet to pašu, to aizverot, pirms pārtraucat ierakstīšanu.
• Iepazīstiet savu aktīvo saskarniPārliecinieties, vai esat izvēlējies pareizo tīkla karti, it īpaši, ja jums ir vairāki adapteri vai atrodaties virtuālā tīklā.

Ievērojot šīs vadlīnijas, jūsu ekrānuzņēmumi būs daudz tīrāki un noderīgāki turpmākai analīzei..

Filtri programmā Wireshark: kā koncentrēties uz to, kas patiešām ir svarīgs

Viena no spēcīgākajām Wireshark funkcijām ir filtri. Ir divi pamata veidi:

• Uzņemšanas filtriTie tiek piemēroti pirms datu vākšanas sākšanas, ļaujot apkopot tikai to datplūsmu, kas jūs interesē jau no paša sākuma.
• Attēlošanas filtri: Tie attiecas uz jau uztverto pakešu sarakstu, ļaujot jums parādīt tikai tās, kas atbilst jūsu kritērijiem.

Starp visizplatītākajiem filtriem ir:

• Pēc protokolaFiltrē tikai HTTP, TCP, DNS u. c. paketes.
• Pēc IP adresesPiemēram, parādīt tikai paketes no vai uz noteiktu IP adresi, izmantojot ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• Pēc ostas: Ierobežo rezultātus līdz konkrētam portam (tcp.port == 80).
• Pēc teksta virknes: Atrod pakotnes, kuru saturā ir atslēgvārds.
• Pēc MAC adreses, paketes garuma vai IP diapazona.

Turklāt filtrus var kombinēt ar loģiskajiem operatoriem (un, or, nav) ļoti precīzām meklēšanām, piemēram, tcp.port == 80 un ip.src == 192.168.1.1.

Ko var uztvert un analizēt, izmantojot Wireshark operētājsistēmā Windows?

Wireshark ir spēj interpretēt vairāk nekā 480 dažādus protokolus, sākot no tādiem pamatiem kā TCP, UDP, IP, līdz lietojumprogrammām specifiskiem protokoliem, lietu internetam (IoT), VoIP un daudziem citiem. Tas nozīmē, ka varat pārbaudīt visu veidu tīkla trafiku, sākot no vienkāršiem DNS vaicājumiem līdz šifrētām SSH sesijām, HTTPS savienojumiem, FTP pārsūtījumiem vai SIP trafikam no interneta telefonijas.

Turklāt, Wireshark atbalsta standarta uztveršanas formātus, piemēram, tcpdump (libpcap), pcapng un citus., un ļauj momentāni saspiest un atspiest ekrānuzņēmumus, izmantojot GZIP, lai ietaupītu vietu. Šifrētas datplūsmas gadījumā (TLS/SSL, IPsec, WPA2 utt.), ja jums ir pareizās atslēgas, varat pat atšifrēt datus un skatīt to sākotnējo saturu.

Detalizēta datplūsmas uztveršana: papildu ieteikumi

Pirms jebkādas svarīgas informācijas uztveršanas ievērojiet šo protokolu, lai maksimāli palielinātu apkopotās informācijas lietderību.:

• Izvēlieties pareizo saskarniParasti aktīvais adapteris būs tas, kas paredzēts savienojumam, ko izmantojat. Ja rodas šaubas, pārbaudiet, kurš no tiem ir pievienots, izmantojot Windows tīkla iestatījumus.
• Iestatiet ainuAtveriet tikai tās programmas vai lietotnes, kas ģenerēs analizējamo datplūsmu.
• Izolēt parādībuJa vēlaties analizēt lietotnes trafiku, rīkojieties šādi: palaidiet lietotni pēc ierakstīšanas sākšanas, veiciet darbību, kuru vēlaties analizēt, un aizveriet lietotni pirms ierakstīšanas apturēšanas.
• Saglabājiet ekrānuzņēmumu: Apturiet ierakstīšanu, dodieties uz Fails > Saglabāt un izvēlieties .pcap vai vēlamo formātu.

Lūk, kā tu dabūsi tīri un viegli analizējami faili, bez jebkādas nevēlamas satiksmes.

Ilustratīvi piemēri: datplūsmas analīze ar Wireshark

Pieņemsim, ka jūsu lokālajā tīklā ir divi datori, un viens no tiem pārstāj piekļūt internetam. Varat izmantot Wireshark, lai uztvertu datplūsmu no šīs ierīces. un pārbaudiet, vai nav kļūdu, atrisinot DNS adreses, vai paketes nesasniedz maršrutētāju vai arī vai ugunsmūris bloķē saziņu.

Vēl viens tipisks gadījums: noteikt, vai vietne nepareizi šifrē jūsu pieteikšanās informāciju. Ja piesakāties tīmekļa vietnē bez HTTPS un lietojat HTTP filtru kopā ar savu lietotājvārdu, jūs pat varat redzēt, ka jūsu parole tiek skaidri pārvietota tīklā, kas ir reāla demonstrācija par nedrošu tīmekļa vietņu risku.

Wireshark un drošība: riski, uzbrukumi un aizsardzības pasākumi

Wireshark jauda ir arī tā lielākais risks: Nepareizās rokās tas var veicināt akreditācijas datu nozagšanu, spiegošanu vai atklāt sensitīvu informāciju.. Šeit ir daži draudi un ieteikumi:

• Akreditācijas datu viltošana (akreditācijas datu brutāla spēka uzbrukumi)Ja tverat SSH, Telnet vai cita pakalpojuma datplūsmu, varat novērot automātiskus pieteikšanās mēģinājumus. Pievērsiet uzmanību ilgākām sesijām (tās parasti ir veiksmīgas), pakešu izmēriem un mēģinājumu skaitam, lai atklātu aizdomīgus modeļus.
• Ārējās satiksmes risksFiltrējiet visu SSH datplūsmu, kas nenāk no jūsu iekšējā tīkla: ja redzat savienojumus no ārpuses, esiet uzmanīgi!
• Vienkārša teksta parolesJa tīmekļa vietne pārsūta nešifrētus lietotājvārdus un paroles, tas būs redzams ekrānuzņēmumā. Nekad neizmantojiet Wireshark, lai iegūtu šos datus ārvalstu tīklos. Atcerieties, ka to darīt bez atļaujas ir nelikumīgi.
• Piekrišana un likumībaAnalizē datplūsmu tikai no saviem tīkliem vai ar skaidru atļauju. Likums šajā jautājumā ir ļoti skaidrs, un ļaunprātīga izmantošana var radīt nopietnas sekas.
• Caurspīdīgums un ētikaJa strādājat korporatīvā vidē, informējiet lietotājus par analīzi un tās mērķi. Privātuma ievērošana ir tikpat svarīga kā tehniskā drošība.

Wireshark alternatīvas: citas tīkla analīzes iespējas

Wireshark ir neapstrīdama atsauce, taču ir arī citi rīki, kas var papildināt vai konkrētās situācijās aizstāt tā lietošanu:

• tcpdumpIdeāli piemērots Unix/Linux vidēm, darbojas komandrindā. Tas ir viegls, ātrs un elastīgs ātrai uzņemšanai vai automatizētiem uzdevumiem.
• Mākoņu haizivsTīmekļa platforma pakešu uztveršanas augšupielādei, analīzei un koplietošanai no pārlūkprogrammas. Ļoti noderīgi sadarbības vidēm.
• SmartSniff: Koncentrēts uz Windows, viegli lietojams lokālai filmēšanai un klientu un serveru sarunu apskatei.
• ColaSoft CapsaGrafisks tīkla analizators, kas izceļas ar vienkāršu saskarni un īpašām iespējām portu skenēšanai, eksportēšanai un kompaktai vizualizācijai.

Labākās alternatīvas izvēle ir atkarīga no jūsu īpašajām vajadzībām.ātrums, grafiskais interfeiss, tiešsaistes sadarbība vai saderība ar konkrētu aparatūru.

Papildu iestatījumi: Promiscuous Mode, Monitor un Nosaukumu izšķirtspēja

Jutīgais režīms ļauj tīkla kartei uztvert ne tikai viņai paredzētās pakas, bet arī visa datplūsma, kas cirkulē tīklā, kuram tā ir pievienota. Tas ir ļoti svarīgi korporatīvo tīklu, koplietoto centrmezglu vai penetrācijas testēšanas scenāriju analīzei.

Operētājsistēmā Windows dodieties uz Uzņemšana > Opcijas, atlasiet saskarni un atzīmējiet izvēles rūtiņu juceklīgais režīms. Paturiet prātā, ka Wi-Fi tīklos, izņemot ļoti specifisku aparatūru, jūs redzēsiet datplūsmu tikai no savas ierīces.

Turklāt, Nosaukumu atpazīšana pārveido IP adreses lasāmos domēna nosaukumos (piemēram, 8.8.8.8 vietnē google-public-dns-a.google.com). Šo opciju var iespējot vai atspējot sadaļā Rediģēt > Preferences > Nosaukuma atpazīšana. Tas ļoti palīdz identificēt ierīces skenēšanas laikā, lai gan tas var palēnināt procesu, ja tiek atrisinātas daudzas adreses.