Kā izmantot Wireshark, lai atklātu tīkla problēmas

Ja strādājat tīklošanas, drošības vai izstrādes jomā un vēlaties saprast, kas notiek ar jūsu kabeļiem un Wi-Fi tīklu, sadarbojoties ar Wireshark Tas ir būtisks elements. Šis atvērtā koda pakotņu analizators ar gadu desmitiem ilgu evolūciju, kas ļauj ar ķirurģisku precizitāti uztvert, analizēt un pētīt datplūsmu pakešu līmenī.

Šajā rakstā mēs to padziļināti analizējam: sākot ar licenci un sponsorēšanu un beidzot ar pakotnēm GNU/Linux vidē, tostarp konsoles utilītprogrammām, atbalstītajiem formātiem, kompilācijas prasībām, uztveršanas atļaujām un patiesi pilnīgu vēsturisku un funkcionālu pārskatu.

Kas ir Wireshark un kam tas mūsdienās tiek izmantots?

Būtībā Wireshark ir protokola analizators un datplūsmas uztveršanas ierīce kas ļauj iestatīt saskarni juceklīgā vai monitora režīmā (ja sistēma to atbalsta) un skatīt kadrus, kas netiktu nosūtīti uz jūsu Mac datoru, analizēt sarunas, rekonstruēt plūsmas, iekrāsot paketes atbilstoši noteikumiem un lietot ļoti izteiksmīgus displeja filtrus. Turklāt, ietver TShark (termināļa versiju) un utilītu kopums tādiem uzdevumiem kā ekrānuzņēmumu pārkārtošana, sadalīšana, apvienošana un konvertēšana.

Lai gan tā lietojums atgādina tcpdump, tas nodrošina modernu grafisko saskarni, kuras pamatā ir Qt ar filtrēšana, šķirošana un dziļa sadalīšana tūkstošiem protokolu. Ja izmantojat komutatoru, atcerieties, ka juceklīgais režīms negarantē, ka redzēsiet visu datplūsmu: pilnīgiem scenārijiem būs nepieciešama portu spoguļošana vai tīkla pieslēgumi, kas arī viņu dokumentācijā ir minēti kā labākā prakse.

Licence, pamats un izstrādes modelis

Wireshark tiek izplatīts zem GNU GPL v2 un daudzviet kā “GPL v2 vai jaunāka versija”. Dažas pirmkoda utilītas ir licencētas saskaņā ar citām, bet saderīgām licencēm, piemēram, pidl rīks ar GPLv3+, kas neietekmē analizatora iegūto bināro failu. Nav nekādas tiešas vai netiešas garantijas; izmantojiet to uz savu atbildību, kā tas parasti ir ar bezmaksas programmatūru.

La Wireshark fonds Tas koordinē izstrādi un izplatīšanu. Tas ir atkarīgs no ziedojumiem no privātpersonām un organizācijām, kuru darbs ir balstīts uz Wireshark. Projekta ievērojamāko atbalstītāju vidū ir tūkstošiem reģistrētu autoru un vēsturisku personu, piemēram, Džeralds Kombss, Gilberts Ramiress un Gajs Hariss.

Wireshark darbojas operētājsistēmās Linux, Windows, macOS un citās Unix līdzīgās sistēmās (BSD, Solaris utt.). Oficiālās pakotnes tiek izlaistas operētājsistēmām Windows un macOS, un GNU/Linux vidē tas parasti ir iekļauts kā standarta vai pievienojumprogrammas pakotne tādās distribūcijās kā Debian, Ubuntu, Fedora, CentOS, RHEL, Arch, Gentoo, openSUSE, FreeBSD, DragonFly BSD, NetBSD un OpenBSD. Tas ir pieejams arī trešo pušu sistēmās, piemēram, Homebrew, MacPorts, pkgsrc vai OpenCSW.

Lai kompilētu no koda, būs nepieciešams Python 3; AsciiDoctor dokumentācijai; un tādi rīki kā Perl un GNU flex (klasiskā lex nedarbosies). Konfigurēšana, izmantojot CMake, ļauj iespējot vai atspējot noteiktu atbalstu, piemēram, saspiešanas bibliotēkas ar -DENABLE_ZLIB=IZSLĒGTS, -DENABLE_LZ4=IZSLĒGTS vai -DENABLE_ZSTD=IZSLĒGTSvai libsmi atbalstu ar -DENABLE_SMI=OFF, ja nevēlaties ielādēt MIB.

Pakotnes un bibliotēkas Debian balstītās sistēmās

Debian/Ubuntu un atvasināto programmu vidēs Wireshark ekosistēma ir sadalīta vairākas paketesZemāk ir sniegts pārskats par funkcijām, aptuveniem izmēriem un atkarībām. Šīs pakotnes ļauj izvēlēties no pilnīgas grafiskās lietotāja saskarnes līdz bibliotēkām un izstrādes rīkiem, lai integrētu preparēšanas savās lietojumprogrammās.

Wireshark

Grafiska lietojumprogramma datplūsmas uztveršanai un analīzei, izmantojot Qt saskarni. Paredzamais izmērs: 10.59 MB. Iestāde: sudo apt install wireshark

Starp tā palaišanas opcijām jūs atradīsiet parametrus saskarnes izvēlei (-i), uztveršanas filtri (-f), momentuzņēmumu ierobežojums, monitora režīms, saišu tipu saraksti, displeja filtri (-Y), “Dekodēt kā” un preferences, kā arī failu izvades formātus un komentāru uztveršanu. Lietojumprogramma arī ļauj konfigurācijas profilēšana un statistika uzlabotas funkcijas no saskarnes.

haizivs

Konsoles versija komandrindas tveršanai un analīzei. Paredzamais izmērs: 429 KB. Iestāde: sudo apt install tshark

Tas ļauj atlasīt saskarnes, lietot uztveršanas un attēlošanas filtrus, definēt apturēšanas nosacījumus (laiku, lielumu, pakešu skaitu), izmantot apļveida buferus, drukāt informāciju, heksadecimālos un JSON izgāztuves, kā arī eksportēt TLS objektus un atslēgas. Tas var arī iekrāsot izvadi saderīgā terminālī. pielāgot žurnālu reģistrēšanu pēc domēniem un detalizācijas līmeņiem. Ievērojiet piesardzību, ja kodola līmenī iespējojat BPF JIT, jo tas var ietekmēt drošību.

wireshark-common

Bieži sastopamie faili Wireshark un tshark (piemēram, vārdnīcas, konfigurācijas un līniju utilītas). Paredzamais izmērs: 1.62 MB. Iestāde: sudo apt install wireshark-common

Šajā paketē ir iekļauti tādi utilītas pakalpojumi kā capinfos (uztveršanas faila informācija: tips, iekapsulēšana, ilgums, ātrumi, izmēri, jaucējkoda kodi un komentāri), captype (norādiet failu tipus), atkritumu tvertne (viegla uztveršanas ierīce, kas izmanto pcapng/pcap ar automātisko apturēšanu un apļveida buferiem), rediģēšanas vāciņš (rediģēt/sadalīt/konvertēt uzņemtos attēlus, pielāgot laika zīmogus, noņemt dublikātus, pievienot komentārus vai slepenus datus), apvienošanās kapitāls (apvienot vai savienot vairākus attēlus kopā), mmdbresolve (IP ģeolokācijas noteikšana ar MMDB datubāzēm), randpkt (vairāku protokolu sintētisko pakešu ģenerators), jēlhaizivs (neapstrādāta preparēšana ar lauka rezultātiem), atkārtotas pasūtīšanas ierobežojums (pārkārtot pēc laika zīmoga), haizivs (dēmons ar API, lai apstrādātu uztveršanas procesus) un text2pcap (konvertēt heksadecimālos failus vai strukturētu tekstu derīgos attēlos).

libwireshark18 un libwireshark-data

Centrālā pakešu analīzes bibliotēka. Nodrošina protokolu analizatorus, ko izmanto Wireshark/TShark. Aptuvenais bibliotēkas lielums: 126.13 MB. Iestāde: sudo apt install libwireshark18 y sudo apt install libwireshark-data

Tas ietver atbalstu milzīgam skaitam protokolu un opciju, piemēram, noteiktu sadalījumu iespējošanu vai atspējošanu, heiristiku un "Decode As" no saskarnes vai komandrindas; pateicoties tam, jūs varat pielāgot reālas satiksmes analīze no jūsu vides.

libwiretap15 un libwiretap-dev

Wiretap ir bibliotēka vairāku uztveršanas failu formātu lasīšanai un rakstīšanai. Tās stiprās puses ir atbalstīto formātu daudzveidība; tās ierobežojumi ir šādi: Tas nefiltrē un neveic tiešu uztveršanu.. Iestāde: sudo apt install libwiretap15 y sudo apt install libwiretap-dev

Variants -dev nodrošina statisko bibliotēku un C galvenes, lai integrētu lasīšanas/rakstīšanas operācijas jūsu rīkos. Tas ļauj izstrādāt utilītas, kas manipulē ar datiem. pcap, pcapng un citi konteineri kā daļa no mūsu pašu cauruļvadiem.

libwsutil16 un libwsutil-dev

Wireshark un saistīto bibliotēku koplietoto utilītu kopums: palīgfunkcijas virkņu manipulēšanai, buferizācijai, šifrēšanai utt. Instalēšana: sudo apt install libwsutil16 y sudo apt install libwsutil-dev

Pakotnē -dev ir iekļautas galvenes un statiska bibliotēka, lai ārējās lietojumprogrammas varētu saistīt bieži izmantotas utilītprogrammas, atkārtoti neieviešot riteņus. Tā ir pamats vairākas koplietotas funkcijas kas izmanto Wireshark un TShark.

wireshark-dev

Rīki un faili jaunu "disektoru" izveidei. Tas nodrošina skriptus, piemēram, idl2wrs, kā arī atkarības kompilēšanai un testēšanai. Paredzamais izmērs: 621 KB. Iestāde: sudo apt install wireshark-dev

Tas ietver tādus komunālos pakalpojumus kā asn2deb (ģenerē Debian pakotnes BER uzraudzībai no ASN.1) un idl2deb (CORBA pakotnes). Un, pats galvenais, idl2wrsŠis rīks pārveido CORBA IDL par C spraudņa skeletu GIOP/IIOP datplūsmas analīzei. Šī darbplūsma balstās uz Python skriptiem (wireshark_be.py un wireshark_gen.py) un pēc noklusējuma atbalsta heiristisko analīzi. Rīks meklē savus moduļus PYTHONPATH/vietnes-pakotnes vai pašreizējā direktorijā un pieņem failu pāradresāciju, lai ģenerētu kodu.

wireshark-doc

Lietotāja dokumentācija, izstrādes rokasgrāmata un Lua atsauce. Paredzamais izmērs: 13.40 MB. Iestāde: sudo apt install wireshark-doc

Ieteicams, ja vēlaties iedziļināties sīkāk paplašinājumi, skriptēšana un APIOficiālajā tīmekļa vietnē pieejamā tiešsaistes dokumentācija tiek atjaunināta ar katru stabilo versiju.

Sagūstīšanas un drošības atļaujas

Daudzās sistēmās tiešai uztveršanai ir nepieciešamas paaugstinātas privilēģijas. Šī iemesla dēļ Wireshark un TShark deleģē uztveršanu trešās puses pakalpojumam. atkritumu tvertneBinārais fails, kas paredzēts palaišanai ar privilēģijām (set-UID vai capabilities), lai samazinātu uzbrukuma virsmu. Visa GUI palaišana kā root nav ieteicama prakse; vēlams tvert datus ar dumpcap vai tcpdump un analizēt bez privilēģijām, lai samazinātu riskus.

Projekta vēsturē gadu gaitā ir bijuši drošības incidenti disektoros, un dažas platformas, piemēram, OpenBSD, šī iemesla dēļ ir noņēmušas veco Ethereal instanci. Ar pašreizējo modeli situāciju uzlabo izolācija no uztveršanas un pastāvīgi atjauninājumi, taču vienmēr ir ieteicams ievērojiet drošības norādījumus Un, ja pamanāt aizdomīgas darbības, ziniet, kā rīkoties. bloķēt aizdomīgus tīkla savienojumus un izvairieties atvērt neuzticamus ekrānuzņēmumus bez iepriekšējas pārskatīšanas.

Failu formāti, saspiešana un īpašie fonti

Wireshark nolasa un raksta pcap un pcapng, kā arī formātus no citiem analizatoriem, piemēram, snoop, Network General Sniffer, Microsoft Network Monitor un daudziem no iepriekš minētajiem Wiretap. Tas var atvērt saspiestus failus, ja tie ir kompilēti ar pcapng bibliotēkām. GZIP, LZ4 un ZSTDJo īpaši GZIP un LZ4 ar neatkarīgiem blokiem nodrošina ātrus lēcienus, uzlabojot GUI veiktspēju lielos datu tveršanas procesos.

Projektā ir dokumentētas tādas funkcijas kā AIX iptrace (kur HUP uz dēmonu tiek tīri aizvērts), atbalsts Lucent/Ascend trasēm, Toshiba ISDN vai CoSine L2 un norādīts, kā teksta izvadi uztvert failā (piemēram, ar telnet <equipo> | tee salida.txt vai izmantojot rīku skripts), lai to vēlāk importētu ar text2pcap. Šie ceļi jūs aizvedīs ārā no "Parastās" uztveršanas ja izmantojat aprīkojumu, kas neapgāžas tieši virs pccap.

Komplekta utilītu un opciju kategorijas

Papildus Wireshark un TShark, izplatījumā ietilpst arī vairāki rīki, kas veic ļoti specifiskus uzdevumusNekopējot palīdzības tekstu burtiski, šeit ir kopsavilkums, kas sakārtots pa kategorijām, lai jūs zinātu, ko katra dara un kādas opcijas jūs atradīsiet:

• atkritumu tvertne: “tīra un vienkārša” pcap/pcapng uztveršana, saskarnes izvēle, BPF filtri, bufera lielums, rotācija pēc laika/izmēra/failiem, gredzenveida buferu izveide, komentāru uztveršana un izvade formātā mašīnlasāmsTas brīdina par BPF JIT aktivizēšanu iespējamo risku dēļ.
• capinfosTas parāda faila tipu, iekapsulēšanu, saskarnes un metadatus; pakešu skaitu, faila lielumu, kopējo garumu, momentuzņēmumu ierobežojumu, hronoloģiju (pirmais/pēdējais), vidējos ātrumus (bps/Bps/pps), vidējo pakešu lielumu, jaucējkodas un komentārus. Tas ļauj iegūt tabulas vai detalizētu izvadi un mašīnlasāmus formātus.
• captype: identificē viena vai vairāku ierakstu uztveršanas faila veidu ar palīdzības un versijas opcijām.
• rediģēšanas vāciņšTas atlasa/dzēš pakešu diapazonus, pārrauj/sadala, pielāgo laika zīmogus (tostarp stingru secību), noņem dublikātus ar konfigurējamiem logiem, pievieno komentārus katram kadram, sadala izvadi pēc skaita vai laika, maina konteineru un iekapsulēšanu, strādā ar atšifrēšanas noslēpumiem un saspiež izvadi. Tas ir universāls rīks uztverto datu "attīrīšanai".
• apvienošanās kapitāls: apvieno vairākus uztvertos datus vienā, izmantojot lineāru konkatenāciju vai uz laika zīmogu balstītu sajaukšanu, kontrolē snaplen, definē izvades veidu, IDB apvienošanas režīmu un galīgo saspiešanu.
• atkārtotas pasūtīšanas ierobežojums: pārkārto failu pēc laika zīmoga, ģenerējot tīru izvadi, un, ja tas jau ir sakārtots, var izvairīties no rezultāta ierakstīšanas, lai saglabātu I/O.
• text2pcap: konvertē heksadecimālos izmetes failus vai tekstu ar regulāro izteiksmi derīgā formātā; atpazīst nobīdes dažādās datubāzēs, laika zīmogus ar strptime formātiem (ieskaitot daļēju precizitāti), nosaka pievienoto ASCII, ja piemērojams, un var pievienot "fiktīvas" galvenes (Ethernet, IPv4/IPv6, UDP/TCP/SCTP, EXPORTED_PDU) ar porti, adreses un etiķetes norādīts.
• jēlhaizivs: “neapstrādāts” uz lauku orientēts lasītājs; ļauj iestatīt iekapsulēšanas vai sadalīšanas protokolu, atspējot nosaukumu izšķirtspēju, iestatīt lasīšanas/attēlojuma filtrus un izlemt lauka izvades formātu, kas ir noderīgi cauruļvadam ar citiem rīkiem.
• randpktĢenerē failus ar nejaušām paketēm, piemēram, ARP, BGP, DNS, Ethernet, IPv4/IPv6, ICMP, TCP/UDP, SCTP, Syslog, USB-Linux utt., norādot kontu, maksimālo izmēru un konteineru. Ideāli piemērots testi un demonstrācijas.
• mmdbresolveVeikt vaicājumu MaxMind datubāzēs (MMDB), lai parādītu IPv4/IPv6 adrešu ģeogrāfisko atrašanās vietu, norādot vienu vai vairākus datubāzes failus.
• haizivs: dēmons, kas nodrošina piekļuvi API (režīms “gold”) vai klasiskajai ligzdai (režīms “classic”); atbalsta konfigurācijas profilus un tiek kontrolēts no klientiem servera puses analīzei un meklēšanai, noderīgi automatizācijā un pakalpojumos.

Arhitektūra, raksturlielumi un ierobežojumi

Wireshark uztveršanai izmanto libpcap/Npcap un bibliotēku ekosistēmu (libwireshark, libwiretap, libwsutil), kas atdala analīzi, formātus un utilītas. Tas ļauj noteikt VoIP zvanus, atskaņot audio atbalstītās kodēšanas ierīcēs, uztvert neapstrādātu USB datplūsmu un filtrēt Wi-Fi tīklos (ja tie šķērso uzraudzīto Ethernet tīklu). spraudņi jauniem protokoliem rakstīts C vai Lua valodā. Tas var arī saņemt iekapsulētu attālo datplūsmu (piemēram, TZSP) reāllaika analīzei no citas iekārtas.

Tā nav ievainojamības atklāšanas sistēma (IDS), un tā neizdod brīdinājumus; tās loma ir pasīva: tā pārbauda, ​​mēra un attēlo. Pat ja tā, palīgrīki nodrošina statistiku un darbplūsmas, un ir viegli pieejami apmācības materiāli (tostarp izglītojošas lietotnes, kas paredzētas 2025. gadam un kurās tiek mācīta filtrēšana, informācijas meklēšana, pamata OS pirkstu nospiedumu noņemšana, reāllaika analīze, automatizācija, šifrēta datplūsma un integrācija ar DevOps praksi). Šis izglītojošais aspekts papildina pamatfunkcionalitāti. diagnostika un problēmu novēršana.

Saderība un ekosistēma

Būvniecības un testēšanas platformas ietver Linux (Ubuntu), Windows un macOSProjektā ir minēta arī plaša saderība ar citām Unix līdzīgām sistēmām un izplatīšana, izmantojot trešo pušu pārvaldniekus. Dažos gadījumos vecākām OS versijām ir nepieciešamas iepriekšējās atzarošanas (piemēram, Windows XP ar versiju 1.10 vai vecāku). Parasti lielākajā daļā vides var instalēt no oficiālajām krātuvēm vai binārajiem failiem bez būtiskām problēmām.

Tie integrējas ar tīkla simulatoriem (ns, OPNET Modeler), un trešo pušu rīkus (piemēram, Aircrack 802.11) var izmantot, lai izveidotu tveršanas failus, kurus Wireshark var atvērt bez grūtībām. stingra likumība un ētikaAtcerieties tvert tikai tīklos un situācijās, kurām jums ir skaidra atļauja.

Nosaukums, oficiālās tīmekļa vietnes un kontroles dati

Oficiālā tīmekļa vietne ir wirehark.orgar lejupielādēm tās /download apakšdirektorijā un tiešsaistes dokumentāciju lietotājiem un izstrādātājiem. Ir lapas ar varas kontrole (piemēram, GND) un saišu saraksti uz koda krātuvi, kļūdu izsekotāju un projekta emuāru, kas noderīgi, lai sekotu līdzi jaunumiem un ziņotu par problēmām.

Pirms sākat tveršanu, pārbaudiet sistēmas atļaujas un iespējas, izlemiet, vai izmantosiet dumpcap/tcpdump, lai veiktu izvadi diskā un analizētu bez privilēģijām, un sagatavojiet tveršanas un attēlošanas filtrus atbilstoši jūsu mērķim. Izmantojot labu metodoloģiju, Wireshark vienkāršo sarežģīto un sniedz jums tieši pareizo informāciju. Nepieciešamā redzamība lai diagnosticētu, apgūtu vai auditētu jebkura izmēra tīklus.

Saistīts raksts:

Ko darīt pirmajās 24 stundās pēc uzlaušanas: mobilo tālruņu, datoru un tiešsaistes konti

Daniels Terasa

Redaktors specializējas tehnoloģiju un interneta jautājumos ar vairāk nekā desmit gadu pieredzi dažādos digitālajos medijos. Esmu strādājis par redaktoru un satura veidotāju e-komercijas, komunikācijas, tiešsaistes mārketinga un reklāmas uzņēmumos. Esmu rakstījis arī ekonomikas, finanšu un citu nozaru tīmekļa vietnēs. Mans darbs ir arī mana aizraušanās. Tagad, izmantojot manus rakstus Tecnobits, es cenšos izpētīt visus jaunumus un jaunas iespējas, ko tehnoloģiju pasaule mums piedāvā katru dienu, lai uzlabotu mūsu dzīvi.