Како да го користите Wireshark на Windows: Целосен, практичен и ажуриран водич

Дали некогаш сте се запрашале Што навистина се случува на вашата мрежа кога пребарувате, играте онлајн или управувате со поврзаните уреди? Ако едноставно сте љубопитни за мистериите што кружат на вашиот WiFi, или ако едноставно ви е потребна професионална алатка за Анализирајте го мрежниот сообраќај и откријте проблеми со вашата врска, сигурно името на Wireshark веќе го привлече вашето внимание.

Па, во оваа статија ќе откриете без заобиколувања сите детали за WiresharkШто е тоа, за што се користи во Windows, како да го инсталирате и најдобрите совети пред да започнете со снимање податоци. Ајде да се фатиме за тоа.

Што е Wireshark? Разложување на титанот на анализата на мрежата

Wireshark е најпопуларниот и најпрепознатливиот анализатор на мрежни протоколи во светот.. Оваа бесплатна, моќна алатка со отворен код ви овозможува да снимање и испитување на целиот мрежен сообраќај што поминува низ вашиот компјутер, без разлика дали станува збор за Windows, Linux, macOS машина, па дури и системи како FreeBSD и Solaris. Со Wireshark, можете да видите, во реално време или по снимањето, точно кои пакети влегуваат и излегуваат од вашиот компјутер, нивниот извор, дестинација, протоколи, па дури и да ги анализирате за да добиете детали за секој слој според OSI моделот.

За разлика од многу анализатори, Wireshark се издвојува по својот интуитивен графички интерфејс., но исто така нуди и моќна конзолна верзија наречена TShark за оние кои претпочитаат командна линија или треба да извршуваат автоматизирани задачи. Флексибилноста на Wireshark Тоа е такво што ви овозможува да анализирате врска додека пребарувате, да вршите професионални безбедносни ревизии, да решавате мрежни тесни грла или да учите од нула за тоа како функционираат интернет протоколите, сè од вашиот сопствен компјутер!

Преземете и инсталирајте Wireshark на Windows

Инсталирањето на Wireshark на Windows е едноставен процес., но препорачливо е да се направи тоа чекор по чекор за да не останат нејасни работи, особено во врска со дозволите и дополнителните драјвери за снимање.

• Официјално преземање: Пристап до официјалната веб-страница на Wireshark и изберете ја верзијата на Windows (32 или 64 битни во зависност од вашиот систем).
• Стартувај го инсталаторот: Кликнете двапати на преземената датотека и следете го волшебникот. Прифатете ги стандардните опции ако имате какви било прашања.
• Основни драјвери: За време на инсталацијата, инсталерот ќе ве праша инсталирај Npcap. Оваа компонента е од суштинско значење, бидејќи ѝ овозможува на вашата мрежна картичка да ги фаќа пакетите во „промискуитетен“ режим. Прифатете ја неговата инсталација.
• Прекини и рестартирај: Откако ќе заврши процесот, рестартирајте го компјутерот за да бидете сигурни дека сите компоненти се подготвени.

Подготвено! Сега можете да започнете да го користите Wireshark од менито Start на Windows. Ве молиме имајте предвид дека оваа програма често се ажурира, па затоа е добра идеја повремено да проверувате за нови верзии.

Како функционира Wireshark: Снимање и прикажување на пакети

Кога ќе го отворите Wireshark, Првото нешто што ќе го видите е список на сите мрежни интерфејси достапни на вашиот систем.Жичени мрежни картички, WiFi, па дури и виртуелни адаптери ако користите виртуелни машини како VMware или VirtualBox. Секој од овие интерфејси претставува влезна или излезна точка за дигитални информации.

За да започнете со снимање на податоци, Само треба да кликнете двапати на посакуваниот интерфејс.. Од тогаш, Wireshark ќе ги прикаже во реално време сите пакети што циркулираат според таа картичка, сортирајќи ги по колони како што се број на пакет, време на снимање, извор, дестинација, протокол, големина и дополнителни детали.

Кога сакате да го запрете снимањето, притиснете го копчето црвено копче Стоп. Можете да ги зачувате вашите снимки во .pcap формат за подоцнежна анализа, споделување, па дури и извоз во различни формати (CSV, текст, компресирани, итн.). Оваа флексибилност е она што го прави Wireshark е неопходна алатка и за анализа на самото место и за целосни ревизии..

Започнување: Совети пред да направите слика од екранот во Windows

За да се осигурате дека вашите први снимки од Wireshark се корисни и дека нема да завршат исполнети со ирелевантни бучава или збунувачки податоци, постојат неколку клучни препораки што треба да се следат:

• Затворете ги непотребните програмиПред да започнете со снимање, излезете од апликациите што генерираат сообраќај во позадина (ажурирања, разговори, е-пошта клиенти, игри итн.). На овој начин ќе избегнете мешање на ирелевантен сообраќај.
• Контролирајте го заштитниот ѕидЗаштитните ѕидови можат да го блокираат или модифицираат сообраќајот. Размислете за привремено оневозможување ако сакате целосно снимање.
• Снимајте само она што е релевантноАко сакате да анализирате одредена апликација, почекајте секунда или две откако ќе го започнете снимањето за да ја стартувате апликацијата и направете го истото кога ја затворате пред да го запрете снимањето.
• Запознајте го вашиот активен интерфејсПроверете дали сте ја избрале точната мрежна картичка, особено ако имате повеќе адаптери или сте на виртуелна мрежа.

Следејќи ги овие упатства, вашите снимки на екранот ќе бидат многу почисти и покорисни за понатамошна анализа..

Филтри во Wireshark: Како да се фокусирате на она што е навистина важно

Една од најмоќните карактеристики на Wireshark се филтрите. Постојат два основни типа:

• Филтри за снимањеТие се применуваат пред да почнат да го собираат, овозможувајќи ви да го собирате само сообраќајот што ве интересира од самиот почеток.
• Филтри за прикажувањеОвие се однесуваат на листата на веќе снимени пакети, дозволувајќи ви да ги прикажете само оние што ги исполнуваат вашите критериуми.

Меѓу најчестите филтри се:

• Според протоколотФилтрира само HTTP, TCP, DNS итн. пакети.
• Според IP адресатаНа пример, прикажува само пакети од или до одредена IP адреса користејќи ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• Според пристаништетоГи ограничува резултатите на одреден порт (tcp.port == 80).
• Според текстуален стринг: Лоцира пакети што содржат клучен збор во нивната содржина.
• Според MAC адреса, должина на пакет или IP опсег.

Дополнително, филтрите можат да се комбинираат со логички оператори ( , or, не) за многу прецизни пребарувања, како на пример tcp.port == 80 и ip.src == 192.168.1.1.

Што можете да снимите и анализирате со Wireshark на Windows?

Wireshark е способен за толкување на повеќе од 480 различни протоколи, од основи како TCP, UDP, IP, до протоколи специфични за апликацијата, IoT, VoIP и многу други. Ова значи дека можете да испитате сите видови мрежен сообраќај, од едноставни DNS барања до шифрирани SSH сесии, HTTPS врски, FTP трансфери или SIP сообраќај од интернет телефонија.

Покрај тоа, Wireshark поддржува стандардни формати за снимање како што се tcpdump (libpcap), pcapng и други.и ви овозможува да компресирате и декомпресирате снимки на екранот во лет користејќи GZIP за да заштедите простор. За шифриран сообраќај (TLS/SSL, IPsec, WPA2, итн.), ако ги имате вистинските клучеви, можете дури и да ги дешифрирате податоците и да ја видите нивната оригинална содржина.

Детално снимање на сообраќајот: дополнителни препораки

Пред да започнете со какво било важно снимање, следете го овој протокол за да ја максимизирате корисноста на собраните информации.:

• Изберете го вистинскиот интерфејсНормално, вашиот активен адаптер ќе биде оној за конекцијата што ја користите. Ако имате какви било сомнежи, проверете кој е поврзан од мрежните поставки на Windows.
• Поставете ја сценатаОтворете само програмите или апликациите што ќе го генерираат сообраќајот што сакате да го анализирате.
• Изолирајте го феноменотАко сакате да анализирате сообраќај на апликацијата, следете ја оваа секвенца: стартувајте ја апликацијата откако ќе започнете со снимањето, извршете ја акцијата што сакате да ја анализирате и затворете ја апликацијата пред да го запрете снимањето.
• Зачувајте ја сликата од екранот: Запрете го снимањето, одете во Датотека > Зачувај и изберете .pcap или вашиот претпочитан формат.

Вака ќе добиете чисти и лесни за анализа на датотеки, без никаков измешан сообраќај со отпад.

Илустративни примери: анализа на сообраќајот со Wireshark

Да речеме дека имате два компјутери на вашата локална мрежа и едниот од нив престанува да пристапува до Интернет. Можете да го користите Wireshark за да го снимите сообраќајот од таа машина. и да се види дали има грешки при решавање на DNS адресите, дали пакетите не стигнуваат до рутерот или дали заштитниот ѕид ги блокира комуникациите.

Друг типичен случај: откривање дали веб-страницата не го шифрира правилно вашето најавување. Ако се најавите на веб-страница без HTTPS и примените HTTP филтер комбиниран со вашето корисничко име, можеби дури и ќе ја видите вашата лозинка како патува невидливо преку мрежата, што е вистинска демонстрација на ризикот од небезбедни веб-страници.

Wireshark и безбедност: Ризици, напади и заштитни мерки

Моќта на Wireshark е исто така и неговиот најголем ризик: Во погрешни раце, може да олесни запленување на акредитиви, шпионажа или откривање на чувствителни информации.. Еве неколку закани и препораки:

• Полнење на акредитиви (напади со брутална сила на акредитиви)Ако снимите SSH, Telnet или друг сообраќај преку услугата, може да забележите автоматски обиди за најавување. Обрнете внимание на подолгите сесии (тие обично се успешни), големината на пакетите и бројот на обиди за откривање на сомнителни шеми.
• Ризик од надворешен сообраќајФилтрирајте го целиот SSH сообраќај што не доаѓа од вашата внатрешна мрежа: ако видите врски однадвор, бидете внимателни!
• Лозинки со обичен текстАко веб-страницата пренесува нешифрирани кориснички имиња и лозинки, тоа ќе го видите на сликата од екранот. Никогаш не користете Wireshark за да ги добиете овие податоци на странски мрежи. Запомнете дека тоа без дозвола е нелегално.
• Согласност и законитостАнализира само сообраќај од сопствени мрежи или со експлицитно овластување. Законот е многу јасен по ова прашање, а злоупотребата може да има сериозни последици.
• Транспарентност и етикаДоколку работите во корпоративна средина, информирајте ги корисниците за анализата и нејзината цел. Почитувањето на приватноста е подеднакво важно како и техничката безбедност.

Алтернативи на Wireshark: Други опции за анализа на мрежата

Wireshark е неоспорен референтен материјал, но постојат и други алатки кои можат да го надополнат или, во одредени ситуации, да го заменат неговото користење:

• tcpdumpИдеално за Unix/Linux средини, работи на командна линија. Лесен е, брз и флексибилен за брзи снимања или автоматизирани задачи.
• Облачна ајкулаВеб-платформа за прикачување, анализа и споделување на снимени пакети од прелистувачот. Многу корисно за колаборативни средини.
• SmartSniffФокусиран на Windows, лесен за користење за снимање на места и прегледување на разговори помеѓу клиенти и сервери.
• ColaSoft CapsaГрафички мрежен анализатор кој се издвојува по едноставноста на својот интерфејс и специфичните опции за скенирање на портови, извоз и компактна визуелизација.

Изборот на најдобра алтернатива зависи од вашите специфични потреби.брзина, графички интерфејс, онлајн соработка или компатибилност со специфичен хардвер.

Напредни поставки: Промискуитетен режим, Монитор и Резолуција на имиња

Промискуитетниот режим ѝ овозможува на мрежната картичка да снима не само пакетите наменети за неа, туку целиот сообраќај што циркулира низ мрежата на која е поврзан. Тоа е клучно за анализа на корпоративни мрежи, споделени хабови или сценарија за пенетрирање.

На Windows, одете на Снимање > Опции, изберете го интерфејсот и означете го полето за промискуитетен режим. Имајте предвид дека на Wi-Fi мрежите, освен за многу специфичен хардвер, ќе гледате сообраќај само од вашиот сопствен уред.

Исто така, Решавањето на имиња ги претвора IP адресите во читливи имиња на домени (на пример, 8.8.8.8 во google-public-dns-a.google.com). Можете да ја овозможите или оневозможите оваа опција од Уреди > Поставки > Резолуција на име. Многу помага да се идентификуваат уредите за време на скенирањето, иако може да го забави процесот ако се решаваат многу адреси.