Windows дээр Wireshark-ийг хэрхэн ашиглах вэ: бүрэн, практик, хамгийн сүүлийн үеийн гарын авлага

Та хэзээ нэгэн цагт гайхаж байсан уу? Таныг онлайнаар үзэх, тоглох эсвэл холбогдсон төхөөрөмжүүдийг удирдах үед таны сүлжээнд юу болж байна вэ? Хэрэв та зүгээр л WiFi дээр эргэлдэж буй нууцуудын талаар сонирхож байгаа бол эсвэл танд мэргэжлийн хэрэгсэл хэрэгтэй бол Сүлжээний урсгалд дүн шинжилгээ хийж, холболттой холбоотой асуудлуудыг илрүүлэх, гарцаагүй нэр Вайршарк аль хэдийн таны анхаарлыг татсан.

За, энэ нийтлэлд та тойрог замгүйгээр олж мэдэх болно Wireshark-ийн талаархи бүх мэдээлэл: Энэ нь юу вэ, үүнийг Windows-д юунд ашигладаг, хэрхэн суулгах, өгөгдөл авч эхлэхээс өмнө хамгийн сайн зөвлөмжүүд. Үүнд хүрцгээе.

Wireshark гэж юу вэ? Сүлжээний шинжилгээний титаныг задлах

Wireshark бол дэлхий даяар хамгийн алдартай, хүлээн зөвшөөрөгдсөн сүлжээний протокол анализатор юм.. Энэхүү үнэгүй, нээлттэй эх сурвалж, хүчирхэг хэрэгсэл нь танд хийх боломжийг олгоно бүх сүлжээний урсгалыг барьж, шалгах Энэ нь Windows, Linux, macOS машин эсвэл FreeBSD, Solaris зэрэг системүүд ч бай таны компьютерээр дамждаг. Wireshark-ийн тусламжтайгаар та яг ямар пакетууд таны компьютерт орж, гарч байгаа, тэдгээрийн эх үүсвэр, очих газар, протокол зэргийг бодит цаг хугацаанд эсвэл бичлэг хийсний дараа харж, бүр OSI загварын дагуу давхарга бүрийн дэлгэрэнгүй мэдээллийг авах боломжтой.

Олон анализаторуудаас ялгаатай нь Wireshark нь ойлгомжтой график интерфэйсээрээ бусдаас ялгардаг, гэхдээ командын мөрийг илүүд үздэг эсвэл автоматжуулсан ажлыг гүйцэтгэх шаардлагатай хүмүүст зориулсан TShark хэмээх хүчирхэг консол хувилбарыг санал болгодог. Wireshark-ийн уян хатан байдал Энэ нь танд компьютер дээрээс интернетийн протоколууд хэрхэн ажилладаг талаар эхнээс нь суралцах, интернетийн аюулгүй байдлын мэргэжлийн аудит хийх, сүлжээний саатлыг арилгах, интернетийн холболтыг үзэх явцад дүн шинжилгээ хийх боломжийг олгодог.

Wireshark програмыг Windows дээр татаж аваад суулгаарай

Windows дээр Wireshark суулгах нь энгийн процесс юм., гэхдээ ямар ч сул төгсгөл үлдээхгүйн тулд үүнийг алхам алхмаар хийхийг зөвлөж байна, ялангуяа зөвшөөрөл болон барих нэмэлт драйверуудын талаар.

• Descarga oficial: Хандалт Wireshark албан ёсны вэбсайт болон Windows хувилбарыг сонгоно уу (таны системээс хамаарч 32 эсвэл 64 бит).
• Ejecuta el instalador: Татаж авсан файл дээрээ давхар товшоод шидтэнг дагана уу. Хэрэв танд асуулт байвал өгөгдмөл сонголтуудыг зөвшөөрнө үү.
• Үндсэн драйверууд: Суулгах явцад суулгагч танаас асуух болно Npcap суулгана уу. Энэ бүрэлдэхүүн хэсэг нь чухал бөгөөд учир нь энэ нь таны сүлжээний картыг "зохисгүй" горимд пакетуудыг авах боломжийг олгодог. Түүний суурилуулалтыг хүлээн авна уу.
• Дуусаад дахин эхлүүлэх: Процесс дууссаны дараа бүх бүрэлдэхүүн хэсгүүд бэлэн байгаа эсэхийг шалгахын тулд компьютераа дахин эхлүүлнэ үү.

Бэлэн! Та одоо Windows Start цэснээс Wireshark ашиглаж эхлэх боломжтой. Энэ программ байнга шинэчлэгдэж байдаг тул шинэ хувилбаруудыг үе үе шалгаж байх нь зүйтэй гэдгийг анхаарна уу.

Wireshark хэрхэн ажилладаг вэ: Пакет барих, харуулах

Wireshark-г нээх үед, Таны харах хамгийн эхний зүйл бол таны системд байгаа бүх сүлжээний интерфейсүүдийн жагсаалт юм.: Хэрэв та VMware эсвэл VirtualBox зэрэг виртуал машин ашигладаг бол утастай сүлжээний картууд, WiFi, тэр ч байтугай виртуал адаптерууд. Эдгээр интерфэйс бүр нь тоон мэдээллийн оролт эсвэл гарах цэгийг төлөөлдөг.

Өгөгдөл авч эхлэхийн тулд, Та хүссэн интерфэйс дээрээ давхар товших хэрэгтэй. Desde ese momento, Wireshark нь эргэлдэж буй бүх пакетуудыг бодит цаг хугацаанд харуулах болно картаар багцын дугаар, авах хугацаа, эх сурвалж, очих газар, протокол, хэмжээ, нэмэлт дэлгэрэнгүй мэдээлэл зэрэг баганаар эрэмбэлнэ.

Зураг авахаа зогсоохыг хүсвэл товчийг дарна уу улаан зогсоох товчлуур. Та авсан зургуудаа .pcap форматаар хадгалж, дараа нь дүн шинжилгээ хийх, хуваалцах эсвэл бүр янз бүрийн форматаар (CSV, текст, шахсан гэх мэт) экспортлох боломжтой. Энэ уян хатан байдал нь үүнийг бий болгодог Wireshark бол спот шинжилгээ болон бүрэн аудит хийхэд зайлшгүй шаардлагатай хэрэгсэл юм..

Эхлэх: Windows дээр дэлгэцийн агшин авахын өмнөх зөвлөмжүүд

Wireshark-ийн анхны зураг авалтууд нь ашиг тустай бөгөөд үл хамаарах дуу чимээ, төөрөгдүүлсэн мэдээллээр дүүрэхгүй байхын тулд хэд хэдэн үндсэн зөвлөмжийг дагаж мөрдөх шаардлагатай.

• Шаардлагагүй програмуудыг хаах: Зураг авалтыг эхлүүлэхийн өмнө далд урсгал (шинэчлэлт, чат, имэйл клиент, тоглоом гэх мэт) үүсгэдэг програмуудаас гарна уу. Ингэснээр та хамааралгүй урсгалыг холихоос зайлсхийх болно.
• Галт ханыг хянах: Галт хана нь урсгалыг хаах эсвэл өөрчлөх боломжтой. Хэрэв та бүрэн зураг авахыг хүсч байгаа бол үүнийг түр идэвхгүй болгох талаар бодож үзээрэй.
• Зөвхөн хамааралтай зүйлийг л аваарайХэрэв та тодорхой програмыг шинжлэхийг хүсвэл зураг авалтаа эхлүүлсний дараа нэг юмуу хоёр секунд хүлээсний дараа програмыг ажиллуулж, бичлэгийг зогсоохын өмнө үүнийг хаахдаа мөн адил хийгээрэй.
• Өөрийн идэвхтэй интерфейсийг мэдэх: Хэрэв та олон адаптертай эсвэл виртуал сүлжээнд байгаа бол зөв сүлжээний картыг сонгосон эсэхээ шалгаарай.

Эдгээр удирдамжийг дагаснаар таны дэлгэцийн агшин илүү цэвэрхэн бөгөөд цаашдын дүн шинжилгээ хийхэд илүү хэрэгтэй болно..

Wireshark дахь шүүлтүүрүүд: Үнэн хэрэгтээ юунд анхаарлаа төвлөрүүлэх вэ

Wireshark-ийн хамгийн хүчирхэг шинж чанаруудын нэг бол шүүлтүүр юм. Хоёр үндсэн төрөл байдаг:

• Шүүлтүүрийг авах: Эдгээр нь зураг авалт эхлэхээс өмнө хэрэглэгдэж, зөвхөн таны сонирхсон урсгалыг цуглуулах боломжийг олгоно.
• Filtros de visualización: Эдгээр нь аль хэдийн баригдсан пакетуудын жагсаалтад хамаарах бөгөөд зөвхөн таны шалгуурт нийцсэн багцуудыг харуулах боломжийг танд олгоно.

Хамгийн түгээмэл шүүлтүүрүүдийн дунд:

• Протоколоор: Зөвхөн HTTP, TCP, DNS гэх мэт пакетуудыг шүүдэг.
• IP хаягаар: Жишээ нь, зөвхөн тодорхой IP-ээс ирсэн багцуудыг харуулах ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• Por puerto: Тодорхой порт руу үр дүнг хязгаарладаг (tcp.port == 80).
• Текстийн мөрөөр: Агуулга дотроо түлхүүр үг агуулсан багцуудыг олно.
• MAC хаяг, багцын урт эсвэл IP мужаар.

Нэмж дурдахад шүүлтүүрийг логик операторуудтай нэгтгэж болно (мөн, or, not) зэрэг маш нарийн хайлт хийхэд зориулагдсан tcp.port == 80 ба ip.src == 192.168.1.1.

Та Windows дээр Wireshark ашиглан юуг авч, дүн шинжилгээ хийх боломжтой вэ?

Wireshark es 480 гаруй төрлийн протоколыг тайлбарлах чадвартай, TCP, UDP, IP гэх мэт үндсэн ойлголтуудаас эхлээд програмын тусгай протоколууд, IoT, VoIP болон бусад олон зүйлс. Энэ нь та энгийн DNS асуулгаас эхлээд шифрлэгдсэн SSH сесс, HTTPS холболт, FTP дамжуулалт, интернет утасны SIP урсгал зэрэг бүх төрлийн сүлжээний траффикийг шалгах боломжтой гэсэн үг юм.

Түүнээс гадна, Wireshark нь tcpdump (libpcap), pcapng болон бусад стандарт зургийн форматыг дэмждэг., мөн зай хэмнэхийн тулд GZIP ашиглан дэлгэцийн агшинг шахаж, задлах боломжийг олгоно. Шифрлэгдсэн траффикийн хувьд (TLS/SSL, IPsec, WPA2 гэх мэт) хэрэв танд зөв түлхүүр байгаа бол та өгөгдлийн кодыг тайлж, түүний анхны агуулгыг үзэх боломжтой.

Замын хөдөлгөөний нарийвчилсан зураг авалт: нэмэлт зөвлөмжүүд

Аливаа чухал зураг авалтыг эхлүүлэхийн өмнө цуглуулсан мэдээллийн ашиг тусыг нэмэгдүүлэхийн тулд энэ протоколыг дагаж мөрдөнө үү.:

• Зөв интерфэйсийг сонгоно уу: Ихэвчлэн таны идэвхтэй адаптер таны ашиглаж буй холболтод зориулагдсан байх болно. Хэрэв танд эргэлзэж байгаа бол Windows сүлжээний тохиргооноос аль нь холбогдсон болохыг шалгана уу.
• Prepara la escena: Зөвхөн дүн шинжилгээ хийхийг хүсч буй урсгалыг үүсгэх програм эсвэл програмыг нээнэ үү.
• Энэ үзэгдлийг тусгаарлаХэрэв та програмын урсгалд дүн шинжилгээ хийх гэж байгаа бол дараах дарааллыг дагана уу: зураг авалтыг эхлүүлсний дараа програмыг ажиллуулж, дүн шинжилгээ хийхийг хүссэн үйлдлээ хийж, бичлэгийг зогсоохоос өмнө програмыг хаа.
• Guarda la captura: Бичлэгээ зогсоож, Файл > Хадгалах хэсэгт очоод .pcap эсвэл өөрийн хүссэн форматыг сонгоно уу.

Así conseguirás цэвэр, файлуудыг шинжлэхэд хялбар, ямар ч хог хаягдал ямар ч холимог.

Тайлбар жишээ: Wireshark ашиглан замын хөдөлгөөний шинжилгээ

Таны дотоод сүлжээнд хоёр компьютер байгаа бөгөөд тэдгээрийн нэг нь интернетэд нэвтрэхээ больсон гэж бодъё. Та Wireshark ашиглан тухайн машинаас траффик авах боломжтой. мөн DNS хаягийг шийдвэрлэхэд алдаа байгаа эсэх, пакетууд чиглүүлэгчид хүрэхгүй байгаа эсвэл галт хана нь харилцаа холбоог хааж байгаа эсэхийг харна уу.

Өөр нэг ердийн тохиолдол: вэб сайт таны нэвтрэлтийг зөв шифрлэхгүй байгаа эсэхийг илрүүлэх. Хэрэв та HTTPS-гүй вэб сайтад нэвтэрч, хэрэглэгчийн нэртэйгээ HTTP шүүлтүүрийг ашиглавал нууц үгээ сүлжээгээр дамжуулж байгааг харж болно, энэ нь аюулгүй байдлын баталгаагүй вэб сайтын эрсдэлийг бодит амьдрал дээр харуулах болно.

Wireshark ба аюулгүй байдал: Эрсдэл, халдлага, хамгаалалтын арга хэмжээ

Wireshark-ийн хүч нь түүний хамгийн том эрсдэл юм: Буруу гарт энэ нь итгэмжлэлийг барьж авах, тагнуул хийх, нууц мэдээллийг илчлэх зэрэгт тустай.. Энд зарим аюул занал, зөвлөмжүүд байна:

• Итгэмжлэлийн үнэмлэх бөглөх (итгэмжлэх жуух бичгийг харгис хүчний дайралт): Хэрэв та SSH, Telnet эсвэл бусад үйлчилгээний урсгалыг олж авбал автоматаар нэвтрэх оролдлогыг ажиглаж болно. Илүү урт сесс (тэдгээр нь ихэвчлэн амжилттай байдаг), багцын хэмжээ, сэжигтэй хэв маягийг илрүүлэх оролдлогын тоо зэргийг анхаарч үзээрэй.
• Гадаад урсгалын эрсдэл: Дотоод сүлжээнээсээ ирж буй бүх SSH траффикийг шүүнэ үү: Хэрэв та гаднаас холболт харвал болгоомжтой байгаарай!
• Энгийн текст нууц үг: Хэрэв вэбсайт нь шифрлэгдээгүй хэрэглэгчийн нэр, нууц үгээ дамжуулдаг бол та үүнийг дэлгэцийн агшинд харах болно. Гадаад сүлжээнээс энэ өгөгдлийг авахын тулд хэзээ ч Wireshark ашиглаж болохгүй. Зөвшөөрөлгүйгээр үүнийг хийх нь хууль бус гэдгийг санаарай.
• Зөвшөөрөл ба хууль ёсны байдал: Зөвхөн өөрийн сүлжээнээс эсвэл тодорхой зөвшөөрөл авсан урсгалд дүн шинжилгээ хийдэг. Хуульд энэ талаар маш тодорхой заасан бөгөөд буруугаар ашиглах нь ноцтой үр дагаварт хүргэж болзошгүй юм.
• Transparencia y ética: Хэрэв та корпорацийн орчинд ажилладаг бол шинжилгээ болон түүний зорилгын талаар хэрэглэгчдэд мэдэгдээрэй. Хувийн нууцыг хүндэтгэх нь техникийн аюулгүй байдлын нэгэн адил чухал юм.

Wireshark хувилбарууд: Сүлжээний шинжилгээний бусад сонголтууд

Wireshark бол маргаангүй лавлагаа боловч түүний хэрэглээг нөхөж эсвэл тодорхой нөхцөлд орлуулах бусад хэрэгслүүд байдаг:

• Tcpdump: Unix/Linux орчинд хамгийн тохиромжтой, командын мөрөнд ажилладаг. Энэ нь хөнгөн, хурдан бөгөөд уян хатан бөгөөд хурдан зураг авах эсвэл автоматжуулсан даалгавар юм.
• Cloudshark: Хөтөчөөс багц бичлэгүүдийг байршуулах, дүн шинжилгээ хийх, хуваалцах вэб платформ. Хамтран ажиллах орчинд маш хэрэгтэй.
• SmartSniff: Windows үйлдлийн систем дээр төвлөрч, үйлчлүүлэгч болон сервер хоорондын харилцан яриаг зураг авах, үзэхэд ашиглахад хялбар.
• ColaSoft Capsa: Интерфейсийн энгийн байдал, порт сканнердах, экспортлох, авсаархан дүрслэх тусгай сонголтуудаараа ялгардаг график сүлжээний анализатор.

Хамгийн сайн хувилбарыг сонгох нь таны хэрэгцээ шаардлагаас хамаарна.: хурд, график интерфэйс, онлайн хамтын ажиллагаа эсвэл тодорхой техник хангамжтай нийцтэй байх.

Нарийвчилсан тохиргоо: Садар самуун горим, монитор, нэрийн нарийвчлал

Садар самуун горим нь сүлжээний картыг авах боломжийг олгодог зөвхөн түүнд зориулагдсан багц, гэхдээ холбогдсон сүлжээгээр дамждаг бүх урсгал. Энэ нь корпорацын сүлжээ, хуваалцсан төвүүд эсвэл пенстестийн хувилбаруудад дүн шинжилгээ хийхэд маш чухал юм.

Windows дээр очно уу Зураг авах > Сонголтууд, интерфэйсийг сонгоод садар самуун горимын хайрцгийг шалгана уу. Wi-Fi сүлжээнд маш тодорхой техник хангамжаас бусад тохиолдолд та зөвхөн өөрийн төхөөрөмжөөс урсгалыг харах болно гэдгийг санаарай.

Нөгөөтэйгүүр, Нэрийн нарийвчлал нь IP хаягийг унших боломжтой домэйн нэр болгон хувиргадаг (жишээлбэл, google-public-dns-a.google.com дээрх 8.8.8.8). Та энэ сонголтыг Засвар > Тохиргоо > Нэрийн нягтрал хэсгээс идэвхжүүлж эсвэл идэвхгүй болгож болно. Энэ нь сканнердах явцад төхөөрөмжүүдийг тодорхойлоход маш их тусалдаг боловч хэрэв шийдэгдэж байгаа олон хаяг байгаа бол процессыг удаашруулж болно.