Cara menggunakan Wireshark untuk mengesan masalah rangkaian

Jika anda bekerja dalam rangkaian, keselamatan atau pembangunan dan ingin memahami perkara yang berlaku pada kabel dan Wi-Fi anda, bekerjasama dengan Wireshark Ia adalah elemen penting. ini penganalisis pakej sumber terbuka dengan dekad evolusi yang membolehkan menangkap, membedah dan mengkaji trafik pada peringkat paket dengan ketepatan pembedahan.

Dalam artikel ini kami menganalisisnya secara mendalam: daripada lesen dan penajaannya kepada pakejnya dalam GNU/Linux, termasuk utiliti konsol, format yang disokong, keperluan kompilasi, kebenaran menangkap dan gambaran keseluruhan sejarah dan fungsi yang benar-benar lengkap.

Apakah Wireshark dan apakah yang digunakan untuk hari ini?

Pada dasarnya, Wireshark ialah a penganalisis protokol dan peranti penangkapan trafik yang membolehkan anda meletakkan antara muka dalam mod rambang atau monitor (jika sistem menyokongnya) dan melihat bingkai yang tidak akan dihantar ke Mac anda, menganalisis perbualan, membina semula aliran, paket warna mengikut peraturan dan menggunakan penapis paparan yang sangat ekspresif. Tambahan pula, termasuk TShark (versi terminal) dan satu set utiliti untuk tugas seperti menyusun semula, membelah, menggabungkan dan menukar tangkapan skrin.

Walaupun penggunaannya mengingatkan tcpdump, ia menyediakan antara muka grafik moden berdasarkan Qt dengan penapisan, pengisihan, dan pembedahan dalam untuk beribu-ribu protokol. Jika anda menggunakan suis, ingat bahawa mod rambang tidak menjamin anda akan melihat semua trafik: untuk senario lengkap anda memerlukan pencerminan port atau ketik rangkaian, yang juga disebut oleh dokumentasi mereka sebagai amalan terbaik.

Lesen, asas dan model pembangunan

Wireshark diedarkan di bawah GNU GPL v2 dan di banyak tempat, sebagai "GPL v2 atau lebih baru". Sesetengah utiliti dalam kod sumber dilesenkan di bawah lesen yang berbeza tetapi serasi, seperti alat pidl dengan GPLv3+, yang tidak menjejaskan binari penganalisis yang terhasil. Tiada jaminan nyata atau tersirat; gunakannya atas risiko anda sendiri, seperti biasa dengan perisian percuma.

La Yayasan Wireshark Ia menyelaras pembangunan dan pengedaran. Ia bergantung pada sumbangan daripada individu dan organisasi yang kerjanya berdasarkan Wireshark. Projek ini mempunyai beribu-ribu pengarang berdaftar dan tokoh sejarah seperti Gerald Combs, Gilbert Ramirez, dan Guy Harris antara penyokongnya yang paling menonjol.

Wireshark berjalan pada Linux, Windows, macOS dan sistem seperti Unix yang lain (BSD, Solaris, dll.). Pakej rasmi dikeluarkan untuk Windows dan macOS, dan pada GNU/Linux ia biasanya disertakan sebagai pakej standard atau tambahan dalam pengedaran seperti Debian, Ubuntu, Fedora, CentOS, RHEL, Arch, Gentoo, openSUSE, FreeBSD, DragonFly BSD, NetBSD dan OpenBSD. Ia juga tersedia pada sistem pihak ketiga seperti Homebrew, MacPorts, pkgsrc atau OpenCSW.

Untuk menyusun daripada kod, anda memerlukan Python 3; AsciiDoctor untuk dokumentasi; dan alatan seperti Perl dan GNU flex (lex klasik tidak akan berfungsi). Konfigurasi menggunakan CMake membolehkan anda mendayakan atau melumpuhkan sokongan tertentu, contohnya, perpustakaan mampatan dengan -DENABLE_ZLIB=OFF, -DENABLE_LZ4=OFF atau -DENABLE_ZSTD=OFF, atau sokongan libsmi dengan -DENABLE_SMI=OFF jika anda memilih untuk tidak memuatkan MIB.

Pakej dan perpustakaan dalam sistem berasaskan Debian

Dalam Debian/Ubuntu dan persekitaran derivatif, ekosistem Wireshark dibahagikan kepada pelbagai pakejDi bawah ialah pecahan dengan ciri, anggaran saiz dan kebergantungan. Pakej ini membolehkan anda memilih daripada GUI yang lengkap kepada perpustakaan dan alat pembangunan untuk menyepadukan pembedahan ke dalam aplikasi anda sendiri.

wireshark

Aplikasi grafik untuk menangkap dan menganalisis trafik dengan antara muka Qt. Anggaran saiz: 10.59 MB. Kemudahan: sudo apt install wireshark

Antara pilihan permulaannya, anda akan menemui parameter untuk memilih antara muka (-i), tangkap penapis (-f), had syot kilat, mod monitor, senarai jenis pautan, penapis paparan (-Y), "Nyahkod Sebagai" dan pilihan, serta format output fail dan tangkap komen. Aplikasi ini juga membenarkan pemprofilan konfigurasi dan statistik ciri lanjutan daripada antara muka.

jerung

Versi konsol untuk tangkapan dan analisis baris arahan. Anggaran saiz: 429 KB. Kemudahan: sudo apt install tshark

Ia membolehkan anda memilih antara muka, menggunakan penapis tangkapan dan paparan, menentukan keadaan berhenti (masa, saiz, bilangan paket), menggunakan penimbal bulat, butiran cetakan, pembuangan hex dan JSON serta mengeksport objek dan kekunci TLS. Ia juga boleh mewarnakan output dalam terminal yang serasi. laraskan pembalakan log mengikut domain dan tahap perincian. Berhati-hati dinasihatkan jika anda mendayakan BPF JIT pada peringkat kernel, kerana ia mungkin mempunyai implikasi keselamatan.

wireshark-common

Fail biasa untuk wireshark dan tshark (cth., kamus, konfigurasi dan utiliti talian). Anggaran saiz: 1.62 MB. Kemudahan: sudo apt install wireshark-common

Pakej ini termasuk utiliti seperti capinfos (tangkap maklumat fail: jenis, enkapsulasi, tempoh, kadar, saiz, cincang dan ulasan), captype (mengenal pasti jenis fail), dumpcap (peranti tangkapan ringan yang menggunakan pcapng/pcap dengan autostop dan penimbal bulat), editcap (edit/pecah/tukar tangkapan, laraskan cap masa, alih keluar pendua, tambah ulasan atau rahsia), mergecap (cantumkan atau gabungkan berbilang tangkapan), mmdbresolve (selesaikan geolokasi IP dengan pangkalan data MMDB), randpkt (penjana paket sintetik berbilang protokol), rawshark (pembedahan kasar dengan keluaran medan), reordercap (susun semula mengikut cap masa), sharkd (daemon dengan API untuk memproses tangkapan) dan text2pcap (tukar hexdump atau teks berstruktur kepada tangkapan yang sah).

libwireshark18 dan libwireshark-data

Perpustakaan pembedahan paket pusat. Menyediakan penganalisis protokol yang digunakan oleh Wireshark/TShark. Anggaran saiz perpustakaan: 126.13 MB. Kemudahan: sudo apt install libwireshark18 y sudo apt install libwireshark-data

Ia termasuk sokongan untuk sejumlah besar protokol dan pilihan seperti mendayakan atau melumpuhkan pembedahan tertentu, heuristik dan "Nyahkod Sebagai" daripada antara muka atau baris arahan; terima kasih kepada ini, anda boleh menyesuaikan diri pembelahan lalu lintas sebenar persekitaran anda.

libwiretap15 dan libwiretap-dev

Wiretap ialah perpustakaan untuk membaca dan menulis berbilang format fail tangkapan. Kekuatannya ialah pelbagai format yang disokongnya; batasannya ialah: Ia tidak menapis atau melakukan tangkapan langsung.. Kemudahan: sudo apt install libwiretap15 y sudo apt install libwiretap-dev

Varian -dev menyediakan perpustakaan statik dan pengepala C untuk menyepadukan operasi baca/tulis ke dalam alatan anda. Ini membolehkan anda membangunkan utiliti yang memanipulasi data. pcap, pcapng dan bekas lain sebagai sebahagian daripada saluran paip kami sendiri.

libwsutil16 dan libwsutil-dev

Satu set utiliti yang dikongsi oleh Wireshark dan perpustakaan berkaitan: fungsi tambahan untuk manipulasi rentetan, penimbalan, penyulitan, dsb. Pemasangan: sudo apt install libwsutil16 y sudo apt install libwsutil-dev

Pakej -dev termasuk pengepala dan perpustakaan statik supaya aplikasi luaran boleh memautkan utiliti biasa tanpa melaksanakan semula roda. Ia adalah asas kepada pelbagai fungsi dikongsi yang menggunakan Wireshark dan TShark.

wireshark-dev

Alat dan fail untuk mencipta "dissector" baharu. Ia menyediakan skrip seperti idl2wrs, serta kebergantungan untuk menyusun dan menguji. Anggaran saiz: 621 KB. Kemudahan: sudo apt install wireshark-dev

Ia termasuk utiliti seperti asn2deb (menjana pakej Debian untuk pemantauan BER daripada ASN.1) dan idl2deb (pakej untuk CORBA). Dan, di atas semua, idl2wrsAlat ini mengubah IDL CORBA menjadi rangka pemalam C untuk membedah trafik GIOP/IIOP. Aliran kerja ini bergantung pada skrip Python (wireshark_be.py dan wireshark_gen.py) dan menyokong pembedahan heuristik secara lalai. Alat ini mencari modulnya dalam PYTHONPATH/pakej tapak atau dalam direktori semasa, dan menerima ubah hala fail untuk menjana kod.

wireshark-doc

Dokumentasi pengguna, panduan pembangunan dan rujukan Lua. Anggaran saiz: 13.40 MB. Kemudahan: sudo apt install wireshark-doc

Disyorkan jika anda ingin mendalami lebih mendalam sambungan, skrip dan APIDokumentasi dalam talian di laman web rasmi dikemas kini dengan setiap versi yang stabil.

Permit penangkapan dan keselamatan

Dalam banyak sistem, tangkapan langsung memerlukan keistimewaan yang tinggi. Atas sebab ini, Wireshark dan TShark mewakilkan tangkapan kepada perkhidmatan pihak ketiga. dumpcapBinari yang direka untuk dijalankan dengan keistimewaan (set-UID atau keupayaan) untuk meminimumkan permukaan serangan. Menjalankan keseluruhan GUI sebagai root bukanlah amalan yang baik; adalah lebih baik untuk menangkap dengan dumpcap atau tcpdump dan menganalisis tanpa keistimewaan untuk mengurangkan risiko.

Sejarah projek termasuk insiden keselamatan dalam pembedah selama bertahun-tahun, dan beberapa platform seperti OpenBSD menghentikan contoh Ethereal lama atas sebab itu. Dengan model semasa, pengasingan daripada tangkapan dan kemas kini berterusan memperbaiki keadaan, tetapi ia sentiasa dinasihatkan ikut arahan keselamatan Dan, jika anda mengesan aktiviti yang mencurigakan, ketahui caranya menyekat sambungan rangkaian yang mencurigakan dan elakkan membuka tangkapan skrin yang tidak dipercayai tanpa semakan terlebih dahulu.

Format fail, pemampatan dan fon khas

Wireshark membaca dan menulis pcap dan pcapng, serta format daripada penganalisis lain seperti snoop, Network General Sniffer, Microsoft Network Monitor, dan banyak lagi yang disenaraikan oleh Wiretap di atas. Ia boleh membuka fail termampat jika ia disusun dengan perpustakaan untuk pcapng. GZIP, LZ4 dan ZSTDKhususnya, GZIP dan LZ4 dengan blok bebas membolehkan lompatan pantas, meningkatkan prestasi GUI dalam tangkapan besar.

Ciri dokumen projek seperti AIX iptrace (di mana HUP kepada daemon ditutup dengan bersih), sokongan untuk jejak Lucent/Ascend, Toshiba ISDN atau CoSine L2, dan menunjukkan cara untuk menangkap output teks ke fail (cth., dengan telnet <equipo> | tee salida.txt atau menggunakan alat tersebut skrip) untuk mengimportnya kemudian dengan text2pcap. Laluan ini membawa anda keluar tangkapan "konvensional". apabila anda menggunakan peralatan yang tidak langsung terbalik pada pcap.

Utiliti suite dan kategori pilihan

Sebagai tambahan kepada Wireshark dan TShark, pengedaran termasuk beberapa alat yang merangkumi tugas yang sangat khususTanpa menyalin kata kerja teks bantuan, berikut ialah ringkasan yang disusun mengikut kategori supaya anda tahu perkara yang dilakukan oleh setiap satu dan pilihan yang akan anda temui:

• dumpcap: Tangkapan pcap/pcapng “tulen dan ringkas”, pemilihan antara muka, penapis BPF, saiz penimbal, putaran mengikut masa/saiz/fail, penciptaan penimbal cincin, tangkapan komen dan output dalam format boleh dibaca oleh mesinIa memberi amaran terhadap pengaktifan JIT BPF kerana potensi risiko.
• capinfosIa memaparkan jenis fail, enkapsulasi, antara muka dan metadata; bilangan paket, saiz fail, jumlah panjang, had syot kilat, kronologi (pertama/terakhir), kadar purata (bps/Bps/pps), saiz paket purata, cincangan dan ulasan. Ia membolehkan output jadual atau terperinci dan format boleh dibaca mesin.
• captype: mengenal pasti jenis fail tangkapan untuk satu atau lebih entri dengan bantuan dan pilihan versi.
• editcapIa memilih/memadamkan julat paket, menjentik/mencincang, melaraskan cap masa (termasuk susunan yang ketat), mengalih keluar pendua dengan tetingkap boleh dikonfigurasikan, menambah komen setiap bingkai, membahagikan output mengikut nombor atau masa, menukar bekas dan enkapsulasi, berfungsi dengan rahsia penyahsulitan dan memampatkan output. Ia adalah alat serba guna untuk "membersihkan" tangkapan.
• mergecap: menggabungkan berbilang tangkapan menjadi satu, sama ada dengan penggabungan linear atau pencampuran berasaskan cap waktu, mengawal snaplen, mentakrifkan jenis output, mod penggabungan IDB dan pemampatan akhir.
• reordercap: menyusun semula fail mengikut cap masa menghasilkan output bersih dan, jika ia sudah diisih, boleh mengelak daripada menulis keputusan untuk menyimpan I/O.
• text2pcap: menukar hexdumps atau teks dengan regex kepada tangkapan yang sah; mengiktiraf offset dalam pelbagai pangkalan data, cap masa dengan format masa strptime (termasuk ketepatan pecahan), mengesan ASCII yang dilampirkan jika berkenaan dan boleh menambah pengepala "dummy" (Ethernet, IPv4/IPv6, UDP/TCP/SCTP, EXPORTED_PDU) dengan port, alamat dan label ditunjukkan.
• rawshark: Pembaca berorientasikan medan "mentah"; membolehkan anda menetapkan protokol enkapsulasi atau pembedahan, melumpuhkan resolusi nama, menetapkan penapis bacaan/paparan dan memutuskan format output medan, berguna untuk saluran paip dengan alatan lain.
• randpktMenjana fail dengan jenis paket rawak seperti ARP, BGP, DNS, Ethernet, IPv4/IPv6, ICMP, TCP/UDP, SCTP, Syslog, USB-Linux, dsb., menyatakan akaun, saiz maksimum dan bekas. Sesuai untuk ujian dan demo.
• mmdbresolve: Kueri pangkalan data MaxMind (MMDB) untuk memaparkan geolokasi alamat IPv4/IPv6, menentukan satu atau lebih fail pangkalan data.
• sharkd: daemon yang mendedahkan API (mod “emas”) atau soket klasik (mod “klasik”); menyokong profil konfigurasi dan dikawal daripada pelanggan untuk pembedahan dan carian sebelah pelayan, berguna dalam automasi dan perkhidmatan.

Seni bina, ciri dan batasan

Wireshark bergantung pada libpcap/Npcap untuk tangkapan, dan pada ekosistem perpustakaan (libwireshark, libwiretap, libwsutil) yang memisahkan pembedahan, format dan utiliti. Ia membolehkan pengesanan panggilan VoIP, main balik audio dalam pengekodan yang disokong, tangkapan trafik USB mentah dan penapisan pada rangkaian Wi-Fi (jika mereka melintasi Ethernet yang dipantau). pemalam untuk protokol baharu ditulis dalam C atau Lua. Ia juga boleh menerima trafik jauh berkapsul (mis., TZSP) untuk analisis masa nyata daripada mesin lain.

Ia bukan IDS, dan juga tidak mengeluarkan amaran; peranannya adalah pasif: ia memeriksa, mengukur dan memaparkan. Walaupun begitu, alat bantu menyediakan statistik dan aliran kerja, dan bahan latihan tersedia (termasuk apl pendidikan yang menjurus ke arah 2025 yang mengajar penapis, menghidu, cap jari OS asas, analisis masa nyata, automasi, trafik yang disulitkan dan penyepaduan dengan amalan DevOps). Aspek pendidikan ini melengkapkan fungsi teras diagnosis dan penyelesaian masalah.

Keserasian dan ekosistem

Platform pembinaan dan ujian termasuk Linux (Ubuntu), Windows dan macOSProjek ini juga menyebut keserasian luas dengan sistem dan pengedaran seperti Unix tambahan melalui pengurus pihak ketiga. Dalam sesetengah kes, versi OS lama memerlukan cawangan sebelumnya (contohnya, Windows XP dengan versi 1.10 atau lebih awal). Secara amnya, anda boleh memasang daripada repositori rasmi atau binari dalam kebanyakan persekitaran tanpa isu utama.

Ia disepadukan dengan simulator rangkaian (ns, OPNET Modeler), dan alatan pihak ketiga (cth., Aircrack untuk 802.11) boleh digunakan untuk menghasilkan tangkapan yang Wireshark dibuka tanpa kesukaran. Bagi pihak undang-undang dan etika yang ketatIngat untuk hanya menangkap pada rangkaian dan dalam senario yang anda mempunyai kebenaran nyata.

Nama, tapak web rasmi dan data kawalan

Laman web rasmi ialah wireshark.orgdengan muat turun dalam subdirektori /muat turun dan dokumentasi dalam talian untuk pengguna dan pembangun. Terdapat halaman dengan kawalan pihak berkuasa (cth., GND) dan senarai pautan ke repositori kod, penjejak pepijat dan blog projek, berguna untuk mengikuti berita dan isu pelaporan.

Sebelum anda mula menangkap, sahkan kebenaran dan keupayaan sistem anda, tentukan sama ada anda akan menggunakan dumpcap/tcpdump untuk membuang ke cakera dan menganalisis tanpa keistimewaan, dan menyediakan penapis tangkapan dan paparan selaras dengan objektif anda. Dengan metodologi yang baik, Wireshark memudahkan kompleks dan memberi anda maklumat yang tepat. Keterlihatan yang anda perlukan untuk mendiagnosis, mempelajari atau mengaudit rangkaian dalam sebarang saiz.

Artikel berkaitan:

Perkara yang perlu dilakukan dalam 24 jam pertama selepas penggodaman: akaun mudah alih, PC dan dalam talian

Daniel Terrasa

Editor khusus dalam isu teknologi dan internet dengan lebih daripada sepuluh tahun pengalaman dalam media digital yang berbeza. Saya telah bekerja sebagai editor dan pencipta kandungan untuk e-dagang, komunikasi, pemasaran dalam talian dan syarikat pengiklanan. Saya juga telah menulis di laman web ekonomi, kewangan dan sektor lain. Kerja saya juga minat saya. Sekarang, melalui artikel saya dalam Tecnobits, saya cuba meneroka semua berita dan peluang baharu yang dunia teknologi tawarkan kepada kita setiap hari untuk memperbaiki kehidupan kita.