Slik bruker du Wireshark på Windows: En komplett, praktisk og oppdatert guide

Har du noen gang lurt på det Hva skjer egentlig på nettverket ditt når du surfer, spiller på nett eller administrerer tilkoblede enheter? Hvis du bare er nysgjerrig på mysteriene som sirkulerer på WiFi-en din, eller hvis du bare trenger et profesjonelt verktøy for å Analyser nettverkstrafikk og oppdag problemer med tilkoblingen din, sikkert navnet på Wireshark har allerede fanget oppmerksomheten din.

Vel, i denne artikkelen vil du oppdage uten omveier alle detaljene om WiresharkHva det er, hva det brukes til i Windows, hvordan du installerer det, og de beste tipsene før du begynner å registrere data. La oss komme til det.

Hva er Wireshark? En gjennombrudd av giganten innen nettverksanalyse

Wireshark er den mest populære og anerkjente nettverksprotokollanalysatoren over hele verden.. Dette gratis, åpen kildekode-baserte og kraftige verktøyet lar deg fange opp og undersøke all nettverkstrafikk som går gjennom datamaskinen din, enten det er en Windows-, Linux-, macOS-maskin eller til og med systemer som FreeBSD og Solaris. Med Wireshark kan du se, i sanntid eller etter opptak, nøyaktig hvilke pakker som kommer inn og forlater datamaskinen din, kilden, destinasjonen, protokollene deres, og til og med bryte dem ned for å få detaljer om hvert lag i henhold til OSI-modellen.

I motsetning til mange analysatorer, Wireshark skiller seg ut med sitt intuitive grafiske grensesnitt, men tilbyr også en kraftig konsollversjon kalt TShark for de som foretrekker kommandolinjen eller trenger å utføre automatiserte oppgaver. Fleksibiliteten til Wireshark Den er slik at du kan analysere en forbindelse mens du surfer, utføre profesjonelle sikkerhetsrevisjoner, løse flaskehalser i nettverket eller lære fra bunnen av hvordan Internett-protokoller fungerer, alt fra din egen PC!

Last ned og installer Wireshark på Windows

Det er en enkel prosess å installere Wireshark på Windows., men det er lurt å gjøre det trinn for trinn for å ikke legge igjen noen løse tråder, spesielt når det gjelder tillatelser og tilleggsdrivere for opptak.

• Offisiell nedlasting: Tilgang til det offisielle Wireshark-nettstedet og velg Windows-versjonen (32 eller 64 bits avhengig av systemet ditt).
• Kjør installasjonsprogrammet: Dobbeltklikk på den nedlastede filen og følg veiviseren. Godta standardalternativene hvis du har spørsmål.
• Viktige drivere: Under installasjonen vil installasjonsprogrammet spørre deg installer Npcap. Denne komponenten er viktig, ettersom den lar nettverkskortet ditt fange opp pakker i "promiskuøs" modus. Godta installasjonen.
• Avslutt og start på nytt: Når prosessen er fullført, start datamaskinen på nytt for å sikre at alle komponentene er klare.

Ferdig! Du kan nå begynne å bruke Wireshark fra Windows Start-menyen. Vær oppmerksom på at dette programmet oppdateres ofte, så det er lurt å sjekke om det finnes nye versjoner fra tid til annen.

Slik fungerer Wireshark: Pakkeopptak og visning

Når du åpner Wireshark, Det første du vil se er listen over alle nettverksgrensesnittene som er tilgjengelige på systemet ditt.Kablede nettverkskort, WiFi og til og med virtuelle adaptere hvis du bruker virtuelle maskiner som VMware eller VirtualBox. Hvert av disse grensesnittene representerer et inngangs- eller utgangspunkt for digital informasjon.

For å begynne å registrere data, Du trenger bare å dobbeltklikke på ønsket grensesnitt. Siden da, Wireshark vil vise alle pakkene som sirkulerer i sanntid av det kortet, sortere dem etter kolonner som pakkenummer, opptakstidspunkt, kilde, destinasjon, protokoll, størrelse og ytterligere detaljer.

Når du vil stoppe opptaket, trykker du på rød stoppknapp. Du kan lagre opptakene dine i .pcap-format for senere analyse, deling eller til og med eksport av dem i forskjellige formater (CSV, tekst, komprimert osv.). Denne fleksibiliteten er det som gjør Wireshark er et uunnværlig verktøy for både stikkprøveanalyser og fullstendige revisjoner..

Komme i gang: Tips før du tar et skjermbilde i Windows

For å sikre at de første Wireshark-opptakene dine er nyttige og ikke ender opp med irrelevant støy eller forvirrende data, er det flere viktige anbefalinger du bør følge:

• Lukk unødvendige programmerFør du starter et opptak, må du avslutte programmer som genererer bakgrunnstrafikk (oppdateringer, chatter, e-postklienter, spill osv.). På denne måten unngår du å blande irrelevant trafikk.
• Kontroller brannmurenBrannmurer kan blokkere eller endre trafikk. Vurder å deaktivere den midlertidig hvis du ønsker et fullstendig opptak.
• Fang bare opp det som er relevantHvis du vil analysere en bestemt app, venter du et sekund eller to etter at du har startet opptaket for å starte appen, og gjør det samme når du lukker den før du stopper opptaket.
• Kjenn ditt aktive grensesnittSørg for at du velger riktig nettverkskort, spesielt hvis du har flere adaptere eller er på et virtuelt nettverk.

Ved å følge disse retningslinjene vil skjermbildene dine bli mye renere og mer nyttige for videre analyse..

Filtre i Wireshark: Slik fokuserer du på det som virkelig betyr noe

En av de kraftigste funksjonene til Wireshark er filtrene. Det finnes to grunnleggende typer:

• OpptaksfiltreDe brukes før opptak starter, slik at du bare kan samle inn trafikken som interesserer deg fra starten av.
• Vis filtreDisse gjelder for listen over pakker som allerede er fanget, slik at du bare kan vise de som oppfyller kriteriene dine.

Blant de vanligste filtrene er:

• Etter protokollFiltrerer bare HTTP-, TCP-, DNS- osv.-pakker.
• Etter IP-adresseFor eksempel, vis bare pakker fra eller til en bestemt IP-adresse ved hjelp av ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• Etter havnBegrenser resultatene til en bestemt port (tcp.port == 80).
• Etter tekststreng: Finner pakker som inneholder et nøkkelord i innholdet.
• Etter MAC-adresse, pakkelengde eller IP-område.

I tillegg kan filtre kombineres med logiske operatorer (og, or, ikke) for svært presise søk, som for eksempel tcp.port == 80 og ip.src == 192.168.1.1.

Hva kan du fange opp og analysere med Wireshark på Windows?

Wireshark er i stand til å tolke mer enn 480 forskjellige protokoller, fra grunnleggende ting som TCP, UDP, IP, til applikasjonsspesifikke protokoller, IoT, VoIP og mange andre. Dette betyr at du kan undersøke alle typer nettverkstrafikk, fra enkle DNS-spørringer til krypterte SSH-økter, HTTPS-tilkoblinger, FTP-overføringer eller SIP-trafikk fra internettelefoni.

Videre Wireshark støtter standard opptaksformater som tcpdump (libpcap), pcapng og andre, og lar deg komprimere og dekomprimere skjermbilder på farten ved hjelp av GZIP for å spare plass. For kryptert trafikk (TLS/SSL, IPsec, WPA2 osv.) kan du til og med dekryptere dataene og se det opprinnelige innholdet hvis du har de riktige nøklene.

Detaljert trafikkregistrering: ytterligere anbefalinger

Før du starter viktige opptak, følg denne protokollen for å maksimere nytten av informasjonen som samles inn.:

• Velg riktig grensesnittNormalt vil den aktive adapteren være den for tilkoblingen du bruker. Hvis du er i tvil, sjekk hvilken som er koblet til fra nettverksinnstillingene i Windows.
• Sette tonenÅpne bare programmene eller appene som genererer trafikken du vil analysere.
• Isoler fenomenetHvis du ønsker å analysere apptrafikk, følg denne sekvensen: start appen etter at du har startet opptaket, utfør handlingen du vil analysere, og lukk appen før du stopper opptaket.
• Lagre skjermbildet: Stopp opptaket, gå til Fil > Lagre og velg .pcap eller ditt foretrukne format.

Slik får du det rene og enkle å analysere filer, uten noe søppeltrafikk blandet inn.

Illustrative eksempler: trafikkanalyse med Wireshark

La oss si at du har to datamaskiner på det lokale nettverket ditt, og en av dem slutter å få tilgang til Internett. Du kan bruke Wireshark til å fange opp trafikk fra den maskinen. og se om det er feil under løsning av DNS-adresser, om pakker ikke når ruteren, eller om en brannmur blokkerer kommunikasjon.

Et annet typisk tilfelle: oppdage om et nettsted ikke krypterer påloggingen din på riktig måte. Hvis du logger deg på et nettsted uten HTTPS og bruker et HTTP-filter kombinert med brukernavnet ditt, kan du til og med se passordet ditt spre seg usynlig over nettverket, en demonstrasjon av risikoen ved usikre nettsteder.

Wireshark og sikkerhet: Risikoer, angrep og beskyttelsestiltak

Wiresharks kraft er også den største risikoen: I gale hender kan det legge til rette for legitimasjonsinnhenting, spionasje eller avsløre sensitiv informasjon.. Her er noen trusler og anbefalinger:

• Legitimasjonsfylling (brute force-angrep på legitimasjon)Hvis du fanger opp SSH-, Telnet- eller annen tjenestetrafikk, kan du observere automatiserte påloggingsforsøk. Vær oppmerksom på lengre økter (de er vanligvis vellykkede), pakkestørrelser og antall forsøk på å oppdage mistenkelige mønstre.
• Risiko for ekstern trafikkFiltrer all SSH-trafikk som ikke kommer fra ditt interne nettverk: vær oppmerksom hvis du ser tilkoblinger utenfra!
• Vanlig tekstpassordHvis et nettsted overfører ukrypterte brukernavn og passord, vil du se det på skjermbildet. Bruk aldri Wireshark til å innhente disse dataene på utenlandske nettverk. Husk at det er ulovlig å gjøre det uten tillatelse.
• Samtykke og lovlighetAnalyserer kun trafikk fra egne nettverk eller med eksplisitt autorisasjon. Loven er veldig klar på dette punktet, og misbruk kan få alvorlige konsekvenser.
• Åpenhet og etikkHvis du jobber i et bedriftsmiljø, informer brukerne om analysen og dens formål. Respekt for personvern er like viktig som teknisk sikkerhet.

Wireshark-alternativer: Andre alternativer for nettverksanalyse

Wireshark er den ubestridte referansen, men det finnes andre verktøy som kan utfylle eller, i spesifikke situasjoner, erstatte bruken av den:

• tcpdumpIdeell for Unix/Linux-miljøer, fungerer på kommandolinjen. Den er lett, rask og fleksibel for raske opptak eller automatiserte oppgaver.
• SkyhaiNettplattform for opplasting, analyse og deling av pakkeopptak fra nettleseren. Veldig nyttig for samarbeidsmiljøer.
• SmartSniffFokusert på Windows, enkel å bruke for punktopptak og visning av samtaler mellom klienter og servere.
• ColaSoft CapsaGrafisk nettverksanalysator som skiller seg ut med sitt enkle grensesnitt og spesifikke alternativer for portskanning, eksport og kompakt visualisering.

Å velge det beste alternativet avhenger av dine spesifikke behov.: hastighet, grafisk grensesnitt, samarbeid på nett eller kompatibilitet med spesifikk maskinvare.

Avanserte innstillinger: Promiskuøs modus, skjerm og navneløsning

Promiskuøs modus lar nettverkskortet fange opp ikke bare pakkene som var ment for henne, men all trafikk som sirkulerer gjennom nettverket den er koblet til. Det er avgjørende for å analysere bedriftsnettverk, delte huber eller penetrasjonstestingsscenarier.

På Windows, gå til Opptak > Alternativer, velg grensesnittet og merk av i boksen for promiskuøs modus. Husk at på Wi-Fi-nettverk, med unntak av svært spesifikk maskinvare, vil du bare se trafikk fra din egen enhet.

Videre Navneløsning konverterer IP-adresser til lesbare domenenavn (for eksempel 8.8.8.8 i google-public-dns-a.google.com). Du kan aktivere eller deaktivere dette alternativet fra Rediger > Innstillinger > Navneløsning. Det hjelper mye å identifisere enheter under en skanning, selv om det kan forsinke prosessen hvis det er mange adresser som skal løses.