Kako uporabljati Wireshark v sistemu Windows: Popoln, praktičen in posodobljen vodnik

Ste se kdaj vprašali Kaj se v resnici dogaja v vašem omrežju, ko brskate, igrate igre na spletu ali upravljate povezane naprave? Če vas preprosto zanimajo skrivnosti, ki krožijo po vašem brezžičnem omrežju, ali če preprosto potrebujete profesionalno orodje za Analizirajte omrežni promet in odkrijte težave s povezavo, zagotovo ime Wireshark je že pritegnil tvojo pozornost.

No, v tem članku boste odkrili brez ovinkov vse podrobnosti o WiresharkuKaj je to, za kaj se uporablja v sistemu Windows, kako ga namestiti in najboljši nasveti, preden začnete zajemati podatke. Pa pojdimo k temu.

Kaj je Wireshark? Razčlenitev titana omrežne analize

Wireshark je najbolj priljubljen in prepoznaven analizator omrežnih protokolov po vsem svetu.. To brezplačno, odprtokodno in zmogljivo orodje vam omogoča, da zajame in pregleda ves omrežni promet ki prehaja skozi vaš računalnik, pa naj gre za sistem Windows, Linux, macOS ali celo sisteme, kot sta FreeBSD in Solaris. Z Wiresharkom lahko v realnem času ali po snemanju natančno vidite, kateri paketi vstopajo in izstopajo iz vašega računalnika, njihov vir, cilj, protokole in jih celo razčlenite, da dobite podrobnosti o vsaki plasti v skladu z modelom OSI.

Za razliko od mnogih analizatorjev, Wireshark izstopa po svojem intuitivnem grafičnem vmesniku, ponuja pa tudi zmogljivo konzolno različico, imenovano TShark, za tiste, ki imajo raje ukazno vrstico ali morajo izvajati avtomatizirana opravila. Prilagodljivost Wiresharka Omogoča vam analizo povezave med brskanjem, izvajanje profesionalnih varnostnih pregledov, reševanje ozkih grl v omrežju ali učenje o delovanju internetnih protokolov iz nič, vse iz vašega računalnika!

Prenesite in namestite Wireshark v sistem Windows

Namestitev Wiresharka v sistem Windows je preprost postopek., vendar je priporočljivo, da to storite korak za korakom, da ne pustite nobenih odprtih koncev, zlasti glede dovoljenj in dodatnih gonilnikov za zajem.

• Descarga oficial: Dostop uradna spletna stran Wiresharka in izberite različico sistema Windows (32 ali 64 bitov, odvisno od vašega sistema).
• Ejecuta el instalador: Dvokliknite preneseno datoteko in sledite navodilom čarovnika. Če imate kakršna koli vprašanja, sprejmite privzete možnosti.
• Bistveni gonilniki: Med namestitvijo vas bo monter vprašal namestite Npcap. Ta komponenta je bistvena, saj omogoča vaši omrežni kartici zajemanje paketov v "promiskuitetnem" načinu. Sprejmite njegovo namestitev.
• Prekini in ponovno zaženi: Ko je postopek končan, znova zaženite računalnik, da se prepričate, da so vse komponente pripravljene.

Pripravljeni! Zdaj lahko začnete uporabljati Wireshark iz menija Start v sistemu Windows. Upoštevajte, da se ta program pogosto posodablja, zato je dobro občasno preveriti, ali so na voljo novejše različice.

Kako deluje Wireshark: Zajem in prikaz paketov

Ko odprete Wireshark, Prva stvar, ki jo boste videli, je seznam vseh omrežnih vmesnikov, ki so na voljo v vašem sistemu.Žične omrežne kartice, WiFi in celo virtualni adapterji, če uporabljate virtualne stroje, kot sta VMware ali VirtualBox. Vsak od teh vmesnikov predstavlja vstopno ali izstopno točko za digitalne informacije.

Za začetek zajemanja podatkov, Samo dvokliknite želeni vmesnik. Desde ese momento, Wireshark bo v realnem času prikazal vse pakete, ki krožijo po tej kartici, pri čemer jih razvrstite po stolpcih, kot so številka paketa, čas zajemanja, vir, cilj, protokol, velikost in dodatne podrobnosti.

Ko želite ustaviti snemanje, pritisnite rdeči gumb Stop. Posnetke lahko shranite v formatu .pcap za kasnejšo analizo, skupno rabo ali celo izvoz v različnih formatih (CSV, besedilo, stisnjena datoteka itd.). Ta fleksibilnost je tisto, zaradi česar Wireshark je nepogrešljivo orodje tako za naključno analizo kot za celovite revizije..

Začetek: Nasveti pred snemanjem posnetka zaslona v sistemu Windows

Da bi zagotovili, da bodo vaši prvi zajem Wiresharka uporabni in da ne bodo napolnjeni z nepomembnim šumom ali zmedenimi podatki, je treba upoštevati nekaj ključnih priporočil:

• Cierra programas innecesariosPreden začnete zajemati, zaprite aplikacije, ki ustvarjajo promet v ozadju (posodobitve, klepeti, e-poštni odjemalci, igre itd.). Na ta način se boste izognili mešanju nepomembnega prometa.
• Nadzor požarnega ziduPožarni zidovi lahko blokirajo ali spreminjajo promet. Če želite posneti celoten posnetek, razmislite o začasni deaktivaciji.
• Zajemite le tisto, kar je relevantnoČe želite analizirati določeno aplikacijo, po začetku zajemanja počakajte sekundo ali dve, da se aplikacija zažene, in storite enako, ko jo zaprete, preden ustavite snemanje.
• Poznajte svoj aktivni vmesnikPrepričajte se, da izberete pravilno omrežno kartico, še posebej, če imate več adapterjev ali ste v virtualnem omrežju.

Z upoštevanjem teh smernic bodo vaši posnetki zaslona veliko čistejši in uporabnejši za nadaljnjo analizo..

Filtri v Wiresharku: Kako se osredotočiti na tisto, kar je resnično pomembno

Ena najmočnejših funkcij Wiresharka so filtri.. Obstajata dve osnovni vrsti:

• Zajem filtrov: Uporabijo se pred začetkom zajemanja, kar vam omogoča, da že od samega začetka zbirate le promet, ki vas zanima.
• Filtros de visualización: To velja za seznam že zajetih paketov, kar vam omogoča prikaz le tistih, ki ustrezajo vašim kriterijem.

Med najpogostejšimi filtri so:

• Po protokoluFiltrira samo pakete HTTP, TCP, DNS itd.
• Po IP-naslovuNa primer, prikažite samo pakete od ali do določenega IP-naslova z uporabo ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• Por puerto: Omeji rezultate na določena vrata (tcp.port == 80).
• Po besedilnem nizu: Poišče pakete, ki vsebujejo ključno besedo v svoji vsebini.
• Po MAC naslovu, dolžini paketa ali obsegu IP-jev.

Poleg tega je mogoče filtre kombinirati z logičnimi operatorji (in, or, not) za zelo natančna iskanja, kot npr. tcp.port == 80 in ip.src == 192.168.1.1.

Kaj lahko zajamete in analizirate z Wiresharkom v sistemu Windows?

Wireshark es sposoben interpretirati več kot 480 različnih protokolov, od osnov, kot so TCP, UDP, IP, do protokolov, specifičnih za aplikacije, interneta stvari, VoIP in mnogih drugih. To pomeni, da lahko pregledate vse vrste omrežnega prometa, od preprostih poizvedb DNS do šifriranih sej SSH, povezav HTTPS, prenosov FTP ali prometa SIP iz internetne telefonije.

Poleg tega, Wireshark podpira standardne formate zajemanja, kot so tcpdump (libpcap), pcapng in drugiin vam omogoča stiskanje in razširjanje posnetkov zaslona sproti z uporabo GZIP za prihranek prostora. Pri šifriranem prometu (TLS/SSL, IPsec, WPA2 itd.) lahko podatke celo dešifrirate in si ogledate njihovo izvirno vsebino, če imate prave ključe.

Podrobno zajemanje prometa: dodatna priporočila

Preden začnete s kakršnim koli pomembnim zajemanjem, sledite temu protokolu, da povečate uporabnost zbranih informacij.:

• Izberite pravi vmesnikObičajno bo vaš aktivni adapter tisti za povezavo, ki jo uporabljate. Če imate kakršne koli dvome, preverite, kateri je povezan v omrežnih nastavitvah sistema Windows.
• Prepara la escenaOdprite samo programe ali aplikacije, ki bodo ustvarile promet, ki ga želite analizirati.
• Izolirajte pojavČe želite analizirati promet aplikacije, sledite temu zaporedju: po začetku zajemanja zaženite aplikacijo, izvedite dejanje, ki ga želite analizirati, in zaprite aplikacijo, preden ustavite snemanje.
• Guarda la captura: Ustavi snemanje, pojdi v Datoteka > Shrani in izberi .pcap ali svojo želeno obliko zapisa.

Así conseguirás čiste in enostavne za analizo datoteke, brez kakršnega koli neželenega prometa.

Ilustrativni primeri: analiza prometa z Wiresharkom

Recimo, da imate v lokalnem omrežju dva računalnika in eden od njiju ne more več dostopati do interneta. Za zajemanje prometa s tega računalnika lahko uporabite Wireshark. in preverite, ali obstajajo napake pri razreševanju naslovov DNS, ali paketi ne dosežejo usmerjevalnika ali ali požarni zid blokira komunikacijo.

Še en tipičen primer: zazna, ali spletno mesto ne šifrira pravilno vaše prijave. Če se prijavite na spletno mesto brez HTTPS in uporabite filter HTTP v kombinaciji z uporabniškim imenom, boste morda celo videli, da vaše geslo potuje po omrežju v prostem teku, kar je resnična demonstracija tveganja nezaščitenih spletnih mest.

Wireshark in varnost: tveganja, napadi in zaščitni ukrepi

Moč Wiresharka je hkrati tudi njegovo največje tveganje: V napačnih rokah lahko olajša zajem poverilnic, vohunjenje ali razkritje občutljivih informacij.. Tukaj je nekaj groženj in priporočil:

• Polnjenje poverilnic (napadi s surovo silo poverilnic)Če zajamete promet prek SSH, Telneta ali drugih storitev, lahko opazite samodejne poskuse prijave. Bodite pozorni na daljše seje (običajno so uspešne), velikosti paketov in število poskusov zaznavanja sumljivih vzorcev.
• Tveganje zunanjega prometaFiltrirajte ves SSH promet, ki ne prihaja iz vašega notranjega omrežja: če opazite povezave od zunaj, bodite pozorni!
• Gesla v navadnem besediluČe spletno mesto prenaša nešifrirana uporabniška imena in gesla, boste to videli na posnetku zaslona. Nikoli ne uporabljajte Wiresharka za pridobivanje teh podatkov v tujih omrežjih. Ne pozabite, da je to početje brez dovoljenja nezakonito.
• Soglasje in zakonitostAnalizira samo promet iz lastnih omrežij ali z izrecnim dovoljenjem. Zakon je glede tega zelo jasen in zloraba ima lahko resne posledice.
• Transparencia y éticaČe delate v poslovnem okolju, obvestite uporabnike o analizi in njenem namenu. Spoštovanje zasebnosti je prav tako pomembno kot tehnična varnost.

Alternative Wiresharku: Druge možnosti za analizo omrežja

Wireshark je nesporna referenca, vendar obstajajo tudi druga orodja, ki ga lahko dopolnijo ali v določenih situacijah nadomestijo:

• TcpdumpIdealno za okolja Unix/Linux, deluje v ukazni vrstici. Je lahek, hiter in prilagodljiv za hitre zajeme ali avtomatizirana opravila.
• CloudsharkSpletna platforma za nalaganje, analizo in deljenje zajetih paketov iz brskalnika. Zelo uporabno za sodelovalna okolja.
• SmartSniffOsredotočeno na Windows, enostavno za uporabo za zajemanje podatkov in ogled pogovorov med odjemalci in strežniki.
• ColaSoft CapsaGrafični analizator omrežja, ki izstopa po preprostosti vmesnika in posebnih možnostih za skeniranje vrat, izvoz in kompaktno vizualizacijo.

Izbira najboljše alternative je odvisna od vaših specifičnih potreb.: hitrost, grafični vmesnik, spletno sodelovanje ali združljivost s specifično strojno opremo.

Napredne nastavitve: Promiskuitetni način, monitor in ločljivost imen

Promiskuitetni način omogoča omrežni kartici zajemanje ne le paketi, namenjeni njej, ampak ves promet, ki kroži skozi omrežje, s katerim je povezan. Ključnega pomena je za analizo korporativnih omrežij, skupnih vozlišč ali scenarijev testiranja vdorov.

V sistemu Windows pojdite na Zajem > Možnosti, izberite vmesnik in označite polje »Promiskuitetni način«. Upoštevajte, da boste v omrežjih Wi-Fi, razen pri zelo specifični strojni opremi, videli promet samo iz svoje naprave.

Po drugi strani pa Razločevanje imen pretvori IP-naslove v berljiva domenska imena (na primer 8.8.8.8 v google-public-dns-a.google.com). To možnost lahko omogočite ali onemogočite v Urejanje > Nastavitve > Razločevanje imen. Zelo pomaga pri prepoznavanju naprav med skeniranjem, čeprav lahko upočasni postopek, če je treba razrešiti veliko naslovov.