Si të përdorni Wireshark në Windows: Një udhëzues i plotë, praktik dhe i azhurnuar

A keni menduar ndonjëherë Çfarë po ndodh realisht në rrjetin tuaj kur shfletoni, luani në internet ose menaxhoni pajisjet e lidhura? Nëse jeni thjesht kuriozë për misteret që qarkullojnë në WiFi-në tuaj, ose nëse thjesht keni nevojë për një mjet profesional për të... Analizoni trafikun e rrjetit dhe zbuloni problemet me lidhjen tuaj, me siguri emri i Wireshark tashmë ju ka tërhequr vëmendjen.

Epo, në këtë artikull do të zbuloni pa devijime të gjitha detajet rreth WiresharkÇfarë është, për çfarë përdoret në Windows, si ta instaloni dhe këshillat më të mira përpara se të filloni të kapni të dhëna. Le të fillojmë me të.

Çfarë është Wireshark? Zbërthimi i titanit të analizës së rrjetit

Wireshark është analizuesi i protokolleve të rrjetit më i popullarizuar dhe i njohur në të gjithë botën.. Ky mjet falas, me burim të hapur dhe i fuqishëm ju lejon të kapni dhe shqyrtoni të gjithë trafikun e rrjetit që kalon nëpër kompjuterin tuaj, qoftë një makinë me Windows, Linux, macOS, apo edhe sisteme si FreeBSD dhe Solaris. Me Wireshark, ju mund të shihni, në kohë reale ose pas regjistrimit, saktësisht se cilat paketa hyjnë dhe dalin nga kompjuteri juaj, burimin e tyre, destinacionin, protokollet, dhe madje t'i ndani ato për të marrë detaje të secilës shtresë sipas modelit OSI.

Ndryshe nga shumë analizues, Wireshark dallohet për ndërfaqen e tij grafike intuitive., por ofron gjithashtu një version të fuqishëm për konsolë të quajtur TShark për ata që preferojnë linjën e komandës ose duhet të kryejnë detyra të automatizuara. Fleksibiliteti i Wireshark Është i tillë që ju lejon të analizoni një lidhje ndërsa shfletoni, të kryeni auditime profesionale sigurie, të zgjidhni pengesat në rrjet ose të mësoni nga e para se si funksionojnë protokollet e internetit, të gjitha nga kompjuteri juaj!

Shkarkoni dhe instaloni Wireshark në Windows

Instalimi i Wireshark në Windows është një proces i thjeshtë., por këshillohet që ta bëni hap pas hapi në mënyrë që të mos lini asnjë përfundim të paqartë, veçanërisht në lidhje me lejet dhe shoferët shtesë për kapjen.

• Shkarkimi zyrtar: Qasja në faqja zyrtare e internetit e Wireshark dhe zgjidhni versionin e Windows (32 ose 64 bit në varësi të sistemit tuaj).
• Ekzekutoni instaluesin: Klikoni dy herë mbi skedarin e shkarkuar dhe ndiqni udhëzimet e magjistarit. Pranoni opsionet e parazgjedhura nëse keni ndonjë pyetje.
• Shoferët thelbësorë: Gjatë instalimit, instaluesi do t'ju pyesë instalo Npcap. Ky komponent është thelbësor, pasi lejon që karta juaj e rrjetit të kapë paketat në modalitetin "të përzier". Pranoni instalimin e tij.
• Përfundo dhe rinisë: Pasi të përfundojë procesi, rinisni kompjuterin për t'u siguruar që të gjithë përbërësit janë gati.

Gati! Tani mund të filloni të përdorni Wireshark nga menyja Start e Windows. Ju lutemi vini re se ky program përditësohet shpesh, kështu që është mirë të kontrolloni për versione të reja herë pas here.

Si funksionon Wireshark: Kapja dhe shfaqja e paketave

Kur hapni Wireshark, Gjëja e parë që do të shihni është lista e të gjitha ndërfaqeve të rrjetit të disponueshme në sistemin tuaj.Kartat e rrjetit me tela, WiFi dhe madje edhe adaptorë virtualë nëse përdorni makina virtuale si VMware ose VirtualBox. Secila prej këtyre ndërfaqeve përfaqëson një pikë hyrjeje ose daljeje për informacionin dixhital.

Për të filluar kapjen e të dhënave, Thjesht duhet të klikoni dy herë mbi ndërfaqen e dëshiruar.. Që atëherë, Wireshark do të shfaqë në kohë reale të gjitha paketat që qarkullojnë sipas asaj karte, duke i renditur ato sipas kolonave si numri i paketës, koha e kapjes, burimi, destinacioni, protokolli, madhësia dhe detaje shtesë.

Kur të doni të ndaloni regjistrimin, shtypni butonin butoni i kuq i ndalimit. Mund t’i ruani kapjet tuaja në formatin .pcap për analiza, ndarje ose edhe eksportim të mëvonshëm në formate të ndryshme (CSV, tekst, të kompresuara, etj.). Ky fleksibilitet është ajo që e bën Wireshark është një mjet i domosdoshëm si për analiza të vendndodhjes ashtu edhe për auditime të plota..

Fillimi: Këshilla para se të bëni një pamje të ekranit në Windows

Për t'u siguruar që kapjet tuaja të para të Wireshark janë të dobishme dhe nuk përfundojnë të mbushura me zhurmë të parëndësishme ose të dhëna konfuze, ka disa rekomandime kryesore që duhen ndjekur:

• Mbyllni programet e panevojshmePara se të filloni një regjistrim, dilni nga aplikacionet që gjenerojnë trafik në sfond (përditësime, biseda, klientë email-i, lojëra, etj.). Në këtë mënyrë do të shmangni përzierjen e trafikut të parëndësishëm.
• Kontrolloni firewall-inFirewall-et mund të bllokojnë ose modifikojnë trafikun. Konsideroni ta çaktivizoni përkohësisht nëse doni një kapje të plotë.
• Kap vetëm atë që është relevanteNëse doni të analizoni një aplikacion specifik, prisni një ose dy sekonda pasi të keni filluar regjistrimin për ta hapur aplikacionin dhe bëni të njëjtën gjë kur e mbyllni përpara se të ndaloni regjistrimin.
• Njihni ndërfaqen tuaj aktiveSigurohuni që të zgjidhni kartën e saktë të rrjetit, veçanërisht nëse keni adaptorë të shumtë ose jeni në një rrjet virtual.

Duke ndjekur këto udhëzime, pamjet e ekranit do të jenë shumë më të pastra dhe më të dobishme për çdo analizë të mëtejshme..

Filtrat në Wireshark: Si të përqendroheni në atë që ka vërtet rëndësi

Një nga karakteristikat më të fuqishme të Wireshark janë filtrat.. Ekzistojnë dy lloje themelore:

• Filtrat e kapjesAto aplikohen përpara se të fillojnë kapjen, duke ju lejuar të mbledhni vetëm trafikun që ju intereson që nga fillimi.
• Shfaq filtratKëto zbatohen për listën e paketave të kapura tashmë, duke ju lejuar të shfaqni vetëm ato që plotësojnë kriteret tuaja.

Ndër filtrat më të zakonshëm janë:

• Sipas protokollitFiltron vetëm paketat HTTP, TCP, DNS, etj.
• Sipas adresës IPPër shembull, shfaq vetëm paketa nga ose për në një IP të caktuar duke përdorur ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• Sipas portitKufizon rezultatet në një port specifik (tcp.port == 80).
• Sipas vargut të tekstitLokalizon paketat që përmbajnë një fjalë kyçe brenda përmbajtjes së tyre.
• Sipas adresës MAC, gjatësisë së paketës ose diapazonit IP.

Për më tepër, filtrat mund të kombinohen me operatorë logjikë ( , or, nuk) për kërkime shumë të sakta, si p.sh. tcp.port == 80 dhe ip.src == 192.168.1.1.

Çfarë mund të kapni dhe analizoni me Wireshark në Windows?

Wireshark është i aftë të interpretojë më shumë se 480 protokolle të ndryshme, nga bazat si TCP, UDP, IP, te protokollet specifike të aplikacionit, IoT, VoIP dhe shumë të tjera. Kjo do të thotë që ju mund të shqyrtoni të gjitha llojet e trafikut të rrjetit, nga pyetjet e thjeshta DNS deri te seancat e koduara SSH, lidhjet HTTPS, transferimet FTP ose trafiku SIP nga telefonia në internet.

Përveç kësaj, Wireshark mbështet formatet standarde të kapjes si tcpdump (libpcap), pcapng dhe të tjera., dhe ju lejon të kompresoni dhe dekompresoni pamjet e ekranit menjëherë duke përdorur GZIP për të kursyer hapësirë. Për trafikun e enkriptuar (TLS/SSL, IPsec, WPA2, etj.), nëse keni çelësat e duhur, mund të deshifroni të dhënat dhe të shihni përmbajtjen e tyre origjinale.

Kapje e detajuar e trafikut: rekomandime shtesë

Para se të filloni ndonjë kapje të rëndësishme, ndiqni këtë protokoll për të maksimizuar dobinë e informacionit të mbledhur.:

• Zgjidhni ndërfaqen e duhurNormalisht, adaptori juaj aktiv do të jetë ai për lidhjen që po përdorni. Nëse keni ndonjë dyshim, kontrolloni se cili është i lidhur nga cilësimet e rrjetit të Windows.
• Përgatit skenënHapni vetëm programet ose aplikacionet që do të gjenerojnë trafikun që dëshironi të analizoni.
• Izoloni fenomeninNëse doni të analizoni trafikun e aplikacionit, ndiqni këtë sekuencë: hapni aplikacionin pasi të keni filluar regjistrimin, kryeni veprimin që dëshironi të analizoni dhe mbylleni aplikacionin para se të ndaloni regjistrimin.
• Ruani pamjen e ekranit: Ndalo regjistrimin, shko te Skedari > Ruaj dhe zgjidh .pcap ose formatin tënd të preferuar.

Kështu do të merrni skedarë të pastër dhe të lehtë për t’u analizuar, pa asnjë trafik të padëshiruar të përzier.

Shembuj ilustrues: analiza e trafikut me Wireshark

Le të themi se keni dy kompjuterë në rrjetin tuaj lokal dhe njëri prej tyre ndalon së qasuri në internet. Mund të përdorni Wireshark për të kapur trafikun nga ajo makinë. dhe shikoni nëse ka gabime në zgjidhjen e adresave DNS, nëse paketat nuk po arrijnë në router ose nëse një firewall po bllokon komunikimet.

Një rast tjetër tipik: zbulon nëse një faqe interneti nuk e enkripton siç duhet hyrjen tuaj. Nëse hyni në një faqe interneti pa HTTPS dhe aplikoni një filtër HTTP të kombinuar me emrin tuaj të përdoruesit, mund të shihni edhe fjalëkalimin tuaj që udhëton pa u vënë re në rrjet, një demonstrim në jetën reale i rrezikut të faqeve të internetit të pasigurta.

Wireshark dhe Siguria: Rreziqet, Sulmet dhe Masat Mbrojtëse

Fuqia e Wireshark është gjithashtu rreziku i tij më i madh: Në duar të gabuara, mund të lehtësojë kapjen e kredencialeve, spiunazhin ose zbulimin e informacionit të ndjeshëm.. Ja disa kërcënime dhe rekomandime:

• Mbushje kredencialesh (sulme me forcë brutale me kredenciale)Nëse kapni trafik SSH, Telnet ose trafik tjetër shërbimi, mund të vini re përpjekje automatike për hyrje. Kushtojini vëmendje seancave më të gjata (zakonisht janë të suksesshme), madhësive të paketave dhe numrit të përpjekjeve për të zbuluar modele të dyshimta.
• Rreziku i trafikut të jashtëmFiltroni të gjithë trafikun SSH që nuk vjen nga rrjeti juaj i brendshëm: nëse shihni lidhje nga jashtë, kini kujdes!
• Fjalëkalime të thjeshtaNëse një faqe interneti transmeton emra përdoruesi dhe fjalëkalime të pakriptuara, do ta shihni këtë në pamjen e ekranit. Mos përdorni kurrë Wireshark për të marrë këto të dhëna në rrjete të huaja. Mbani mend se ta bësh këtë pa leje është e paligjshme.
• Pëlqimi dhe ligjshmëriaAnalizon vetëm trafikun nga rrjetet e veta ose me autorizim të qartë. Ligji është shumë i qartë në këtë pikë dhe keqpërdorimi mund të ketë pasoja të rënda.
• Transparenca dhe etikaNëse punoni në një mjedis korporativ, informoni përdoruesit rreth analizës dhe qëllimit të saj. Respekti për privatësinë është po aq i rëndësishëm sa siguria teknike.

Alternativat e Wireshark: Mundësi të tjera për analizën e rrjetit

Wireshark është referenca e padiskutueshme, por ka edhe mjete të tjera që mund të plotësojnë ose, në situata specifike, të zëvendësojnë përdorimin e tij:

• tcpdumpIdeale për mjediset Unix/Linux, funksionon në rreshtin e komandave. Është i lehtë, i shpejtë dhe fleksibël për kapje të shpejta ose detyra të automatizuara.
• CloudpeakerPlatformë web për ngarkimin, analizimin dhe ndarjen e kapjeve të paketave nga shfletuesi. Shumë i dobishëm për mjedise bashkëpunuese.
• SmartSniffI fokusuar në Windows, i lehtë për t’u përdorur për kapje vendesh dhe shikimin e bisedave midis klientëve dhe serverëve.
• ColaSoft CapsaAnalizues grafik i rrjetit që dallohet për thjeshtësinë e ndërfaqes së tij dhe opsionet specifike për skanimin e porteve, eksportimin dhe vizualizimin kompakt.

Zgjedhja e alternativës më të mirë varet nga nevojat tuaja specifike.shpejtësia, ndërfaqja grafike, bashkëpunimi në internet ose përputhshmëria me pajisje specifike.

Cilësimet e Avancuara: Modaliteti i Përzier, Monitori dhe Zgjidhja e Emrit

Modaliteti i përzier lejon që karta e rrjetit të kapë jo vetëm pakot e destinuara për të, por i gjithë trafiku që qarkullon nëpër rrjetin me të cilin është i lidhur. Është thelbësore për analizimin e rrjeteve të korporatave, qendrave të përbashkëta ose skenarëve të testimit të depërtimit.

Në Windows, shkoni te Kap > Opsionet, zgjidhni ndërfaqen dhe shënoni kutinë e modalitetit të përzier. Mbani mend se në rrjetet Wi-Fi, përveç pajisjeve shumë specifike, do të shihni vetëm trafikun nga pajisja juaj.

Për më tepër, Zgjidhja e emrave konverton adresat IP në emra domenesh të lexueshëm (për shembull, 8.8.8.8 në google-public-dns-a.google.com). Mund ta aktivizoni ose çaktivizoni këtë opsion nga Modifiko > Preferencat > Zgjidhja e Emrit. Ndihmon shumë identifikimi i pajisjeve gjatë një skanimi, megjithëse mund ta ngadalësojë procesin nëse ka shumë adresa që po zgjidhen.