Hur man använder Wireshark på Windows: En komplett, praktisk och aktuell guide

Har du någonsin undrat Vad händer egentligen i ditt nätverk när du surfar, spelar online eller hanterar anslutna enheter? Om du helt enkelt är nyfiken på mysterierna som cirkulerar på ditt WiFi, eller om du helt enkelt behöver ett professionellt verktyg för att Analysera nätverkstrafik och upptäck problem med din anslutning, säkerligen namnet på Wireshark har redan fångat din uppmärksamhet.

Nå, i den här artikeln kommer du att upptäcka utan omvägar alla detaljer om WiresharkVad det är, vad det används till i Windows, hur man installerar det och de bästa tipsen innan du börjar samla in data. Nu kör vi.

Vad är Wireshark? Genom att bryta ner giganten inom nätverksanalys

Wireshark är den mest populära och erkända nätverksprotokollanalysatorn världen över.. Detta kostnadsfria, kraftfulla verktyg med öppen källkod låter dig fånga och undersöka all nätverkstrafik som passerar genom din dator, oavsett om det är en Windows-, Linux-, macOS-maskin eller till och med system som FreeBSD och Solaris. Med Wireshark kan du se, i realtid eller efter inspelning, exakt vilka paket som kommer in och lämnar din dator, deras källa, destination, protokoll och till och med bryta ner dem för att få detaljer om varje lager enligt OSI-modellen.

Till skillnad från många analysatorer, Wireshark utmärker sig för sitt intuitiva grafiska gränssnitt, men erbjuder även en kraftfull konsolversion som heter TShark för de som föredrar kommandoraden eller behöver utföra automatiserade uppgifter. Wiresharks flexibilitet Det är sådant att det låter dig analysera en anslutning medan du surfar, utföra professionella säkerhetsgranskningar, lösa flaskhalsar i nätverket eller lära dig från grunden om hur internetprotokoll fungerar, allt från din egen dator!

Ladda ner och installera Wireshark på Windows

Att installera Wireshark på Windows är en enkel process., men det är lämpligt att göra det steg för steg för att inte lämna några lösa trådar, särskilt när det gäller behörigheter och ytterligare drivrutiner för inspelningen.

• Officiell nedladdning: Tillgång till den officiella Wiresharks webbplats och välj Windows-versionen (32 eller 64 bitar beroende på ditt system).
• Kör installationsprogrammet: Dubbelklicka på den nedladdade filen och följ guiden. Acceptera standardinställningarna om du har några frågor.
• Viktiga drivkrafter: Under installationen kommer installationsprogrammet att fråga dig installera Npcap. Den här komponenten är viktig, eftersom den gör att ditt nätverkskort kan fånga paket i "promiskuöst" läge. Acceptera dess installation.
• Avsluta och starta om: När processen är klar, starta om datorn för att säkerställa att alla komponenter är redo.

Redo! Du kan nu börja använda Wireshark från Windows Start-meny. Observera att programmet uppdateras ofta, så det är en bra idé att kontrollera om det finns nya versioner då och då.

Hur Wireshark fungerar: Paketinsamling och visning

När du öppnar Wireshark, Det första du ser är en lista över alla nätverksgränssnitt som är tillgängliga på ditt system.Trådbundna nätverkskort, WiFi och till och med virtuella adaptrar om du använder virtuella maskiner som VMware eller VirtualBox. Var och en av dessa gränssnitt representerar en ingångs- eller utgångspunkt för digital information.

För att börja samla in data, Du behöver bara dubbelklicka på önskat gränssnitt. Sedan dess, Wireshark visar i realtid alla paket som cirkulerar av det kortet, sortera dem efter kolumner som paketnummer, inspelningstid, källa, destination, protokoll, storlek och ytterligare detaljer.

När du vill avbryta inspelningen trycker du på röd stoppknapp. Du kan spara dina inspelningar i .pcap-format för senare analys, delning eller till och med export av dem i olika format (CSV, text, komprimerat, etc.). Denna flexibilitet är det som gör Wireshark är ett oumbärligt verktyg för både stickprovsanalys och fullständiga revisioner..

Komma igång: Tips innan du tar en skärmdump i Windows

För att säkerställa att dina första Wireshark-inspelningar är användbara och inte fylls med irrelevant brus eller förvirrande data, finns det flera viktiga rekommendationer att följa:

• Stäng onödiga programInnan du startar en inspelning, avsluta program som genererar bakgrundstrafik (uppdateringar, chattar, e-postklienter, spel etc.). På så sätt undviker du att blanda irrelevant trafik.
• Kontrollera brandväggenBrandväggar kan blockera eller modifiera trafik. Överväg att tillfälligt inaktivera den om du vill ha en fullständig inspelning.
• Fånga bara det som är relevantOm du vill analysera en specifik app, vänta en sekund eller två efter att du startat inspelningen innan du startar appen, och gör detsamma när du stänger den innan du stoppar inspelningen.
• Känn ditt aktiva gränssnittSe till att du väljer rätt nätverkskort, särskilt om du har flera adaptrar eller är ansluten till ett virtuellt nätverk.

Genom att följa dessa riktlinjer blir dina skärmdumpar mycket tydligare och mer användbara för vidare analys..

Filter i Wireshark: Hur man fokuserar på det som verkligen spelar roll

En av de kraftfullaste funktionerna i Wireshark är filtren. Det finns två grundläggande typer:

• InspelningsfilterDe tillämpas innan de börjar samla in, vilket gör att du bara kan samla in den trafik som intresserar dig från början.
• Visa filterDessa gäller listan över paket som redan har hämtats, vilket gör att du bara kan visa de som uppfyller dina kriterier.

Bland de vanligaste filtren är:

• Enligt protokollFiltrerar endast HTTP-, TCP-, DNS- etc.-paket.
• Efter IP-adressTill exempel, visa endast paket från eller till en specifik IP-adress med hjälp av ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• Via hamnBegränsar resultaten till en specifik port (tcp.port == 80).
• Med textsträng: Letar efter paket som innehåller ett nyckelord i sitt innehåll.
• Efter MAC-adress, paketlängd eller IP-intervall.

Dessutom kan filter kombineras med logiska operatorer (och, or, inte) för mycket precisa sökningar, som till exempel tcp.port == 80 och ip.src == 192.168.1.1.

Vad kan man fånga och analysera med Wireshark på Windows?

Wireshark är kapabel att tolka mer än 480 olika protokoll, från grunderna som TCP, UDP, IP, till applikationsspecifika protokoll, IoT, VoIP och många andra. Det här innebär att du kan undersöka alla typer av nätverkstrafik, från enkla DNS-frågor till krypterade SSH-sessioner, HTTPS-anslutningar, FTP-överföringar eller SIP-trafik från internettelefoni.

Dessutom, Wireshark stöder standardinsamlingsformat som tcpdump (libpcap), pcapng och andra, och låter dig komprimera och dekomprimera skärmdumpar i farten med GZIP för att spara utrymme. För krypterad trafik (TLS/SSL, IPsec, WPA2, etc.) kan du, om du har rätt nycklar, till och med dekryptera informationen och se dess ursprungliga innehåll.

Detaljerad trafikregistrering: ytterligare rekommendationer

Innan du påbörjar någon viktig insamling, följ detta protokoll för att maximera användbarheten av den insamlade informationen.:

• Välj rätt gränssnittNormalt sett är din aktiva adapter den som är avsedd för den anslutning du använder. Om du är osäker, kontrollera vilken som är ansluten i Windows nätverksinställningar.
• Ställ in scenenÖppna bara de program eller appar som genererar den trafik du vill analysera.
• Isolera fenomenetOm du vill analysera apptrafik följer du den här sekvensen: starta appen efter att du har startat inspelningen, utför den åtgärd du vill analysera och stäng appen innan du stoppar inspelningen.
• Spara skärmdumpen: Stoppa inspelningen, gå till Arkiv > Spara och välj .pcap eller ditt föredragna format.

Så här kommer du att få rena och lättanalyserade filer, utan någon skräptrafik inblandad.

Illustrativa exempel: trafikanalys med Wireshark

Låt oss säga att du har två datorer i ditt lokala nätverk och en av dem slutar ansluta till internet. Du kan använda Wireshark för att fånga trafik från den maskinen. och se om det finns fel vid upplösning av DNS-adresser, om paket inte når routern eller om en brandvägg blockerar kommunikationen.

Ett annat typiskt fall: upptäcka om en webbplats inte krypterar din inloggning korrekt. Om du loggar in på en webbplats utan HTTPS och använder ett HTTP-filter i kombination med ditt användarnamn kan du till och med se ditt lösenord spridas obemärkt över nätverket, ett verkligt exempel på risken med osäkra webbplatser.

Wireshark och säkerhet: Risker, attacker och skyddsåtgärder

Wiresharks kraft är också dess största risk: I fel händer kan det underlätta infångst av autentiseringsuppgifter, spionage eller avslöja känslig information.. Här är några hot och rekommendationer:

• Inloggningsuppgifter (brute force-attacker mot inloggningsuppgifter)Om du registrerar SSH-, Telnet- eller annan tjänsttrafik kan du observera automatiserade inloggningsförsök. Var uppmärksam på längre sessioner (de är oftast framgångsrika), paketstorlekar och antal försök att upptäcka misstänkta mönster.
• Risk för extern trafikFiltrera all SSH-trafik som inte kommer från ditt interna nätverk: var uppmärksam om du ser anslutningar utifrån!
• Lösenord i klartextOm en webbplats överför okrypterade användarnamn och lösenord ser du det på skärmdumpen. Använd aldrig Wireshark för att hämta dessa data på utländska nätverk. Kom ihåg att det är olagligt att göra det utan tillstånd.
• Samtycke och laglighetAnalyserar endast trafik från egna nätverk eller med uttryckligt tillstånd. Lagen är mycket tydlig på denna punkt, och missbruk kan få allvarliga konsekvenser.
• Transparens och etikOm du arbetar i en företagsmiljö, informera användarna om analysen och dess syfte. Respekt för integritet är lika viktigt som teknisk säkerhet.

Wireshark-alternativ: Andra alternativ för nätverksanalys

Wireshark är den obestridda referensen, men det finns andra verktyg som kan komplettera eller, i specifika situationer, ersätta dess användning:

• tcpdumpIdealisk för Unix/Linux-miljöer, fungerar på kommandoraden. Den är lätt, snabb och flexibel för snabba inspelningar eller automatiserade uppgifter.
• MolnhajWebbplattform för att ladda upp, analysera och dela paketinsamlingar från webbläsaren. Mycket användbart för samarbetsmiljöer.
• SmartSniffFokuserad på Windows, enkel att använda för punktinspelningar och visning av konversationer mellan klienter och servrar.
• ColaSoft CapsaGrafisk nätverksanalysator som utmärker sig genom sitt enkla gränssnitt och specifika alternativ för portskanning, export och kompakt visualisering.

Att välja det bästa alternativet beror på dina specifika behov.: hastighet, grafiskt gränssnitt, online-samarbete eller kompatibilitet med specifik hårdvara.

Avancerade inställningar: Promiskuöst läge, övervakning och namnupplösning

Promiskuöst läge låter nätverkskortet fånga inte bara paketen som var avsedda för henne, utan all trafik som cirkulerar genom nätverket som den är ansluten till. Det är avgörande för att analysera företagsnätverk, delade hubbar eller penetrationstestningsscenarier.

På Windows, gå till Bildtagning > Alternativ, välj gränssnittet och markera rutan för promiskuöst läge. Tänk på att du på Wi-Fi-nätverk, förutom mycket specifik hårdvara, bara ser trafik från din egen enhet.

Vidare, Namnmatchning omvandlar IP-adresser till läsbara domännamn (till exempel 8.8.8.8 i google-public-dns-a.google.com). Du kan aktivera eller inaktivera det här alternativet från Redigera > Inställningar > Namnupplösning. Det hjälper mycket att identifiera enheter under en skanning, även om det kan sakta ner processen om det är många adresser som ska lösas.