Hur man använder Wireshark för att upptäcka nätverksproblem

Om du arbetar med nätverk, säkerhet eller utveckling och vill förstå vad som händer på dina kablar och ditt Wi-Fi, att arbeta med Wireshark Det är ett viktigt element. Detta öppen källkodspaketanalysator med årtionden av utveckling som möjliggör infångning, dissekering och studier av trafik på paketnivå med kirurgisk precision.

I den här artikeln analyserar vi det på djupet: från dess licens och sponsring till dess paket i GNU/Linux, inklusive konsolverktyg, format som stöds, kompileringskrav, behörigheter för inspelning och en verkligt komplett historisk och funktionell översikt.

Vad är Wireshark och vad används det till idag?

I grund och botten är Wireshark en protokollanalysator och trafikinsamlingsenhet vilket låter dig sätta ett gränssnitt i promiskuöst eller monitorläge (om systemet stöder det) och visa bildrutor som inte skulle skickas till din Mac, analysera konversationer, rekonstruera flöden, färglägga paket enligt regler och tillämpa mycket uttrycksfulla visningsfilter. Dessutom, inkluderar TShark (terminalversion) och en uppsättning verktyg för uppgifter som att omordna, dela, sammanfoga och konvertera skärmdumpar.

Även om dess användning påminner om tcpdump, tillhandahåller den ett modernt grafiskt gränssnitt baserat på Qt med filtrering, sortering och djup dissektion för tusentals protokoll. Om du använder en switch, kom ihåg att promiskuöst läge inte garanterar att du ser all trafik: för kompletta scenarier behöver du portspegling eller nätverksavstängningar, vilket deras dokumentation också nämner som bästa praxis.

Licens, grund och utvecklingsmodell

Wireshark distribueras under GNU GPL v2 och på många ställen som "GPL v2 eller senare". Vissa verktyg i källkoden är licensierade under olika men kompatibla licenser, såsom pidl-verktyget med GPLv3+, vilket inte påverkar analysatorns resulterande binärfil. Det finns ingen uttrycklig eller underförstådd garanti; använd det på egen risk, som är vanligt med fri programvara.

La Wireshark-stiftelsen Den koordinerar utveckling och distribution. Den är beroende av donationer från individer och organisationer vars arbete är baserat på Wireshark. Projektet har tusentals registrerade författare och historiska personer som Gerald Combs, Gilbert Ramirez och Guy Harris bland sina mest framstående anhängare.

Wireshark körs på Linux, Windows, macOS och andra Unix-liknande system (BSD, Solaris, etc.). Officiella paket släpps för Windows och macOS, och på GNU/Linux ingår det vanligtvis som ett standard- eller tilläggspaket i distributioner som Debian, Ubuntu, Fedora, CentOS, RHEL, Arch, Gentoo, openSUSE, FreeBSD, DragonFly BSD, NetBSD och OpenBSD. Det är också tillgängligt på tredjepartssystem som Homebrew, MacPorts, pkgsrc eller OpenCSW.

För att kompilera från kod behöver du Python 3; AsciiDoctor för dokumentation; och verktyg som Perl och GNU flex (klassisk lex fungerar inte). Konfiguration med CMake låter dig aktivera eller inaktivera specifikt stöd, till exempel komprimeringsbibliotek med -DENABLE_ZLIB=AV, -DENABLE_LZ4=AV eller -DENABLE_ZSTD=AV, eller libsmi-stöd med -DENABLE_SMI=OFF om du föredrar att inte läsa in MIB:er.

Paket och bibliotek i Debian-baserade system

I Debian/Ubuntu och derivatmiljöer är Wiresharks ekosystem uppdelat i flera paketNedan följer en översikt över funktioner, ungefärliga storlekar och beroenden. Dessa paket låter dig välja mellan ett komplett GUI till bibliotek och utvecklingsverktyg för att integrera dissektioner i dina egna applikationer.

trådhaj

Grafisk applikation för att fånga och analysera trafik med ett Qt-gränssnitt. Beräknad storlek: 10.59 MBAnläggning: sudo apt install wireshark

Bland startalternativen hittar du parametrar för att välja gränssnitt (-i), infångningsfilter (-f), snapshot-gräns, övervakningsläge, länktypslistor, visningsfilter (-Y), ”Avkoda som” och inställningar, samt filutdataformat och insamling av kommentarer. Applikationen tillåter också konfigurationsprofilering och statistik avancerade funktioner från gränssnittet.

tshaj

Konsolversion för kommandoradsinspelning och analys. Beräknad storlek: 429 KBAnläggning: sudo apt install tshark

Den låter dig välja gränssnitt, tillämpa filter för insamling och visning, definiera stoppvillkor (tid, storlek, antal paket), använda cirkulära buffertar, skriva ut detaljer, hex- och JSON-dumpar samt exportera TLS-objekt och nycklar. Den kan också färglägga utdata i en kompatibel terminal. justera loggloggning efter domäner och detaljnivåer. Försiktighet rekommenderas om du aktiverar BPF JIT på kärnnivå, eftersom det kan ha säkerhetskonsekvenser.

wireshark-gemensam

Vanliga filer för Wireshark och tshark (t.ex. ordböcker, konfigurationer och linjeverktyg). Beräknad storlek: 1.62 MBAnläggning: sudo apt install wireshark-common

Detta paket innehåller verktyg som capinfos (information om insamlingsfil: typ, inkapsling, varaktighet, hastigheter, storlekar, hashkoder och kommentarer), kaptyp (identifiera filtyper), tömningslock (lätt infångningsenhet som använder pcapng/pcap med autostopp och cirkulära buffertar), redigera kapseln (redigera/dela/konvertera inspelningar, justera tidsstämplar, ta bort dubbletter, lägga till kommentarer eller hemligheter), mergecap (sammanfoga eller sammanfoga flera inspelningar), mmdbresolve (lösa IP-geolokalisering med MMDB-databaser), randpkt (generator för syntetiskt paket med flera protokoll), råhaj (rå dissektion med fältutgång), ombeställningsgräns (ordna om efter tidsstämpel), haj (daemon med API för att bearbeta avbildningar) och text2pcap (konvertera hexdumps eller strukturerad text till giltiga avbildningar).

libwireshark18 och libwireshark-data

Centralt paketdissektionsbibliotek. Tillhandahåller protokollanalysatorerna som används av Wireshark/TShark. Ungefärlig biblioteksstorlek: 126.13 MBAnläggning: sudo apt install libwireshark18 y sudo apt install libwireshark-data

Den inkluderar stöd för ett stort antal protokoll och alternativ, såsom att aktivera eller inaktivera specifika dissektioner, heuristik och "Avkoda som" från gränssnittet eller kommandoraden; tack vare detta kan du anpassa dissektion av verklig trafik av din miljö.

libwiretap15 och libwiretap-dev

Wiretap är ett bibliotek för att läsa och skriva flera olika format för inspelningsfiler. Dess styrkor är de olika format det stöder; dess begränsningar är: Den varken filtrerar eller utför direkt infångning.Anläggning: sudo apt install libwiretap15 y sudo apt install libwiretap-dev

Varianten -dev tillhandahåller det statiska biblioteket och C-rubriker för att integrera läs-/skrivoperationer i dina verktyg. Detta gör att du kan utveckla verktyg som manipulerar data. pcap, pcapng och andra behållare som en del av våra egna rörledningar.

libwsutil16 och libwsutil-dev

En uppsättning verktyg som delas av Wireshark och relaterade bibliotek: hjälpfunktioner för strängmanipulation, buffring, kryptering etc. Installation: sudo apt install libwsutil16 y sudo apt install libwsutil-dev

Paketet -dev innehåller headers och ett statiskt bibliotek så att externa applikationer kan länka vanliga verktyg utan att behöva implementera om hjulen. Det är grunden för flera delade funktioner som använder Wireshark och TShark.

wireshark-dev

Verktyg och filer för att skapa nya "dissektorer". Det tillhandahåller skript som idl2wrs, såväl som beroenden för kompilering och testning. Beräknad storlek: 621 KBAnläggning: sudo apt install wireshark-dev

Det inkluderar verktyg som asn2deb (genererar Debianpaket för BER-övervakning från ASN.1) och idl2deb (paket för CORBA). Och framför allt, idl2wrsDet här verktyget omvandlar en CORBA IDL till skelettet för ett C-plugin för att dissekera GIOP/IIOP-trafik. Arbetsflödet använder Python-skript (wireshark_be.py och wireshark_gen.py) och stöder heuristisk dissektion som standard. Verktyget söker efter sina moduler i PYTHONPATH/site-packages eller i den aktuella katalogen, och accepterar omdirigering av filer för att generera koden.

wireshark-doc

Användardokumentation, utvecklingsguide och Lua-referens. Beräknad storlek: 13.40 MBAnläggning: sudo apt install wireshark-doc

Rekommenderas om du ska fördjupa dig i tillägg, skript och API:erOnlinedokumentationen på den officiella webbplatsen uppdateras med varje stabil version.

Tillstånd för fångst och säkerhet

I många system kräver direkt insamling utökade rättigheter. Av denna anledning delegerar Wireshark och TShark insamlingen till en tredjepartstjänst. tömningslockEn binärfil utformad för att köras med behörigheter (set-UID eller capabilities) för att minimera attackytan. Att köra hela GUI:et som root är inte bra praxis; det är att föredra att samla in med dumpcap eller tcpdump och analysera utan behörigheter för att minska riskerna.

Projektets historia inkluderar säkerhetsincidenter i dissektorer under åren, och vissa plattformar som OpenBSD har pensionerat den gamla Ethereal-instansen av den anledningen. Med den nuvarande modellen förbättrar isolering från capture och konstanta uppdateringar situationen, men det är alltid lämpligt att följ säkerhetsanvisningarna Och om du upptäcker misstänkt aktivitet, ta reda på hur blockera misstänkta nätverksanslutningar och undvik att öppna otillförlitliga skärmdumpar utan föregående granskning.

Filformat, komprimering och specialteckensnitt

Wireshark läser och skriver pcap och pcapng, såväl som format från andra analysverktyg som snoop, Network General Sniffer, Microsoft Network Monitor och de många som listas av Wiretap ovan. Den kan öppna komprimerade filer om de kompilerades med bibliotek för pcapng. GZIP, LZ4 och ZSTDSärskilt GZIP och LZ4 med oberoende block möjliggör snabba hopp, vilket förbättrar GUI-prestanda i stora avbildningar.

Projektet dokumenterar funktioner som AIX iptrace (där en HUP till daemonen stängs utan problem), stöd för Lucent/Ascend-spårningar, Toshiba ISDN eller CoSine L2, och indikerar hur man sparar textutdata till en fil (t.ex. med telnet <equipo> | tee salida.txt eller använda verktyget manus) för att importera den senare med text2pcap. Dessa sökvägar tar dig ut ur "Konventionella" fångster när du använder utrustning som inte tippar direkt över PC-locket.

Svitens verktyg och tillvalskategorier

Förutom Wireshark och TShark inkluderar distributionen flera verktyg som täcker mycket specifika uppgifterUtan att kopiera hjälptexten ordagrant, här är en sammanfattning organiserad efter kategorier så att du vet vad var och en gör och vilka alternativ du hittar:

• tömningslock: "ren och enkel" pcap/pcapng-insamling, gränssnittsval, BPF-filter, buffertstorlek, rotation efter tid/storlek/filer, skapande av ringbuffertar, insamling av kommentarer och utdata i format maskinläsbarDen varnar för att aktivera JIT av BPF på grund av potentiella risker.
• capinfosDen visar filtyp, inkapsling, gränssnitt och metadata; antal paket, filstorlek, total längd, snapshot-gräns, kronologi (förnamn/efternamn), genomsnittliga hastigheter (bps/Bps/pps), genomsnittlig paketstorlek, hash-koder och kommentarer. Den möjliggör tabell- eller detaljerad utdata och maskinläsbara format.
• kaptypidentifierar typen av insamlingsfil för en eller flera poster med hjälp- och versionsalternativ.
• redigera kapselnDen väljer/tar bort paketintervall, snappar/klipper, justerar tidsstämplar (inklusive strikt ordning), tar bort dubbletter med konfigurerbara fönster, lägger till kommentarer per bildruta, delar upp utdata efter nummer eller tid, ändrar container och inkapsling, arbetar med dekrypteringshemligheter och komprimerar utdata. Det är det allsidiga verktyget för att "rensa upp" inspelningar.
• mergecapkombinerar flera infångningar till en, antingen genom linjär sammankoppling eller tidsstämpelbaserad blandning, styr snaplen, definierar utdatatyp, IDB-sammanslagningsläge och slutlig komprimering.
• ombeställningsgräns: ordnar om en fil efter tidsstämpel vilket genererar en ren utdata och, om den redan är sorterad, kan undvika att skriva resultatet för att spara I/O.
• text2pcapkonverterar hexdumps eller text med regex till giltig infångning; känner igen offsets i olika databaser, tidsstämplar med strptime-format (inklusive fraktionerad precision), detekterar bifogad ASCII om tillämpligt, och kan lägga till "dummy"-rubriker (Ethernet, IPv4/IPv6, UDP/TCP/SCTP, EXPORTED_PDU) med portar, adresser och etiketter angivna.
• råhaj: ”rå” fältorienterad läsare; låter dig ställa in inkapslings- eller dissektionsprotokoll, inaktivera namnupplösningar, ställa in läsnings-/visningsfilter och bestämma fältutdataformat, användbart för pipeline med andra verktyg.
• randpktGenererar filer med slumpmässiga paket av typer som ARP, BGP, DNS, Ethernet, IPv4/IPv6, ICMP, TCP/UDP, SCTP, Syslog, USB-Linux, etc., med angivande av konto, maximal storlek och container. Idealisk för tester och demoversioner.
• mmdbresolveFråga MaxMind-databaser (MMDB) för att visa geolokalisering av IPv4/IPv6-adresser, och ange en eller flera databasfiler.
• haj: daemon som exponerar ett API (läge "guld") eller klassiskt socket (läge "klassiskt"); stöder konfigurationsprofiler och styrs från klienter för dissektion och sökningar på serversidan, användbart inom automatisering och tjänster.

Arkitektur, egenskaper och begränsningar

Wireshark förlitar sig på libpcap/Npcap för datainsamling, och på ett ekosystem av bibliotek (libwireshark, libwiretap, libwsutil) som separerar dissektion, format och verktyg. Det möjliggör detektering av VoIP-samtal, ljuduppspelning i stödda kodningar, insamling av rå USB-trafik och filtrering på Wi-Fi-nätverk (om de passerar övervakat Ethernet). plugins för nya protokoll skriven i C eller Lua. Den kan också ta emot inkapslad fjärrtrafik (t.ex. TZSP) för realtidsanalys från en annan maskin.

Det är inte ett IDS, och det utfärdar inte heller några varningar; dess roll är passiv: det inspekterar, mäter och visar. Ändå tillhandahåller hjälpverktyg statistik och arbetsflöden, och utbildningsmaterial finns lättillgängligt (inklusive utbildningsappar inriktade mot 2025 som lär ut filter, sniffing, grundläggande OS-fingeravtryck, realtidsanalys, automatisering, krypterad trafik och integration med DevOps-metoder). Denna utbildningsaspekt kompletterar kärnfunktionaliteten i diagnos och felsökning.

Kompatibilitet och ekosystem

Bygg- och testplattformarna inkluderar Linux (Ubuntu), Windows och macOSProjektet nämner även bred kompatibilitet med ytterligare Unix-liknande system och distribution via tredjepartshanterare. I vissa fall kräver äldre operativsystemversioner tidigare grenar (till exempel Windows XP med version 1.10 eller tidigare). Generellt sett kan du installera från officiella arkiv eller binärfiler i de flesta miljöer utan större problem.

De integreras med nätverkssimulatorer (ns, OPNET Modeler) och tredjepartsverktyg (t.ex. Aircrack för 802.11) kan användas för att producera inspelningar som Wireshark öppnar utan problem. På uppdrag av strikt laglighet och etikKom ihåg att bara spela in på nätverk och i scenarier som du har uttryckligt tillstånd för.

Namn, officiella webbplatser och kontrolldata

Den officiella webbplatsen är wireshark.orgmed nedladdningar i underkatalogen /download och onlinedokumentation för användare och utvecklare. Det finns sidor med myndighetskontroll (t.ex. GND) och listor med länkar till kodförrådet, buggspåraren och projektbloggen, användbara för att hålla sig uppdaterade om nyheter och rapportera problem.

Innan du börjar spela in, kontrollera systemets behörigheter och funktioner, bestäm om du ska använda dumpcap/tcpdump för att dumpa till disk och analysera utan behörigheter, och förbered inspelnings- och visningsfilter som överensstämmer med ditt mål. Med en bra metod förenklar Wireshark det komplexa och ger dig exakt rätt information. Den synlighet du behöver för att diagnostisera, lära sig eller granska nätverk av alla storlekar.

Relaterad artikel:

Vad man ska göra under de första 24 timmarna efter en hackning: mobil-, dator- och onlinekonton

Daniel Terrasa

Redaktör specialiserad på teknik och internetfrågor med mer än tio års erfarenhet av olika digitala medier. Jag har arbetat som redaktör och innehållsskapare för e-handel, kommunikation, onlinemarknadsföring och reklamföretag. Jag har också skrivit på ekonomi, finans och andra sektorers webbplatser. Mitt arbete är också min passion. Nu genom mina artiklar i Tecnobits, Jag försöker utforska alla nyheter och nya möjligheter som teknikvärlden erbjuder oss varje dag för att förbättra våra liv.