วิธีใช้ Wireshark เพื่อตรวจจับปัญหาเครือข่าย

หากคุณทำงานด้านเครือข่าย ความปลอดภัย หรือการพัฒนา และต้องการทำความเข้าใจสิ่งที่เกิดขึ้นกับสายเคเบิลและ Wi-Fi ของคุณ ให้ทำงานร่วมกับ Wireshark มันเป็นองค์ประกอบที่สำคัญนี้ เครื่องวิเคราะห์แพ็คเกจโอเพนซอร์ส ด้วยวิวัฒนาการหลายทศวรรษที่ช่วยให้สามารถบันทึก แยก และศึกษาข้อมูลการรับส่งข้อมูลในระดับแพ็กเก็ตได้อย่างแม่นยำ

ในบทความนี้ เราจะวิเคราะห์อย่างละเอียด: ตั้งแต่ใบอนุญาตและการสนับสนุนไปจนถึงแพ็คเกจใน GNU/Linux รวมถึงยูทิลิตี้คอนโซล รูปแบบที่รองรับ ข้อกำหนดในการคอมไพล์ สิทธิ์ในการจับภาพ และภาพรวมทางประวัติศาสตร์และการทำงานที่สมบูรณ์อย่างแท้จริง

Wireshark คืออะไร และใช้เพื่ออะไรในปัจจุบัน?

โดยพื้นฐานแล้ว Wireshark คือ เครื่องวิเคราะห์โปรโตคอลและอุปกรณ์จับข้อมูลการรับส่งข้อมูล ซึ่งช่วยให้คุณสามารถตั้งค่าอินเทอร์เฟซในโหมด promiscuous หรือโหมดมอนิเตอร์ (หากระบบรองรับ) และดูเฟรมที่ไม่ได้ถูกส่งไปยัง Mac ของคุณ วิเคราะห์การสนทนา สร้างโฟลว์ใหม่ ระบายสีแพ็กเก็ตตามกฎ และใช้ฟิลเตอร์การแสดงผลที่แสดงออกได้อย่างชัดเจน นอกจากนี้ รวมถึง TShark (เวอร์ชันเทอร์มินัล) และชุดยูทิลิตี้สำหรับงานต่างๆ เช่น การเรียงลำดับ การแยก การผสาน และการแปลงภาพหน้าจอ

แม้ว่าการใช้งานจะชวนให้นึกถึง tcpdump แต่ก็มีอินเทอร์เฟซกราฟิกที่ทันสมัยตาม Qt ด้วย การกรอง การเรียงลำดับ และการผ่าตัดแบบเจาะลึก สำหรับโปรโตคอลนับพัน หากคุณใช้สวิตช์ โปรดจำไว้ว่าโหมด promiscuous ไม่ได้รับประกันว่าคุณจะเห็นทราฟฟิกทั้งหมด สำหรับสถานการณ์สมมติทั้งหมด คุณจะต้องใช้การมิเรอร์พอร์ตหรือการดักจับเครือข่าย ซึ่งเอกสารประกอบของพวกเขาก็ระบุว่าเป็นแนวทางปฏิบัติที่ดีที่สุดเช่นกัน

รูปแบบใบอนุญาต มูลนิธิ และการพัฒนา

Wireshark จัดจำหน่ายภายใต้ GNU GPL v2 และในหลายกรณี ในรูปแบบ "GPL v2 หรือใหม่กว่า" ยูทิลิตี้บางตัวในซอร์สโค้ดได้รับอนุญาตภายใต้ใบอนุญาตที่แตกต่างกันแต่เข้ากันได้ เช่น เครื่องมือ pidl ที่ใช้ GPLv3+ ซึ่งไม่ส่งผลกระทบต่อผลลัพธ์ไบนารีของตัววิเคราะห์ ไม่มีการรับประกันทั้งโดยชัดแจ้งหรือโดยนัย โปรดใช้ด้วยความเสี่ยงของคุณเอง ตามปกติของซอฟต์แวร์ฟรี

La มูลนิธิไวร์ชาร์ค โครงการนี้ประสานงานการพัฒนาและเผยแพร่ผลงาน โดยอาศัยเงินบริจาคจากบุคคลและองค์กรต่างๆ ที่มีผลงานบน Wireshark โครงการนี้มีนักเขียนและบุคคลสำคัญทางประวัติศาสตร์ที่ลงทะเบียนไว้หลายพันคน เช่น เจอรัลด์ คอมบ์ส, กิลเบิร์ต รามิเรซ และกาย แฮร์ริส เป็นผู้สนับสนุนหลัก

Wireshark ทำงานบน Linux, Windows, macOS และระบบอื่นๆ ที่คล้ายกับ Unix (BSD, Solaris เป็นต้น) มีแพ็กเกจอย่างเป็นทางการสำหรับ Windows และ macOS และบน GNU/Linux มักรวมอยู่ในแพ็กเกจมาตรฐานหรือแพ็กเกจเสริมในระบบปฏิบัติการต่างๆ เช่น Debian, Ubuntu, Fedora, CentOS, RHEL, Arch, Gentoo, openSUSE, FreeBSD, DragonFly BSD, NetBSD และ OpenBSD นอกจากนี้ยังมีให้บริการบนระบบอื่นๆ เช่น Homebrew, MacPorts, pkgsrc หรือ OpenCSW.

ในการคอมไพล์จากโค้ด คุณต้องมี Python 3, AsciiDoctor สำหรับเอกสารประกอบ และเครื่องมืออย่าง Perl และ GNU flex (lex แบบคลาสสิกใช้ไม่ได้) การกำหนดค่าโดยใช้ CMake ช่วยให้คุณสามารถเปิดหรือปิดการสนับสนุนเฉพาะ เช่น ไลบรารีการบีบอัดด้วย -DENABLE_ZLIB=ปิด, -DENABLE_LZ4=ปิด หรือ -DENABLE_ZSTD=ปิดหรือการรองรับ libsmi ด้วย -DENABLE_SMI=OFF หากคุณไม่ต้องการโหลด MIB

แพ็คเกจและไลบรารีในระบบที่ใช้ Debian

ใน Debian/Ubuntu และสภาพแวดล้อมที่พัฒนาต่อยอด ระบบนิเวศ Wireshark แบ่งออกเป็น แพ็คเกจหลายรายการด้านล่างนี้คือรายละเอียดพร้อมคุณสมบัติ ขนาดโดยประมาณ และการอ้างอิง แพ็กเกจเหล่านี้ให้คุณเลือกได้ตั้งแต่ GUI ที่สมบูรณ์ไปจนถึงไลบรารีและเครื่องมือพัฒนาสำหรับการรวมการแยกส่วนเข้ากับแอปพลิเคชันของคุณเอง

Wireshark

แอปพลิเคชันกราฟิกสำหรับการจับภาพและวิเคราะห์ข้อมูลการรับส่งข้อมูลด้วยอินเทอร์เฟซ Qt ขนาดโดยประมาณ: 10.59 MB. สิ่งอำนวยความสะดวก: sudo apt install wireshark

ความสัมพันธ์ที่สำคัญ

• libc6, libgcc-s1, libstdc++6
• libgcrypt20, libglib2.0-0t64
• libpcap0.8t64
• Qt 6 (core, gui, widgets, multimedia, svg, printsupport และปลั๊กอิน QPA)
• libwireshark18, libwiretap15, libwsutil16
• libnl-3-200, libnl-genl-3-200, libnl-route-3-200
• libminizip1t64, libspeexdsp1, wireshark-common

ในตัวเลือกการเริ่มต้น คุณจะพบพารามิเตอร์ในการเลือกอินเทอร์เฟซ (-i), ตัวกรองการจับภาพ (-f), ขีดจำกัดสแน็ปช็อต, โหมดมอนิเตอร์, รายการประเภทลิงก์, ตัวกรองการแสดงผล (-Y), “ถอดรหัสเป็น” และการตั้งค่า รวมถึงรูปแบบไฟล์เอาต์พุตและความคิดเห็นที่บันทึกไว้ แอปพลิเคชันยังอนุญาตให้ การจัดทำโปรไฟล์และสถิติการกำหนดค่า คุณสมบัติขั้นสูงจากอินเทอร์เฟซ

ฉลาม

เวอร์ชันคอนโซลสำหรับการบันทึกและวิเคราะห์บรรทัดคำสั่ง ขนาดโดยประมาณ: 429 KB. สิ่งอำนวยความสะดวก: sudo apt install tshark

ความสัมพันธ์ที่สำคัญ

• libc6, libglib2.0-0t64
• libnl-3-200, libnl-route-3-200
• libpcap0.8t64
• libwireshark18, libwiretap15, libwsutil16
• ไวร์ชาร์ก-คอมมอน

ช่วยให้คุณเลือกอินเทอร์เฟซ ใช้ตัวกรองการจับภาพและการแสดงผล กำหนดเงื่อนไขการหยุด (เวลา ขนาด จำนวนแพ็กเก็ต) ใช้บัฟเฟอร์แบบวงกลม พิมพ์รายละเอียด ดัมพ์ hex และ JSON และส่งออกอ็อบเจ็กต์และคีย์ TLS นอกจากนี้ยังสามารถกำหนดสีผลลัพธ์ในเทอร์มินัลที่ใช้งานร่วมกันได้ ปรับการบันทึกข้อมูล ตามโดเมนและระดับรายละเอียด ควรใช้ความระมัดระวังหากคุณเปิดใช้งาน BPF JIT ในระดับเคอร์เนล เนื่องจากอาจมีผลกระทบต่อความปลอดภัย

ไวร์ชาร์ก-คอมมอน

ไฟล์ทั่วไปสำหรับ Wireshark และ Tshark (เช่น พจนานุกรม การกำหนดค่า และยูทิลิตี้บรรทัด) ขนาดโดยประมาณ: 1.62 MB. สิ่งอำนวยความสะดวก: sudo apt install wireshark-common

ความสัมพันธ์ที่สำคัญ

• debconf (หรือ debconf-2.0), libc6
• libcap2 และ libcap2-bin
• libgcrypt20, libglib2.0-0t64
• libpcap0.8t64, libpcre2-8-0
• libnl-3-200, libnl-genl-3-200, libnl-route-3-200
• libspeexdsp1, libssh-4, libsystemd0
• libmaxminddb0
• libwireshark18, libwiretap15, libwsutil16
• zlib1g

แพ็คเกจนี้รวมยูทิลิตี้ต่างๆ เช่น แคปอินโฟส (ข้อมูลไฟล์จับภาพ: ประเภท การห่อหุ้ม ระยะเวลา อัตรา ขนาด แฮช และความคิดเห็น) ประเภทหมวก (ระบุประเภทไฟล์) หมวกแก๊ป (อุปกรณ์จับภาพน้ำหนักเบาที่ใช้ pcapng/pcap พร้อมระบบหยุดอัตโนมัติและบัฟเฟอร์แบบวงกลม) แก้ไขแคป (แก้ไข/แยก/แปลงการจับภาพ ปรับเวลา ลบรายการที่ซ้ำกัน เพิ่มความคิดเห็นหรือความลับ) ผสาน (รวมหรือเชื่อมโยงการจับภาพหลาย ๆ ภาพเข้าด้วยกัน) เอ็มเอ็มดีเบรโซล์ฟ (แก้ไขตำแหน่งทางภูมิศาสตร์ IP ด้วยฐานข้อมูล MMDB) แรนด์พีเคที (เครื่องกำเนิดแพ็กเก็ตสังเคราะห์หลายโปรโตคอล) ฉลามวาฬ (การผ่าตัดแบบหยาบพร้อมผลลัพธ์ภาคสนาม) จัดลำดับใหม่ (เรียงลำดับใหม่ตามเวลาประทับเวลา) ฉลาม (เดมอนที่มี API สำหรับประมวลผลการจับภาพ) และ text2pcap (แปลง hexdumps หรือข้อความที่มีโครงสร้างเป็นข้อมูลที่ถูกต้อง)

libwireshark18 และ libwireshark-data

ไลบรารีการแยกแพ็กเก็ตส่วนกลาง นำเสนอตัววิเคราะห์โปรโตคอลที่ Wireshark/TShark ใช้ ขนาดไลบรารีโดยประมาณ: 126.13 MB. สิ่งอำนวยความสะดวก: sudo apt install libwireshark18 y sudo apt install libwireshark-data

หน่วยงานที่มีชื่อเสียง

• libc6, libglib2.0-0t64
• libgcrypt20, libgnutls30t64
• liblua5.4-0
• libpcre2-8-0
• libxml2-16
• zlib1g, libzstd1, liblz4-1, libsnappy1v5
• libnghttp2-14, libnghttp3-9
• libbrotli1
• libopus0, libsbc1, libspandsp2t64, libbcg729-0
• ลิบแคร์2
• libk5crypto3, libkrb5-3
• libopencore-amrnb0
• libwiretap15, libwsutil16
• ข้อมูล libwireshark

รวมถึงการสนับสนุนโปรโตคอลและตัวเลือกจำนวนมาก เช่น การเปิดใช้งานหรือปิดใช้งานการผ่าตัดเฉพาะ ฮิวริสติก และ "ถอดรหัสเป็น" จากอินเทอร์เฟซหรือบรรทัดคำสั่ง ด้วยเหตุนี้ คุณสามารถปรับแต่งได้ การผ่าตัดการจราจรจริง ของสภาพแวดล้อมของคุณ

libwiretap15 และ libwiretap-dev

Wiretap เป็นไลบรารีสำหรับการอ่านและเขียนไฟล์บันทึกหลายรูปแบบ จุดเด่นคือความหลากหลายของรูปแบบที่รองรับ แต่ข้อจำกัดมีดังนี้: ไม่ทำการกรองหรือทำการจับภาพโดยตรง. สิ่งอำนวยความสะดวก: sudo apt install libwiretap15 y sudo apt install libwiretap-dev

รูปแบบที่รองรับ (การเลือก)

• ลิบแคป
• Sniffer/Windows Sniffer Pro และ NetXRay
• เครื่องวิเคราะห์ LAN
• ตรวจสอบเครือข่าย
• สอดแนม
• AIX iptrace
• แรดคอม WAN/LAN
• ลูเซนต์/แอสเซนด์
• HP-UX nettl
• เราเตอร์ Toshiba ISDN
• ISDN4BSD i4btrace
• Cisco Secure IDS iplogging
• บันทึก pppd (pppdump)
• VMS TCPTRACE
• DBS Etherwatch (ข้อความ)
• Catapult DCT2000 (.ออก)

การอ้างอิง libwiretap15

• libc6, libglib2.0-0t64
• liblz4-1, libzstd1, zlib1g
• libwsutil16

ตัวแปร -dev มอบไลบรารีแบบคงที่และส่วนหัว C เพื่อผสานรวมการดำเนินการอ่าน/เขียนเข้ากับเครื่องมือของคุณ ช่วยให้คุณสามารถพัฒนายูทิลิตี้ที่จัดการข้อมูลได้ pcap, pcapng และคอนเทนเนอร์อื่น ๆ เป็นส่วนหนึ่งของท่อส่งของเราเอง

libwsutil16 และ libwsutil-dev

ชุดยูทิลิตี้ที่ใช้ร่วมกันโดย Wireshark และไลบรารีที่เกี่ยวข้อง: ฟังก์ชันเสริมสำหรับการจัดการสตริง การบัฟเฟอร์ การเข้ารหัส ฯลฯ การติดตั้ง: sudo apt install libwsutil16 y sudo apt install libwsutil-dev

การอ้างอิง libwsutil16

• libc6
• libgcrypt20
• libglib2.0-0t64
• libgnutls30t64
• libpcre2-8-0
• zlib1g

แพ็กเกจ -dev ประกอบด้วยส่วนหัวและไลบรารีแบบคงที่ เพื่อให้แอปพลิเคชันภายนอกสามารถเชื่อมโยงยูทิลิตี้ทั่วไปได้โดยไม่ต้องนำ wheel มาใช้ใหม่ นับเป็นรากฐานของ ฟังก์ชั่นที่ใช้ร่วมกันหลายรายการ ที่ใช้ Wireshark และ TShark

ไวร์ชาร์ค-เดฟ

เครื่องมือและไฟล์สำหรับการสร้าง "dissectors" ใหม่ มีสคริปต์เช่น idl2wrs รวมถึง dependencies สำหรับการคอมไพล์และการทดสอบ ขนาดโดยประมาณ: 621 KB. สิ่งอำนวยความสะดวก: sudo apt install wireshark-dev

สิ่งก่อสร้าง

• เอสแนค
• libc6
• libglib2.0-0t64
• libpcap0.8-dev
• libwireshark-dev
• libwiretap-dev
• libwsutil16
• omniidl
• python3 และ python3-ply

เนื้อหาพิเศษ - คลิกที่นี่  วิธีลบการเข้าถึง WhatsApp ล่าสุด

รวมถึงสาธารณูปโภคต่างๆ เช่น asn2deb (สร้างแพ็คเกจ Debian สำหรับการตรวจสอบ BER จาก ASN.1) และ idl2deb (แพ็กเกจสำหรับ CORBA) และเหนือสิ่งอื่นใด idl2wrsเครื่องมือนี้แปลง CORBA IDL ให้เป็นโครงร่างของปลั๊กอิน C เพื่อวิเคราะห์ทราฟฟิก GIOP/IIOP เวิร์กโฟลว์นี้ใช้สคริปต์ Python (wireshark_be.py และ wireshark_gen.py) และรองรับการวิเคราะห์แบบฮิวริสติกตามค่าเริ่มต้น เครื่องมือนี้จะค้นหาโมดูลใน PYTHONPATH/แพ็คเกจไซต์ หรือในไดเร็กทอรีปัจจุบัน และยอมรับการเปลี่ยนเส้นทางไฟล์เพื่อสร้างโค้ด

เอกสาร Wireshark

เอกสารสำหรับผู้ใช้ คำแนะนำการพัฒนา และการอ้างอิง Lua ขนาดโดยประมาณ: 13.40 MB. สิ่งอำนวยความสะดวก: sudo apt install wireshark-doc

แนะนำหากคุณกำลังจะเจาะลึกลงไป ส่วนขยาย สคริปต์ และ APIเอกสารออนไลน์บนเว็บไซต์อย่างเป็นทางการจะได้รับการอัปเดตด้วยเวอร์ชันเสถียรแต่ละเวอร์ชัน

ใบอนุญาตการจับกุมและการรักษาความปลอดภัย

ในหลายระบบ การจับภาพโดยตรงจำเป็นต้องมีสิทธิ์ระดับสูง ด้วยเหตุนี้ Wireshark และ TShark จึงมอบหมายการจับภาพให้กับบริการจากภายนอก หมวกแก๊ปไบนารีที่ออกแบบมาเพื่อรันด้วยสิทธิ์พิเศษ (set-UID หรือความสามารถ) เพื่อลดพื้นที่การโจมตี การรัน GUI ทั้งหมดในฐานะรูทไม่ใช่แนวทางปฏิบัติที่ดี ควรบันทึกด้วย dumpcap หรือ tcpdump แล้ววิเคราะห์โดยไม่มีสิทธิ์พิเศษเพื่อลดความเสี่ยง

ประวัติของโครงการนี้ครอบคลุมเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นในโปรแกรมวิเคราะห์ช่องโหว่ตลอดหลายปีที่ผ่านมา และแพลตฟอร์มบางแพลตฟอร์ม เช่น OpenBSD ได้ยุติการใช้งานอินสแตนซ์ Ethereal รุ่นเก่าด้วยเหตุผลดังกล่าว ด้วยรูปแบบปัจจุบัน การแยกตัวจากการตรวจจับและการอัปเดตอย่างต่อเนื่องจะช่วยปรับปรุงสถานการณ์ แต่ขอแนะนำให้ดำเนินการอย่างต่อเนื่อง ปฏิบัติตามคำแนะนำด้านความปลอดภัย และหากคุณตรวจพบกิจกรรมที่น่าสงสัย ให้ทราบวิธีการ บล็อกการเชื่อมต่อเครือข่ายที่น่าสงสัย และหลีกเลี่ยงการเปิดภาพหน้าจอที่ไม่น่าเชื่อถือโดยไม่ได้ตรวจสอบก่อน

รูปแบบไฟล์ การบีบอัด และแบบอักษรพิเศษ

Wireshark อ่านและเขียนไฟล์ pcap และ pcapng รวมถึงฟอร์แมตจากโปรแกรมวิเคราะห์อื่นๆ เช่น snoop, Network General Sniffer, Microsoft Network Monitor และโปรแกรมอื่นๆ อีกมากมายที่ Wiretap ระบุไว้ข้างต้น สามารถเปิดไฟล์บีบอัดได้หากคอมไพล์ด้วยไลบรารีสำหรับ pcapng GZIP, LZ4 และ ZSTDโดยเฉพาะอย่างยิ่ง GZIP และ LZ4 ที่มีบล็อกอิสระช่วยให้สามารถกระโดดได้อย่างรวดเร็ว ช่วยปรับปรุงประสิทธิภาพของ GUI ในการจับภาพขนาดใหญ่

เอกสารโครงการมีคุณลักษณะต่างๆ เช่น AIX iptrace (โดยที่ HUP ไปยังเดมอนจะปิดลงอย่างเรียบร้อย) การสนับสนุนสำหรับการติดตาม Lucent/Ascend, Toshiba ISDN หรือ CoSine L2 และระบุวิธีการจับเอาต์พุตข้อความไปยังไฟล์ (เช่น ด้วย telnet <equipo> | tee salida.txt หรือการใช้เครื่องมือ ต้นฉบับ) เพื่อนำเข้าในภายหลังด้วย text2pcap เส้นทางเหล่านี้จะนำคุณออกจาก การจับภาพแบบ “ธรรมดา” เมื่อคุณใช้อุปกรณ์ที่ไม่ล้มทับ PCAP โดยตรง

ยูทิลิตี้ชุดและหมวดหมู่ตัวเลือก

นอกจาก Wireshark และ TShark แล้ว ยังมีการแจกจ่ายอื่นๆ อีกด้วย เครื่องมือหลายอย่างที่ครอบคลุมงานเฉพาะเจาะจงมากโดยไม่ต้องคัดลอกข้อความช่วยเหลือแบบคำต่อคำ ต่อไปนี้คือบทสรุปที่จัดตามหมวดหมู่เพื่อให้คุณทราบว่าแต่ละหมวดหมู่ทำอะไรและคุณจะพบตัวเลือกอะไรบ้าง:

• หมวกแก๊ป: การจับภาพ pcap/pcapng แบบ "บริสุทธิ์และเรียบง่าย" การเลือกอินเทอร์เฟซ ตัวกรอง BPF ขนาดบัฟเฟอร์ การหมุนตามเวลา/ขนาด/ไฟล์ การสร้างบัฟเฟอร์วงแหวน การจับภาพความคิดเห็นและเอาต์พุตในรูปแบบ เครื่องอ่านได้เตือนไม่ให้เปิดใช้งาน JIT ของ BPF เนื่องจากความเสี่ยงที่อาจเกิดขึ้น
• แคปอินโฟสระบบจะแสดงประเภทไฟล์ การห่อหุ้ม อินเทอร์เฟซ และเมตาดาต้า จำนวนแพ็กเก็ต ขนาดไฟล์ ความยาวทั้งหมด ขีดจำกัดของสแนปช็อต ลำดับเวลา (แรก/สุดท้าย) อัตราเฉลี่ย (bps/Bps/pps) ขนาดแพ็กเก็ตเฉลี่ย แฮช และความคิดเห็น รองรับการแสดงผลแบบตารางหรือแบบละเอียด และรูปแบบที่เครื่องอ่านได้
• ประเภทหมวก:ระบุประเภทของไฟล์จับภาพสำหรับรายการหนึ่งรายการหรือมากกว่าพร้อมตัวเลือกความช่วยเหลือและเวอร์ชัน
• แก้ไขแคปโปรแกรมนี้สามารถเลือก/ลบช่วงแพ็กเก็ต สแน็ป/ชอป ปรับไทม์สแตมป์ (รวมถึงลำดับที่เข้มงวด) ลบข้อมูลที่ซ้ำกันด้วยหน้าต่างที่กำหนดค่าได้ เพิ่มคอมเมนต์ต่อเฟรม แยกเอาต์พุตตามจำนวนหรือเวลา เปลี่ยนคอนเทนเนอร์และการห่อหุ้ม ทำงานกับความลับในการถอดรหัส และบีบอัดเอาต์พุต เป็นเครื่องมืออเนกประสงค์สำหรับ "การล้างข้อมูล" ข้อมูลที่บันทึกไว้
• ผสาน:รวมการจับภาพหลาย ๆ ภาพเข้าเป็นภาพเดียว ไม่ว่าจะโดยการเรียงต่อกันเชิงเส้นหรือการผสมตามค่าเวลา ควบคุม snaplen กำหนดประเภทเอาต์พุต โหมดการรวม IDB และการบีบอัดขั้นสุดท้าย
• จัดลำดับใหม่: เรียงลำดับไฟล์ใหม่ตามค่าประทับเวลาเพื่อสร้างเอาต์พุตที่สะอาด และหากเรียงลำดับแล้ว ก็สามารถหลีกเลี่ยงการเขียนผลลัพธ์เพื่อบันทึก I/O ได้
• text2pcap: แปลง hexdumps หรือข้อความที่มี regex ให้เป็นการบันทึกที่ถูกต้อง รู้จักค่าออฟเซ็ตในฐานข้อมูลต่างๆ ประทับเวลาด้วยรูปแบบ strptime (รวมถึงความแม่นยำแบบเศษส่วน) ตรวจจับ ASCII ที่แนบมาหากใช้ได้ และสามารถเพิ่มส่วนหัว "จำลอง" (Ethernet, IPv4/IPv6, UDP/TCP/SCTP, EXPORTED_PDU) ด้วย พอร์ต ที่อยู่ และป้ายกำกับ ระบุไว้แล้ว
• ฉลามวาฬ:เครื่องอ่านแบบเน้นฟิลด์ "ดิบ" ช่วยให้คุณตั้งค่าโปรโตคอลการหุ้มหรือการผ่าตัด ปิดการใช้งานการแก้ไขชื่อ ตั้งค่าตัวกรองการอ่าน/การแสดงผล และตัดสินใจเลือกรูปแบบเอาท์พุตฟิลด์ ซึ่งมีประโยชน์สำหรับไปป์ไลน์ร่วมกับเครื่องมืออื่นๆ
• แรนด์พีเคทีสร้างไฟล์ที่มีแพ็กเก็ตแบบสุ่มประเภทต่างๆ เช่น ARP, BGP, DNS, Ethernet, IPv4/IPv6, ICMP, TCP/UDP, SCTP, Syslog, USB-Linux ฯลฯ โดยระบุบัญชี ขนาดสูงสุด และคอนเทนเนอร์ เหมาะสำหรับ การทดสอบและการสาธิต.
• เอ็มเอ็มดีเบรโซล์ฟ:สอบถามฐานข้อมูล MaxMind (MMDB) เพื่อแสดงตำแหน่งทางภูมิศาสตร์ของที่อยู่ IPv4/IPv6 โดยระบุไฟล์ฐานข้อมูลหนึ่งไฟล์หรือมากกว่า
• ฉลาม:เดมอนที่เปิดเผย API (โหมด “ทอง”) หรือซ็อกเก็ตคลาสสิก (โหมด “คลาสสิก”) รองรับโปรไฟล์การกำหนดค่าและควบคุมจากไคลเอนต์สำหรับการแยกและการค้นหาฝั่งเซิร์ฟเวอร์ ซึ่งมีประโยชน์ในการทำงานอัตโนมัติและการบริการ

สถาปัตยกรรม ลักษณะเฉพาะ และข้อจำกัด

Wireshark อาศัย libpcap/Npcap สำหรับการบันทึกข้อมูล และอาศัยระบบนิเวศของไลบรารี (libwireshark, libwiretap, libwsutil) ที่แยกการวิเคราะห์ รูปแบบ และยูทิลิตี้ต่างๆ ออกจากกัน ช่วยให้สามารถตรวจจับการโทรผ่าน VoIP เล่นเสียงในรูปแบบการเข้ารหัสที่รองรับ ดักจับข้อมูลดิบจาก USB และกรองข้อมูลบนเครือข่าย Wi-Fi (หากเครือข่ายเหล่านั้นเชื่อมต่อผ่านอีเทอร์เน็ตที่ตรวจสอบอยู่) ปลั๊กอินสำหรับโปรโตคอลใหม่ เขียนด้วยภาษา C หรือ Lua นอกจากนี้ยังสามารถรับข้อมูลระยะไกลแบบ encapsulated (เช่น TZSP) เพื่อการวิเคราะห์แบบเรียลไทม์จากเครื่องอื่นได้อีกด้วย

มันไม่ใช่ IDS และไม่ได้แจ้งเตือน บทบาทเป็นแบบพาสซีฟ คือตรวจสอบ วัดผล และแสดงผล ถึงกระนั้น เครื่องมือเสริมก็มีทั้งสถิติและเวิร์กโฟลว์ และมีสื่อการฝึกอบรมพร้อมใช้งาน (รวมถึงแอปเพื่อการศึกษาที่มุ่งสู่ปี 2025 ที่สอนเกี่ยวกับตัวกรอง การดักจับข้อมูล การระบุลายนิ้วมือระบบปฏิบัติการขั้นพื้นฐาน การวิเคราะห์แบบเรียลไทม์ ระบบอัตโนมัติ การรับส่งข้อมูลที่เข้ารหัส และการผสานรวมกับแนวทางปฏิบัติของ DevOps) แง่มุมทางการศึกษานี้ช่วยเสริมฟังก์ชันการทำงานหลักของ การวินิจฉัยและการแก้ไขปัญหา.

ความเข้ากันได้และระบบนิเวศ

แพลตฟอร์มการก่อสร้างและการทดสอบประกอบด้วย Linux (Ubuntu), Windows และ macOSโครงการนี้ยังกล่าวถึงความเข้ากันได้อย่างกว้างขวางกับระบบคล้าย Unix เพิ่มเติม และการแจกจ่ายผ่านตัวจัดการจากภายนอก ในบางกรณี ระบบปฏิบัติการเวอร์ชันเก่าจำเป็นต้องใช้สาขาก่อนหน้า (เช่น Windows XP เวอร์ชัน 1.10 หรือก่อนหน้า) โดยทั่วไป คุณสามารถติดตั้งจากคลังข้อมูลอย่างเป็นทางการหรือไฟล์ไบนารีในสภาพแวดล้อมส่วนใหญ่ได้โดยไม่มีปัญหาสำคัญ

พวกมันสามารถผสานรวมกับโปรแกรมจำลองเครือข่าย (ns, OPNET Modeler) และสามารถใช้เครื่องมือของบุคคลที่สาม (เช่น Aircrack สำหรับ 802.11) เพื่อสร้างไฟล์บันทึกที่ Wireshark สามารถเปิดได้โดยไม่มีปัญหา ในนามของ กฎหมายและจริยธรรมที่เข้มงวดโปรดจำไว้ว่าให้จับภาพเฉพาะบนเครือข่ายและในสถานการณ์ที่คุณได้รับอนุญาตอย่างชัดแจ้งเท่านั้น

ชื่อ เว็บไซต์อย่างเป็นทางการ และข้อมูลควบคุม

เว็บไซต์อย่างเป็นทางการคือ เว็บไซต์ wireshark.orgพร้อมดาวน์โหลดในไดเรกทอรีย่อย /download และเอกสารออนไลน์สำหรับผู้ใช้และนักพัฒนา มีหน้าต่างๆ ที่มี การควบคุมอำนาจ (เช่น GND) และรายการลิงก์ไปยังที่เก็บโค้ด ตัวติดตามจุดบกพร่อง และบล็อกโครงการ ซึ่งมีประโยชน์สำหรับการติดตามข่าวสารและรายงานปัญหา

ก่อนเริ่มบันทึกข้อมูล ควรตรวจสอบสิทธิ์และความสามารถของระบบ ตัดสินใจว่าจะใช้ dumpcap/tcpdump เพื่อถ่ายโอนข้อมูลลงดิสก์และวิเคราะห์ข้อมูลโดยไม่มีสิทธิ์หรือไม่ และเตรียมตัวกรองบันทึกข้อมูลและแสดงผลให้สอดคล้องกับวัตถุประสงค์ของคุณ ด้วยวิธีการที่ดี Wireshark จะช่วยลดความซับซ้อนและให้ข้อมูลที่ถูกต้องแม่นยำแก่คุณ การมองเห็นที่คุณต้องการ เพื่อวินิจฉัย เรียนรู้ หรือตรวจสอบเครือข่ายทุกขนาด