Paano gamitin ang Wireshark upang makita ang mga problema sa network

Kung nagtatrabaho ka sa networking, seguridad, o development at gusto mong maunawaan kung ano ang nangyayari sa iyong mga cable at Wi-Fi, nagtatrabaho kasama ang Wireshark Ito ay isang mahalagang elemento. Ito open source package analyzer na may mga dekada ng ebolusyon na nagbibigay-daan sa pagkuha, pag-dissect at pag-aaral ng trapiko sa antas ng packet nang may katumpakan sa operasyon.

Sa artikulong ito, sinusuri namin ito nang malalim: mula sa lisensya at sponsorship nito hanggang sa mga package nito sa GNU/Linux, kabilang ang mga console utilities, sinusuportahang format, mga kinakailangan sa compilation, mga pahintulot sa pagkuha at isang tunay na kumpletong pangkalahatang-ideya sa kasaysayan at functional.

Ano ang Wireshark at ano ang ginagamit nito ngayon?

Sa esensya, ang Wireshark ay isang protocol analyzer at traffic capture device na nagbibigay-daan sa iyong maglagay ng interface sa promiscuous o monitor mode (kung sinusuportahan ito ng system) at tingnan ang mga frame na hindi ipapadala sa iyong Mac, pag-aralan ang mga pag-uusap, muling buuin ang mga daloy, mga color packet ayon sa mga panuntunan, at ilapat ang napaka-nagpapahayag na mga filter ng display. Higit pa rito, kasama ang TShark (terminal na bersyon) at isang hanay ng mga utility para sa mga gawain tulad ng muling pagsasaayos, paghahati, pagsasama, at pag-convert ng mga screenshot.

Kahit na ang paggamit nito ay nakapagpapaalaala sa tcpdump, nagbibigay ito ng modernong graphical na interface batay sa Qt na may pagsasala, pag-uuri, at malalim na paghihiwalay para sa libu-libong mga protocol. Kung nasa switch ka, tandaan na hindi ginagarantiyahan ng promiscuous mode na makikita mo ang lahat ng trapiko: para sa kumpletong mga sitwasyon, kakailanganin mo ng port mirroring o mga network tap, na binabanggit din ng kanilang dokumentasyon bilang pinakamahusay na kagawian.

Lisensya, pundasyon at modelo ng pag-unlad

Ang Wireshark ay ipinamamahagi sa ilalim GNU GPL v2 at sa maraming lugar, bilang “GPL v2 o mas bago”. Ang ilang mga utility sa source code ay lisensyado sa ilalim ng iba't ibang ngunit katugmang mga lisensya, tulad ng pidl tool na may GPLv3+, na hindi nakakaapekto sa resultang binary ng analyzer. Walang hayag o ipinahiwatig na warranty; gamitin ito sa iyong sariling peligro, gaya ng nakasanayan sa libreng software.

La Wireshark Foundation Nag-coordinate ito ng pag-unlad at pamamahagi. Umaasa ito sa mga donasyon mula sa mga indibidwal at organisasyon na ang trabaho ay batay sa Wireshark. Ipinagmamalaki ng proyekto ang libu-libong mga rehistradong may-akda at mga makasaysayang figure tulad nina Gerald Combs, Gilbert Ramirez, at Guy Harris sa mga pinakakilalang tagasuporta nito.

Gumagana ang Wireshark sa Linux, Windows, macOS, at iba pang mga sistemang katulad ng Unix (BSD, Solaris, atbp.). Ang mga opisyal na pakete ay inilabas para sa Windows at macOS, at sa GNU/Linux ito ay karaniwang kasama bilang isang pamantayan o add-on na pakete sa mga pamamahagi gaya ng Debian, Ubuntu, Fedora, CentOS, RHEL, Arch, Gentoo, openSUSE, FreeBSD, DragonFly BSD, NetBSD, at OpenBSD. Available din ito sa mga third-party na system gaya ng Homebrew, MacPorts, pkgsrc o OpenCSW.

Upang mag-compile mula sa code, kakailanganin mo ang Python 3; AsciiDoctor para sa dokumentasyon; at mga tool tulad ng Perl at GNU flex (hindi gagana ang classic lex). Nagbibigay-daan sa iyo ang configuration gamit ang CMake na paganahin o huwag paganahin ang partikular na suporta, halimbawa, mga library ng compression na may -DENABLE_ZLIB=OFF, -DENABLE_LZ4=OFF o -DENABLE_ZSTD=OFF, o suporta sa libsmi na may -DENABLE_SMI=OFF kung mas gusto mong hindi mag-load ng mga MIB.

Mga pakete at aklatan sa mga sistemang nakabatay sa Debian

Sa Debian/Ubuntu at mga derivative na kapaligiran, ang Wireshark ecosystem ay nahahati sa maramihang mga paketeNasa ibaba ang isang breakdown na may mga feature, tinatayang laki, at dependencies. Binibigyang-daan ka ng mga package na ito na pumili mula sa isang kumpletong GUI hanggang sa mga library at mga tool sa pag-develop para sa pagsasama ng mga dissection sa sarili mong mga application.

wireshark

Graphical na application para sa pagkuha at pagsusuri ng trapiko gamit ang isang Qt interface. Tinantyang laki: 10.59 MB. Pasilidad: sudo apt install wireshark

Kabilang sa mga pagpipilian sa pagsisimula nito ay makikita mo ang mga parameter upang piliin ang interface (-i), pagkuha ng mga filter (-f), limitasyon ng snapshot, monitor mode, mga listahan ng uri ng link, mga filter ng display (-Y), "Decode As" at mga kagustuhan, pati na rin ang mga format ng output ng file at pagkuha ng mga komento. Pinapayagan din ng application pagsasaayos ng profile at istatistika advanced na mga tampok mula sa interface.

pating

Bersyon ng console para sa pagkuha at pagsusuri ng command-line. Tinatayang laki: 429 KB. Pasilidad: sudo apt install tshark

Binibigyang-daan ka nitong pumili ng mga interface, maglapat ng mga filter ng pag-capture at pagpapakita, tukuyin ang mga kundisyon sa paghinto (oras, laki, bilang ng mga packet), gumamit ng mga pabilog na buffer, mga detalye ng pag-print, hex at JSON dump, at i-export ang mga bagay at key ng TLS. Maaari din nitong bigyang kulay ang output sa isang katugmang terminal. ayusin ang pag-log log ayon sa mga domain at antas ng detalye. Pinapayuhan ang pag-iingat kung pinagana mo ang BPF JIT sa antas ng kernel, dahil maaaring may mga implikasyon ito sa seguridad.

wireshark-common

Mga karaniwang file para sa wireshark at tshark (hal., mga diksyunaryo, configuration, at line utilities). Tinantyang laki: 1.62 MB. Pasilidad: sudo apt install wireshark-common

Kasama sa package na ito ang mga utility tulad ng capinfos (Kunin ang impormasyon ng file: uri, encapsulation, tagal, rate, laki, hash at komento), captype (tukuyin ang mga uri ng file), dumpcap (magaan na capture device na gumagamit ng pcapng/pcap na may mga autostop at circular buffer), editcap (i-edit/hatiin/i-convert ang mga pagkuha, ayusin ang mga timestamp, alisin ang mga duplicate, magdagdag ng mga komento o lihim), mergecap (pagsamahin o pagsama-samahin ang maraming pagkuha), mmdbresolve (lutasin ang IP geolocation sa mga database ng MMDB), randpkt (multi-protocol synthetic packet generator), rawshark (crude dissection na may field output), reordercap (muling ayusin ayon sa timestamp), sharkd (daemon na may API para iproseso ang mga pagkuha) at text2pcap (i-convert ang mga hexdump o structured na text sa mga wastong pagkuha).

libwireshark18 at libwireshark-data

Central packet dissection library. Nagbibigay ng mga protocol analyzer na ginagamit ng Wireshark/TShark. Tinatayang laki ng library: 126.13 MB. Pasilidad: sudo apt install libwireshark18 y sudo apt install libwireshark-data

Kabilang dito ang suporta para sa isang malaking bilang ng mga protocol at opsyon tulad ng pagpapagana o hindi pagpapagana ng mga partikular na dissection, heuristics, at "Decode As" mula sa interface o sa command line; salamat dito, maaari mong iakma ang paghihiwalay ng totoong trapiko ng iyong kapaligiran.

libwiretap15 at libwiretap-dev

Ang Wiretap ay isang library para sa pagbabasa at pagsusulat ng maramihang mga format ng capture file. Ang mga kalakasan nito ay ang iba't ibang mga format na sinusuportahan nito; ang mga limitasyon nito ay: Hindi nito sinasala o nagsasagawa ng direktang pagkuha.. Pasilidad: sudo apt install libwiretap15 y sudo apt install libwiretap-dev

Ang -dev variant ay nagbibigay ng static na library at mga C header para isama ang mga read/write operation sa iyong mga tool. Nagbibigay-daan ito sa iyo na bumuo ng mga utility na nagmamanipula ng data. pcap, pcapng at iba pang lalagyan bilang bahagi ng sarili nating pipeline.

libwsutil16 at libwsutil-dev

Isang set ng mga utility na ibinahagi ng Wireshark at mga nauugnay na library: mga auxiliary function para sa pagmamanipula ng string, buffering, encryption, atbp. Pag-install: sudo apt install libwsutil16 y sudo apt install libwsutil-dev

Ang -dev package ay may kasamang mga header at isang static na library upang ang mga panlabas na application ay maaaring mag-link ng mga karaniwang utility nang hindi muling ipinapatupad ang mga gulong. Ito ang pundasyon ng maramihang ibinahaging function na gumagamit ng Wireshark at TShark.

wireshark-dev

Mga tool at file para sa paglikha ng mga bagong "dissectors". Nagbibigay ito ng mga script tulad ng idl2wrs, pati na rin ang mga dependency para sa pag-compile at pagsubok. Tinatayang laki: 621 KB. Pasilidad: sudo apt install wireshark-dev

Kabilang dito ang mga kagamitan tulad ng asn2deb (bumubuo ng mga pakete ng Debian para sa pagsubaybay sa BER mula sa ASN.1) at idl2deb (mga pakete para sa CORBA). At higit sa lahat, idl2wrsBinabago ng tool na ito ang isang CORBA IDL sa skeleton ng isang C plugin para sa pag-dissect ng trapiko ng GIOP/IIOP. Ang daloy ng trabaho na ito ay umaasa sa mga script ng Python (wireshark_be.py at wireshark_gen.py) at sumusuporta sa heuristic dissection bilang default. Hinahanap ng tool ang mga module nito sa PYTHONPATH/site-packages o sa kasalukuyang direktoryo, at tumatanggap ng pag-redirect ng file upang mabuo ang code.

wireshark-doc

Dokumentasyon ng gumagamit, gabay sa pagbuo at sanggunian sa Lua. Tinantyang laki: 13.40 MB. Pasilidad: sudo apt install wireshark-doc

Inirerekomenda kung mas malalim kang susuriin mga extension, scripting at mga APIAng online na dokumentasyon sa opisyal na website ay ina-update sa bawat matatag na bersyon.

Mga permit sa pagkuha at seguridad

Sa maraming mga sistema, ang direktang pagkuha ay nangangailangan ng mataas na mga pribilehiyo. Para sa kadahilanang ito, ang Wireshark at TShark ay nagtalaga ng pagkuha sa isang third-party na serbisyo. dumpcapIsang binary na idinisenyo upang tumakbo nang may mga pribilehiyo (set-UID o mga kakayahan) upang mabawasan ang ibabaw ng pag-atake. Ang pagpapatakbo ng buong GUI bilang ugat ay hindi magandang kasanayan; mas mainam na kumuha gamit ang dumpcap o tcpdump at pag-aralan nang walang mga pribilehiyo upang mabawasan ang mga panganib.

Kasama sa kasaysayan ng proyekto ang mga insidente ng seguridad sa mga dissector sa paglipas ng mga taon, at ang ilang mga platform tulad ng OpenBSD ay nagretiro sa lumang halimbawa ng Ethereal para sa kadahilanang iyon. Sa kasalukuyang modelo, ang paghihiwalay mula sa pagkuha at patuloy na pag-update ay nagpapabuti sa sitwasyon, ngunit ito ay palaging ipinapayong sundin ang mga tala sa kaligtasan At, kung makakita ka ng kahina-hinalang aktibidad, alamin kung paano harangan ang mga kahina-hinalang koneksyon sa network at iwasang magbukas ng mga hindi pinagkakatiwalaang screenshot nang walang paunang pagsusuri.

Mga format ng file, compression, at mga espesyal na font

Ang Wireshark ay nagbabasa at nagsusulat ng pcap at pcapng, pati na rin ang mga format mula sa iba pang mga analyzer tulad ng snoop, Network General Sniffer, Microsoft Network Monitor, at ang marami na nakalista ng Wiretap sa itaas. Maaari itong magbukas ng mga naka-compress na file kung sila ay pinagsama-sama sa mga aklatan para sa pcapng. GZIP, LZ4 at ZSTDSa partikular, ang GZIP at LZ4 na may mga independiyenteng bloke ay nagbibigay-daan para sa mabilis na pagtalon, pagpapabuti ng pagganap ng GUI sa malalaking pagkuha.

Ang mga dokumento ng proyekto ay mga tampok tulad ng AIX iptrace (kung saan ang isang HUP sa daemon ay nagsasara nang malinis), suporta para sa Lucent/Ascend traces, Toshiba ISDN o CoSine L2, at nagpapahiwatig kung paano i-capture ang textual na output sa isang file (hal., gamit ang telnet <equipo> | tee salida.txt o gamit ang tool script) upang i-import ito sa ibang pagkakataon gamit ang text2pcap. Inaalis ka ng mga landas na ito "conventional" captures kapag gumamit ka ng kagamitan na hindi direktang nag-tip sa pcap.

Mga suite utility at mga kategorya ng opsyon

Bilang karagdagan sa Wireshark at TShark, kasama ang pamamahagi ilang mga tool na sumasaklaw sa mga partikular na gawainNang hindi kinokopya ang help text verbatim, narito ang isang buod na nakaayos ayon sa mga kategorya para malaman mo kung ano ang ginagawa ng bawat isa at kung anong mga opsyon ang makikita mo:

• dumpcap: “pure and simple” pcap/pcapng capture, interface selection, BPF filters, buffer size, rotation by time/size/files, paglikha ng ring buffers, capture comments at output sa format nababasa ng makinaNagbabala ito laban sa pag-activate ng JIT ng BPF dahil sa mga potensyal na panganib.
• capinfosNagpapakita ito ng uri ng file, encapsulation, mga interface, at metadata; bilang ng mga packet, laki ng file, kabuuang haba, limitasyon ng snapshot, kronolohiya (una/huling), average na rate (bps/Bps/pps), average na laki ng packet, hash, at komento. Nagbibigay-daan ito para sa tabular o detalyadong output at mga format na nababasa ng makina.
• captype: kinikilala ang uri ng pagkuha ng file para sa isa o higit pang mga entry na may tulong at mga pagpipilian sa bersyon.
• editcapPinipili/tinatanggal nito ang mga hanay ng packet, nag-snap/chop, nag-aayos ng mga timestamp (kabilang ang mahigpit na pagkakasunud-sunod), nag-aalis ng mga duplicate na may mga configurable na window, nagdaragdag ng mga komento sa bawat frame, naghahati ng output ayon sa numero o oras, nagbabago ng container at encapsulation, gumagana sa mga lihim ng decryption, at nag-compress ng output. Ito ang all-purpose na tool para sa "paglilinis" ng mga pag-capture.
• mergecap: pinagsasama ang maramihang pagkuha sa isa, alinman sa pamamagitan ng linear concatenation o timestamp-based na paghahalo, kinokontrol ang snaplen, tinutukoy ang uri ng output, IDB merging mode at final compression.
• reordercap: muling inaayos ang isang file sa pamamagitan ng timestamp na bumubuo ng malinis na output at, kung ito ay nakaayos na, maiiwasan ang pagsusulat ng resulta upang mai-save ang I/O.
• text2pcap: nagko-convert ng mga hexdumps o text na may regex sa wastong pagkuha; kinikilala ang mga offset sa iba't ibang database, timestamp na may mga format ng strptime (kabilang ang fractional precision), nakakakita ng kalakip na ASCII kung naaangkop, at maaaring mag-prepend ng "dummy" na mga header (Ethernet, IPv4/IPv6, UDP/TCP/SCTP, EXPORTED_PDU) na may port, address, at label ipinahiwatig.
• rawshark: “raw” field-oriented reader; nagbibigay-daan sa iyo na magtakda ng encapsulation o dissection protocol, huwag paganahin ang mga resolusyon ng pangalan, magtakda ng mga filter sa pagbabasa/display at magpasya sa format ng output ng field, na kapaki-pakinabang para sa pipeline kasama ng iba pang mga tool.
• randpktBumubuo ng mga file na may mga random na packet ng mga uri gaya ng ARP, BGP, DNS, Ethernet, IPv4/IPv6, ICMP, TCP/UDP, SCTP, Syslog, USB-Linux, atbp., na tumutukoy sa account, maximum na laki, at lalagyan. Tamang-tama para sa mga pagsubok at demo.
• mmdbresolve: Query MaxMind database (MMDB) upang ipakita ang geolocation ng mga IPv4/IPv6 address, na tumutukoy sa isa o higit pang mga file ng database.
• sharkd: daemon na naglalantad ng API (mode “gold”) o classic socket (mode “classic”); sumusuporta sa mga profile ng pagsasaayos at kinokontrol mula sa mga kliyente para sa server-side dissection at mga paghahanap, kapaki-pakinabang sa automation at mga serbisyo.

Arkitektura, katangian at limitasyon

Umaasa ang Wireshark sa libpcap/Npcap para sa pagkuha, at sa isang ecosystem ng mga library (libwireshark, libwiretap, libwsutil) na naghihiwalay sa dissection, mga format, at mga utility. Nagbibigay-daan ito para sa pag-detect ng tawag sa VoIP, pag-playback ng audio sa mga sinusuportahang pag-encode, pag-capture ng trapiko ng raw USB, at pag-filter sa mga Wi-Fi network (kung binabagtas nila ang sinusubaybayang Ethernet). mga plugin para sa mga bagong protocol nakasulat sa C o Lua. Maaari rin itong makatanggap ng naka-encapsulated na malayuang trapiko (hal., TZSP) para sa real-time na pagsusuri mula sa isa pang makina.

Hindi ito isang IDS, at hindi rin ito nagbibigay ng mga alerto; ang papel nito ay pasibo: ito ay nagsusuri, sumusukat, at nagpapakita. Gayunpaman, ang mga auxiliary tool ay nagbibigay ng mga istatistika at daloy ng trabaho, at ang mga materyales sa pagsasanay ay madaling makuha (kabilang ang mga pang-edukasyon na app na nakatuon sa 2025 na nagtuturo ng mga filter, sniffing, pangunahing OS fingerprinting, real-time na pagsusuri, automation, naka-encrypt na trapiko, at pagsasama sa mga kasanayan sa DevOps). Ang aspetong pang-edukasyon na ito ay umaakma sa pangunahing paggana ng diagnosis at pag-troubleshoot.

Pagkakatugma at ecosystem

Kasama sa mga platform ng konstruksiyon at pagsubok Linux (Ubuntu), Windows at macOSBinanggit din ng proyekto ang malawak na pagkakatugma sa mga karagdagang sistemang katulad ng Unix at pamamahagi sa pamamagitan ng mga tagapamahala ng third-party. Sa ilang mga kaso, ang mga mas lumang bersyon ng OS ay nangangailangan ng mga nakaraang sangay (halimbawa, Windows XP na may bersyon 1.10 o mas maaga). Sa pangkalahatan, maaari kang mag-install mula sa mga opisyal na repositoryo o binary sa karamihan ng mga kapaligiran na walang malalaking isyu.

Ang mga ito ay isinasama sa mga network simulator (ns, OPNET Modeler), at mga tool ng third-party (hal., Aircrack para sa 802.11) ay maaaring gamitin upang makagawa ng mga pagkuha na binubuksan ng Wireshark nang walang kahirapan. Sa ngalan ng mahigpit na legalidad at etikaTandaan na mag-capture lang sa mga network at sa mga sitwasyon kung saan mayroon kang hayagang pahintulot.

Pangalan, opisyal na website, at data ng kontrol

Ang opisyal na website ay wireshark.orgna may mga pag-download sa subdirectory nitong /download at online na dokumentasyon para sa mga user at developer. May mga pahina na may kontrol ng awtoridad (hal., GND) at mga listahan ng mga link sa code repository, bug tracker, at project blog, na kapaki-pakinabang para sa pagsubaybay sa mga isyu sa balita at pag-uulat.

Bago mo simulan ang pagkuha, i-verify ang mga pahintulot at kakayahan ng iyong system, magpasya kung gagamit ka ng dumpcap/tcpdump para i-dump sa disk at pag-aralan nang walang mga pribilehiyo, at maghanda ng mga filter ng pagkuha at pagpapakita na naaayon sa iyong layunin. Sa isang mahusay na pamamaraan, pinapasimple ng Wireshark ang kumplikado at binibigyan ka ng eksaktong tamang impormasyon. Ang visibility na kailangan mo upang mag-diagnose, matuto, o mag-audit ng mga network ng anumang laki.

Kaugnay na artikulo:

Ano ang gagawin sa unang 24 na oras pagkatapos ng hack: mobile, PC at online na mga account

Daniel Terrasa

Dalubhasa ang editor sa mga isyu sa teknolohiya at internet na may higit sa sampung taong karanasan sa iba't ibang digital media. Nagtrabaho ako bilang isang editor at tagalikha ng nilalaman para sa e-commerce, komunikasyon, online na marketing at mga kumpanya ng advertising. Nagsulat din ako sa mga website ng ekonomiya, pananalapi at iba pang sektor. Ang aking trabaho ay hilig ko rin. Ngayon, sa pamamagitan ng aking mga artikulo sa Tecnobits, sinusubukan kong tuklasin ang lahat ng mga balita at mga bagong pagkakataon na iniaalok sa atin ng mundo ng teknolohiya araw-araw upang mapabuti ang ating buhay.