Ağ sorunlarını tespit etmek için Wireshark nasıl kullanılır?

Ağ, güvenlik veya geliştirme alanında çalışıyorsanız ve kablolarınızda ve Wi-Fi'ınızda neler olup bittiğini anlamak istiyorsanız, Wireshark Bu, olmazsa olmaz bir unsurdur. açık kaynaklı paket analizörü Paket düzeyinde trafiği cerrahi bir hassasiyetle yakalamaya, incelemeye ve incelemeye olanak tanıyan onlarca yıllık bir evrimle.

Bu makalede onu derinlemesine analiz ediyoruz: lisansından ve sponsorluğundan, GNU/Linux'taki paketlerine, konsol yardımcı programlarına, desteklenen formatlara, derleme gereksinimlerine, yakalama izinlerine ve gerçekten eksiksiz bir tarihsel ve işlevsel genel bakışa kadar.

Wireshark nedir ve günümüzde ne amaçla kullanılır?

Özünde, Wireshark bir protokol analizörü ve trafik yakalama cihazı Bu, bir arayüzü karışık veya izleme moduna (sistem destekliyorsa) koymanıza ve Mac'inize gönderilmeyecek kareleri görüntülemenize, konuşmaları analiz etmenize, akışları yeniden oluşturmanıza, kurallara göre paketleri renklendirmenize ve çok etkileyici görüntüleme filtreleri uygulamanıza olanak tanır. Ayrıca, TShark'ı (terminal sürümü) içerir ve ekran görüntülerini yeniden sıralama, bölme, birleştirme ve dönüştürme gibi görevler için bir dizi yardımcı program.

Kullanımı tcpdump'ı anımsatsa da Qt tabanlı modern bir grafiksel arayüz sağlar. filtreleme, sıralama ve derin diseksiyon Binlerce protokol için. Bir switch kullanıyorsanız, karışık modun tüm trafiği göreceğinizi garanti etmediğini unutmayın: tam senaryolar için port yansıtma veya ağ dinlemelerine ihtiyacınız olacak; bunlar da belgelerinde en iyi uygulamalar olarak belirtiliyor.

Lisans, kuruluş ve geliştirme modeli

Wireshark şu şekilde dağıtılmaktadır: GNU GPL v2 ve birçok yerde "GPL v2 veya üzeri" olarak geçer. Kaynak kodundaki bazı yardımcı programlar, GPLv3+ lisanslı PIDL aracı gibi farklı ancak uyumlu lisanslar altında lisanslanmıştır ve bu, analizörün ikili dosyasını etkilemez. Açık veya zımni bir garanti yoktur; özgür yazılımlarda olduğu gibi, kendi sorumluluğunuzda kullanın.

La Wireshark Vakfı Geliştirme ve dağıtımını koordine eder. Wireshark'a dayanan çalışmaları olan kişi ve kuruluşların bağışlarına dayanır. Projenin en önemli destekçileri arasında Gerald Combs, Gilbert Ramirez ve Guy Harris gibi binlerce kayıtlı yazar ve tarihi şahsiyet yer almaktadır.

Wireshark, Linux, Windows, macOS ve diğer Unix benzeri sistemlerde (BSD, Solaris vb.) çalışır. Resmi paketleri Windows ve macOS için yayınlanır ve GNU/Linux'ta genellikle Debian, Ubuntu, Fedora, CentOS, RHEL, Arch, Gentoo, openSUSE, FreeBSD, DragonFly BSD, NetBSD ve OpenBSD gibi dağıtımlarda standart veya eklenti paketi olarak bulunur. Ayrıca aşağıdaki gibi üçüncü taraf sistemlerde de mevcuttur: Homebrew, MacPorts, pkgsrc veya OpenCSW.

Koddan derlemek için Python 3'e, dokümantasyon için AsciiDoctor'a ve Perl ve GNU flex gibi araçlara ihtiyacınız olacak (klasik lex çalışmayacaktır). CMake kullanarak yapılandırma, örneğin sıkıştırma kütüphaneleri gibi belirli destekleri etkinleştirmenize veya devre dışı bırakmanıza olanak tanır. -DENABLE_ZLIB=KAPALI, -DENABLE_LZ4=KAPALI veya -DENABLE_ZSTD=KAPALIveya MIB'leri yüklemek istemiyorsanız -DENABLE_SMI=OFF ile libsmi desteğini kullanın.

Debian tabanlı sistemlerdeki paketler ve kütüphaneler

Debian/Ubuntu ve türev ortamlarda Wireshark ekosistemi şu şekilde bölünmüştür: birden fazla paketAşağıda özellikler, yaklaşık boyutlar ve bağımlılıklar hakkında bir döküm bulabilirsiniz. Bu paketler, diseksiyonları kendi uygulamalarınıza entegre etmek için eksiksiz bir GUI'den kütüphanelere ve geliştirme araçlarına kadar seçim yapmanıza olanak tanır.

Wireshark

Qt arayüzü ile trafiği yakalama ve analiz etme amaçlı grafiksel uygulama. Tahmini boyut: 10.59 MB. Tesis: sudo apt install wireshark

Başlatma seçenekleri arasında arayüzü seçmek için parametreler bulacaksınız (-i), yakalama filtreleri (-f), anlık görüntü sınırı, izleme modu, bağlantı türü listeleri, görüntüleme filtreleri (-Y), "Şöyle Kodla" ve tercihler, dosya çıktı biçimleri ve yakalama yorumları. Uygulama ayrıca şunları da sağlar: yapılandırma profili ve istatistikleri arayüzden gelişmiş özellikler.

köpekbalığı

Komut satırı yakalama ve analiz için konsol sürümü. Tahmini boyut: 429 KB. Tesis: sudo apt install tshark

Arayüzleri seçmenize, yakalama ve görüntüleme filtreleri uygulamanıza, durdurma koşullarını (zaman, boyut, paket sayısı) tanımlamanıza, dairesel tamponlar kullanmanıza, ayrıntıları, onaltılık ve JSON dökümlerini yazdırmanıza ve TLS nesnelerini ve anahtarlarını dışa aktarmanıza olanak tanır. Ayrıca, uyumlu bir terminalde çıktıyı renklendirebilir. günlük kaydını ayarla Alanlara ve ayrıntı düzeylerine göre. BPF JIT'i çekirdek düzeyinde etkinleştirirseniz, güvenlik sorunlarına yol açabileceğinden dikkatli olmanız önerilir.

wireshark-ortak

Wireshark ve tshark için ortak dosyalar (örneğin sözlükler, yapılandırmalar ve satır yardımcı programları). Tahmini boyut: 1.62 MB. Tesis: sudo apt install wireshark-common

Bu paket aşağıdaki gibi yardımcı programları içerir: kapinfos (yakalama dosyası bilgileri: tür, kapsülleme, süre, oranlar, boyutlar, karmalar ve yorumlar), başlık türü (dosya türlerini tanımlayın), çöp kapağı (otomatik durdurma ve dairesel tamponlarla pcapng/pcap kullanan hafif yakalama aygıtı), düzenleme başlığı (yakalamaları düzenleme/bölme/dönüştürme, zaman damgalarını ayarlama, yinelenenleri kaldırma, yorum veya sır ekleme), birleştirme başlığı (birden fazla yakalamayı birleştirme veya birleştirme), mmdbresolve (MMDB veri tabanları ile IP coğrafi konumunun çözülmesi), randpkt (çok protokollü sentetik paket üreteci), ham köpek balığı (saha çıktılı ham diseksiyon), yeniden sırala (zaman damgasına göre yeniden sırala), köpekbalığı (yakalamaları işlemek için API'li daemon) ve metin2pcap (hexdump'ları veya yapılandırılmış metni geçerli yakalamalara dönüştürün).

libwireshark18 ve libwireshark-data

Merkezi paket parçalama kütüphanesi. Wireshark/TShark tarafından kullanılan protokol analizörlerini sağlar. Yaklaşık kütüphane boyutu: 126.13 MB. Tesis: sudo apt install libwireshark18 y sudo apt install libwireshark-data

Çok sayıda protokol ve belirli diseksiyonları, buluşsal yöntemleri ve arayüzden veya komut satırından "Farklı Kodla"yı etkinleştirme veya devre dışı bırakma gibi seçenekler için destek içerir; bu sayede, gerçek trafiğin incelenmesi çevrenizden.

libwiretap15 ve libwiretap-dev

Wiretap, birden fazla yakalama dosyası formatını okuyup yazmak için kullanılan bir kütüphanedir. Güçlü yönleri, desteklediği format çeşitliliğidir; ancak dezavantajları şunlardır: Filtreleme yapmaz veya doğrudan yakalama yapmaz.. Tesis: sudo apt install libwiretap15 y sudo apt install libwiretap-dev

-dev varyantı, okuma/yazma işlemlerini araçlarınıza entegre etmek için statik kitaplık ve C başlıkları sağlar. Bu, verileri işleyen yardımcı programlar geliştirmenize olanak tanır. pcap, pcapng ve diğer kapsayıcılar kendi boru hatlarımızın bir parçası olarak.

libwsutil16 ve libwsutil-dev

Wireshark ve ilgili kütüphaneler tarafından paylaşılan bir dizi yardımcı program: dize işleme, ara belleğe alma, şifreleme vb. için yardımcı fonksiyonlar. Kurulum: sudo apt install libwsutil16 y sudo apt install libwsutil-dev

-dev paketi, harici uygulamaların tekerlekleri yeniden uygulamadan ortak yardımcı programları birbirine bağlayabilmesi için başlıkları ve statik bir kitaplığı içerir. Bu, birden fazla paylaşılan işlev Wireshark ve TShark kullananlar.

wireshark-dev

Yeni "dissector"lar oluşturmak için araçlar ve dosyalar. idl2wrs gibi betiklerin yanı sıra derleme ve test için bağımlılıklar da sağlar. Tahmini boyut: 621 KB. Tesis: sudo apt install wireshark-dev

Bunlara şunlar dahildir: asn2deb (ASN.1'den BER izleme için Debian paketleri üretir) ve idl2deb (CORBA paketleri). Ve her şeyden önce, idl2wrsBu araç, bir CORBA IDL'yi GIOP/IIOP trafiğini incelemek için bir C eklentisinin iskeletine dönüştürür. Bu iş akışı Python betiklerine (wireshark_be.py ve wireshark_gen.py) dayanır ve varsayılan olarak sezgisel incelemeyi destekler. Araç, modüllerini şu şekilde arar: PYTHONPATH/site paketleri veya geçerli dizinde bulunur ve kodu üretmek için dosya yönlendirmesini kabul eder.

wireshark-doc

Kullanıcı dokümantasyonu, geliştirme kılavuzu ve Lua referansı. Tahmini boyut: 13.40 MB. Tesis: sudo apt install wireshark-doc

Daha derinlemesine araştırma yapmayı düşünüyorsanız önerilir uzantılar, betikler ve API'lerResmi web sitesindeki çevrimiçi dokümantasyon her kararlı sürümde güncellenmektedir.

Yakalama ve güvenlik izinleri

Birçok sistemde doğrudan yakalama, yüksek ayrıcalıklar gerektirir. Bu nedenle Wireshark ve TShark, yakalama işlemini üçüncü taraf bir hizmete devreder. çöp kapağıSaldırı yüzeyini en aza indirmek için ayrıcalıklarla (set-UID veya capabilities) çalışacak şekilde tasarlanmış bir ikili dosya. Tüm GUI'yi root olarak çalıştırmak iyi bir uygulama değildir; riskleri azaltmak için dumpcap veya tcpdump ile yakalama yapıp ayrıcalıklar olmadan analiz etmek tercih edilir.

Projenin geçmişi, yıllar içinde disektörlerde yaşanan güvenlik olaylarını içeriyor ve OpenBSD gibi bazı platformlar bu nedenle eski Ethereal örneğini kullanımdan kaldırdı. Mevcut modelde, yakalamadan izolasyon ve sürekli güncellemeler durumu iyileştirse de, her zaman tavsiye edilir. güvenlik talimatlarını izleyin Ve eğer şüpheli bir aktivite tespit ederseniz, nasıl olduğunu bilin şüpheli ağ bağlantılarını engelle ve önceden incelemeden güvenilmeyen ekran görüntülerini açmaktan kaçının.

Dosya biçimleri, sıkıştırma ve özel yazı tipleri

Wireshark, pcap ve pcapng'nin yanı sıra snoop, Network General Sniffer, Microsoft Network Monitor ve Wiretap tarafından yukarıda listelenen diğer analiz araçlarının formatlarını da okuyup yazabilir. Pcapng kütüphaneleriyle derlenmiş sıkıştırılmış dosyaları da açabilir. GZIP, LZ4 ve ZSTDÖzellikle bağımsız bloklara sahip GZIP ve LZ4, hızlı atlamalara olanak tanıyarak büyük yakalamalarda GUI performansını iyileştiriyor.

Proje, AIX iptrace (daemon'a giden bir HUP'nin temiz bir şekilde kapandığı yer), Lucent/Ascend izlerine destek, Toshiba ISDN veya CoSine L2 gibi özellikleri belgelendirir ve metinsel çıktının bir dosyaya nasıl yakalanacağını gösterir (örneğin, telnet <equipo> | tee salida.txt veya aracı kullanarak senaryo) daha sonra text2pcap ile içe aktarmak için. Bu yollar sizi şuradan çıkarır: "geleneksel" yakalamalar pcap'ı doğrudan devirmeyen ekipman kullandığınızda.

Suit yardımcı programları ve seçenek kategorileri

Dağıtım, Wireshark ve TShark'a ek olarak şunları içerir: çok özel görevleri kapsayan çeşitli araçlarYardım metnini birebir kopyalamadan, her birinin ne işe yaradığını ve hangi seçenekleri bulacağınızı bilmeniz için kategorilere göre düzenlenmiş bir özet aşağıda verilmiştir:

• çöp kapağı: "saf ve basit" pcap/pcapng yakalama, arayüz seçimi, BPF filtreleri, arabellek boyutu, zamana/boyuta/dosyalara göre döndürme, halka arabelleklerinin oluşturulması, yakalama yorumları ve formatta çıktı makine tarafından okunabilirPotansiyel riskler nedeniyle BPF'nin JIT'inin aktive edilmesine karşı uyarıyor.
• kapinfosDosya türünü, kapsüllemeyi, arayüzleri ve meta verileri; paket sayısını, dosya boyutunu, toplam uzunluğu, anlık görüntü sınırını, kronolojiyi (ilk/son), ortalama hızları (bps/bps/pps), ortalama paket boyutunu, karma değerlerini ve yorumları görüntüler. Tablo veya ayrıntılı çıktı ve makine tarafından okunabilir formatlara olanak tanır.
• başlık türü: Yardım ve sürüm seçenekleriyle bir veya daha fazla giriş için yakalama dosyasının türünü tanımlar.
• düzenleme başlığıPaket aralıklarını seçer/siler, yakalar/keser, zaman damgalarını (kesin sıra dahil) ayarlar, yapılandırılabilir pencerelerle yinelenenleri kaldırır, çerçeve başına yorumlar ekler, çıktıyı sayıya veya zamana göre böler, kapsayıcıyı ve kapsüllemeyi değiştirir, şifre çözme sırlarıyla çalışır ve çıktıyı sıkıştırır. Yakalamaları "temizlemek" için çok amaçlı bir araçtır.
• birleştirme başlığı: birden fazla yakalamayı doğrusal birleştirme veya zaman damgası tabanlı karıştırma yoluyla tek bir yakalamada birleştirir, snaplen'i kontrol eder, çıktı türünü, IDB birleştirme modunu ve son sıkıştırmayı tanımlar.
• yeniden sırala: dosyayı zaman damgasına göre yeniden sıralayarak temiz bir çıktı oluşturur ve eğer zaten sıralıysa, G/Ç'yi kurtarmak için sonucun yazılmasını önleyebilir.
• metin2pcap: Hexdump'ları veya regex içeren metni geçerli yakalamaya dönüştürür; çeşitli veritabanlarındaki ofsetleri, strptime biçimlerine sahip zaman damgalarını (kesirli hassasiyet dahil) tanır, varsa ekli ASCII'yi algılar ve "sahte" başlıkları (Ethernet, IPv4/IPv6, UDP/TCP/SCTP, EXPORTED_PDU) ekleyebilir bağlantı noktaları, adresler ve etiketler belirtildi.
• ham köpek balığı: "ham" alan odaklı okuyucu; kapsülleme veya parçalama protokolünü ayarlamanıza, ad çözümlemelerini devre dışı bırakmanıza, okuma/görüntüleme filtrelerini ayarlamanıza ve alan çıktı biçimine karar vermenize olanak tanır, diğer araçlarla birlikte boru hattı için kullanışlıdır.
• randpktARP, BGP, DNS, Ethernet, IPv4/IPv6, ICMP, TCP/UDP, SCTP, Syslog, USB-Linux vb. gibi türlerde rastgele paketler içeren dosyalar oluşturur; hesap, maksimum boyut ve kapsayıcı belirtilir. Şunlar için idealdir: testler ve demolar.
• mmdbresolve: IPv4/IPv6 adreslerinin coğrafi konumunu görüntülemek için MaxMind veritabanlarını (MMDB) sorgulayın ve bir veya daha fazla veritabanı dosyasını belirtin.
• köpekbalığı: API (mod “gold”) veya klasik soket (mod “classic”) açığa çıkaran; yapılandırma profillerini destekleyen ve sunucu tarafı inceleme ve aramalar için istemciler tarafından kontrol edilen, otomasyon ve hizmetlerde kullanışlı olan daemon.

Mimari, özellikler ve sınırlamalar

Wireshark, yakalama için libpcap/Npcap'e ve ayrıştırma, formatlar ve yardımcı programları ayıran bir kütüphane ekosistemine (libwireshark, libwiretap, libwsutil) dayanır. VoIP arama algılama, desteklenen kodlamalarda ses oynatma, ham USB trafiği yakalama ve Wi-Fi ağlarında filtreleme (izlenen Ethernet'ten geçiyorlarsa) sağlar. yeni protokoller için eklentiler C veya Lua ile yazılmıştır. Ayrıca, başka bir makineden gerçek zamanlı analiz için kapsüllenmiş uzak trafiği (örneğin, TZSP) de alabilir.

Bir IDS değildir ve uyarı da vermez; pasif bir rolü vardır: denetler, ölçer ve görüntüler. Yine de, yardımcı araçlar istatistikler ve iş akışları sağlar ve eğitim materyalleri kolayca erişilebilirdir (filtreler, koklama, temel işletim sistemi parmak izi, gerçek zamanlı analiz, otomasyon, şifreli trafik ve DevOps uygulamalarıyla entegrasyonu öğreten 2025'e yönelik eğitim uygulamaları dahil). Bu eğitimsel yön, temel işlevselliği tamamlar. tanı ve sorun giderme.

Uyumluluk ve ekosistem

İnşaat ve test platformları şunları içerir: Linux (Ubuntu), Windows ve macOSProje ayrıca, diğer Unix benzeri sistemlerle geniş uyumluluk ve üçüncü taraf yöneticiler aracılığıyla dağıtımdan da bahsediyor. Bazı durumlarda, eski işletim sistemi sürümleri önceki sürümleri gerektirir (örneğin, 1.10 veya daha eski sürüm Windows XP). Genellikle, çoğu ortamda resmi depolardan veya ikili dosyalardan büyük sorunlar yaşamadan kurulum yapabilirsiniz.

Ağ simülatörleriyle (ns, OPNET Modeler) entegre olurlar ve üçüncü taraf araçlar (örneğin, 802.11 için Aircrack) Wireshark'ın zorluk çekmeden açabileceği yakalamalar üretmek için kullanılabilir. sıkı yasallık ve etikSadece açık yetkinizin olduğu ağlarda ve senaryolarda çekim yapmayı unutmayın.

İsim, resmi web siteleri ve kontrol verileri

Resmi web sitesi şudur: Wireshark.org/download alt dizininde indirmeler ve kullanıcılar ve geliştiriciler için çevrimiçi belgeler bulunmaktadır. otorite kontrolü (örneğin GND) ve kod deposuna, hata izleyicisine ve proje bloguna bağlantılar içeren listeler, haberleri takip etmek ve sorunları bildirmek için kullanışlıdır.

Yakalamaya başlamadan önce, sisteminizin izinlerini ve yeteneklerini doğrulayın, dumpcap/tcpdump kullanarak diske döküm yapıp ayrıcalıklar olmadan analiz edip etmeyeceğinize karar verin ve hedefinize uygun yakalama ve görüntüleme filtreleri hazırlayın. İyi bir metodolojiyle Wireshark, karmaşıklığı basitleştirir ve size tam olarak doğru bilgileri verir. İhtiyacınız olan görünürlük Herhangi bir boyuttaki ağları teşhis etmek, öğrenmek veya denetlemek için.

İlgili makale:

Mobil, PC ve çevrimiçi hesaplarınızın hacklenmesinden sonraki ilk 24 saatte neler yapılmalı?

Daniel Terrasa

Farklı dijital mecralarda on yıldan fazla deneyime sahip, teknoloji ve internet konularında uzmanlaşmış editör. E-ticaret, iletişim, online pazarlama ve reklam şirketlerinde editör ve içerik yaratıcısı olarak çalıştım. Ekonomi, finans ve diğer sektörlerin internet sitelerinde de yazılar yazdım. İşim aynı zamanda tutkumdur. Artık makalelerim aracılığıyla Tecnobits, Hayatlarımızı iyileştirmek için teknoloji dünyasının bize her gün sunduğu tüm haberleri ve yeni fırsatları keşfetmeye çalışıyorum.