Windows-da Wireshark-dan qanday foydalanish: to'liq, amaliy va dolzarb qo'llanma

Hech o'ylab ko'rganmisiz? Ko‘rayotganingizda, onlayn o‘ynaganingizda yoki ulangan qurilmalarni boshqarayotganingizda tarmog‘ingizda nima sodir bo‘lmoqda? Agar siz shunchaki Wi-Fi tarmog'ida aylanib yuradigan sirlarga qiziqsangiz yoki buning uchun sizga professional vosita kerak bo'lsa Tarmoq trafigini tahlil qiling va ulanishingizdagi muammolarni aniqlang, albatta nomi Wireshark allaqachon e'tiboringizni tortdi.

Xo'sh, ushbu maqolada siz aylanma yo'llarsiz kashf etasiz Wireshark haqidagi barcha tafsilotlar: Bu nima, u Windowsda nima uchun ishlatiladi, uni qanday o'rnatish kerak va ma'lumotlarni yozib olishni boshlashdan oldin eng yaxshi maslahatlar. Keling, bunga o'taylik.

Wireshark nima? Tarmoq tahlilining titanini buzish

Wireshark butun dunyo bo'ylab eng mashhur va tan olingan tarmoq protokoli analizatoridir.. Bu bepul, ochiq manba va kuchli vosita sizga imkon beradi barcha tarmoq trafigini qo'lga olish va tekshirish Windows, Linux, macOS mashinasi yoki hatto FreeBSD va Solaris kabi tizimlar bo'ladimi, kompyuteringiz orqali o'tadi. Wireshark yordamida siz real vaqt rejimida yoki yozib olingandan so'ng kompyuteringizga aynan qaysi paketlar kirib-chiqayotganini, ularning manbasini, manzilini, protokollarini ko'rishingiz va hatto OSI modeliga muvofiq har bir qatlamning tafsilotlarini olish uchun ularni qismlarga ajratishingiz mumkin.

Ko'pgina analizatorlardan farqli o'laroq, Wireshark o'zining intuitiv grafik interfeysi bilan ajralib turadi, shuningdek, buyruq qatorini afzal ko'rgan yoki avtomatlashtirilgan vazifalarni bajarishga muhtoj bo'lganlar uchun TShark deb nomlangan kuchli konsol versiyasini taklif qiladi. Wireshark-ning moslashuvchanligi U ko'zdan kechirayotganda ulanishni tahlil qilish, professional xavfsizlik tekshiruvlarini o'tkazish, tarmoq muammolarini hal qilish yoki Internet protokollari qanday ishlashini noldan o'rganish imkonini beradi - barchasini shaxsiy shaxsiy kompyuteringizdan!

Wireshark-ni Windows-ga yuklab oling va o'rnating

Wireshark-ni Windows-ga o'rnatish oddiy jarayon., lekin, ayniqsa, qo'lga olish uchun ruxsatnomalar va qo'shimcha drayverlarga nisbatan hech qanday bo'sh uchlarini qoldirmaslik uchun buni bosqichma-bosqich bajarish tavsiya etiladi.

• Descarga oficial: Kirish Wireshark rasmiy veb-sayti va Windows versiyasini tanlang (tizimingizga qarab 32 yoki 64 bit).
• Ejecuta el instalador: Yuklab olingan faylni ikki marta bosing va sehrgarga amal qiling. Savollaringiz bo'lsa, standart variantlarni qabul qiling.
• Asosiy haydovchilar: O'rnatish vaqtida o'rnatuvchi sizdan so'raydi Npcap-ni o'rnating. Ushbu komponent juda muhim, chunki u sizning tarmoq kartangizga paketlarni "noxush" rejimda olish imkonini beradi. Uning o'rnatilishini qabul qiling.
• Tugatish va qayta ishga tushirish: Jarayon tugagandan so'ng, barcha komponentlar tayyor ekanligiga ishonch hosil qilish uchun kompyuteringizni qayta ishga tushiring.

Tayyor! Endi siz Wireshark-dan Windows Start menyusidan foydalanishni boshlashingiz mumkin. Iltimos, ushbu dastur tez-tez yangilanib turishini unutmang, shuning uchun vaqti-vaqti bilan yangi versiyalarni tekshirish yaxshidir.

Wireshark qanday ishlaydi: paketlarni yozib olish va ko'rsatish

Wireshark-ni ochganingizda, Siz ko'rgan birinchi narsa - tizimingizda mavjud bo'lgan barcha tarmoq interfeyslari ro'yxati.: VMware yoki VirtualBox kabi virtual mashinalardan foydalansangiz, simli tarmoq kartalari, WiFi va hatto virtual adapterlar. Ushbu interfeyslarning har biri raqamli ma'lumotlar uchun kirish yoki chiqish nuqtasini ifodalaydi.

Ma'lumotlarni yozib olishni boshlash uchun, Siz shunchaki kerakli interfeysni ikki marta bosishingiz kerak. Desde ese momento, Wireshark real vaqt rejimida aylanayotgan barcha paketlarni ko'rsatadi ushbu karta bo'yicha, ularni paket raqami, suratga olish vaqti, manba, maqsad, protokol, o'lcham va qo'shimcha tafsilotlar kabi ustunlar bo'yicha tartiblash.

Rasmga olishni to'xtatmoqchi bo'lganingizda, tugmasini bosing qizil to'xtatish tugmasi. Tasvirga olinganlaringizni keyinchalik tahlil qilish, almashish yoki hatto ularni turli formatlarda (CSV, matn, siqilgan va h.k.) eksport qilish uchun .pcap formatida saqlashingiz mumkin. Bu moslashuvchanlik nima qiladi Wireshark ham spot tahlil, ham to'liq audit uchun ajralmas vositadir..

Ishni boshlash: Windows-da skrinshot olishdan oldin maslahatlar

Birinchi Wireshark suratga olishlaringiz foydali boʻlishi va natijada ahamiyatsiz shovqin yoki chalkash maʼlumotlarga toʻlib ketmasligi uchun bir nechta asosiy tavsiyalarga amal qilishingiz kerak:

• Cierra programas innecesarios: Rasmga olishni boshlashdan oldin, fon trafigini yaratadigan ilovalardan chiqing (yangilanishlar, chatlar, elektron pochta mijozlari, o'yinlar va boshqalar). Shunday qilib, siz keraksiz trafikni aralashtirib yuborishdan qochasiz.
• Xavfsizlik devorini boshqaring: Xavfsizlik devorlari trafikni bloklashi yoki o'zgartirishi mumkin. Toʻliq suratga olishni istasangiz, uni vaqtincha oʻchirib qoʻyishni oʻylab koʻring.
• Faqat tegishli bo'lgan narsani olingMuayyan ilovani tahlil qilmoqchi bo'lsangiz, ilovani ishga tushirish uchun suratga olishni boshlaganingizdan so'ng bir yoki ikki soniya kuting va yozishni to'xtatishdan oldin uni yopayotganda ham xuddi shunday qiling.
• Faol interfeysingizni biling: To'g'ri tarmoq kartasini tanlaganingizga ishonch hosil qiling, ayniqsa sizda bir nechta adapter bo'lsa yoki virtual tarmoqda bo'lsangiz.

Ushbu ko'rsatmalarga rioya qilish orqali skrinshotlaringiz yanada toza va keyingi tahlillar uchun foydaliroq bo'ladi..

Wireshark-dagi filtrlar: qanday qilib haqiqatda muhim bo'lgan narsaga e'tibor qaratish kerak

Wiresharkning eng kuchli xususiyatlaridan biri bu filtrlardir. Ikkita asosiy tur mavjud:

• Suratga olish filtrlari: Ular suratga olishni boshlashdan oldin qo'llaniladi, bu sizga boshidanoq faqat sizni qiziqtirgan trafikni to'plash imkonini beradi.
• Filtros de visualización: Bular allaqachon olingan paketlar roʻyxatiga taalluqli boʻlib, faqat sizning mezoningizga mos keladiganlarini koʻrsatishga imkon beradi.

Eng keng tarqalgan filtrlar orasida:

• Protokol bo'yicha: Faqat HTTP, TCP, DNS va hokazo paketlarni filtrlaydi.
• IP manzil bo'yicha: Masalan, faqat ma'lum bir IP-dan yoki undan foydalangan holda paketlarni ko'rsatish ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• Por puerto: Natijalarni ma'lum bir portga cheklaydi (tcp.port == 80).
• Matn qatori bo'yicha: Tarkibida kalit so'z bo'lgan paketlarni topadi.
• MAC manzili, paket uzunligi yoki IP diapazoni bo'yicha.

Bundan tashqari, filtrlar mantiqiy operatorlar bilan birlashtirilishi mumkin (va, or, not) kabi juda aniq qidiruvlar uchun tcp.port == 80 va ip.src == 192.168.1.1.

Windowsda Wireshark yordamida nimani suratga olishingiz va tahlil qilishingiz mumkin?

Wireshark es 480 dan ortiq turli protokollarni sharhlash imkoniyatiga ega, TCP, UDP, IP kabi asoslardan tortib, dasturga xos protokollar, IoT, VoIP va boshqalarga qadar. Bu oddiy DNS so'rovlaridan tortib shifrlangan SSH seanslari, HTTPS ulanishlari, FTP o'tkazmalari yoki Internet telefoniyasidan SIP trafigiga qadar tarmoq trafigining barcha turlarini tekshirishingiz mumkin degan ma'noni anglatadi.

Bundan tashqari, Wireshark tcpdump (libpcap), pcapng va boshqalar kabi standart suratga olish formatlarini qo'llab-quvvatlaydi., va joyni tejash uchun GZIP yordamida skrinshotlarni tezda siqish va ochish imkonini beradi. Shifrlangan trafik uchun (TLS/SSL, IPsec, WPA2 va boshqalar), agar sizda to'g'ri kalitlar bo'lsa, siz hatto ma'lumotlarning shifrini ochishingiz va uning asl mazmunini ko'rishingiz mumkin.

Trafikni batafsil suratga olish: qo'shimcha tavsiyalar

Har qanday muhim suratga olishni boshlashdan oldin, to'plangan ma'lumotlarning foydaliligini oshirish uchun ushbu protokolga amal qiling.:

• To'g'ri interfeysni tanlang: Odatda faol adapteringiz siz foydalanayotgan ulanish uchun mos keladi. Agar shubhangiz bo'lsa, Windows tarmoq sozlamalaridan qaysi biri ulanganligini tekshiring.
• Prepara la escena: Faqat tahlil qilmoqchi bo'lgan trafikni yaratadigan dasturlar yoki ilovalarni oching.
• Fenomenni ajratib olingAgar siz ilovalar trafigini tahlil qilmoqchi bo'lsangiz, quyidagi ketma-ketlikni bajaring: yozib olishni boshlaganingizdan so'ng ilovani ishga tushiring, tahlil qilmoqchi bo'lgan amalni bajaring va yozishni to'xtatishdan oldin ilovani yoping.
• Guarda la captura: Yozishni to‘xtating, Fayl > Saqlash bo‘limiga o‘ting va .pcap yoki o‘zingiz yoqtirgan formatni tanlang.

Así conseguirás toza va fayllarni tahlil qilish oson, hech qanday keraksiz trafik aralashmasdan.

Tasviriy misollar: Wireshark yordamida trafik tahlili

Aytaylik, sizning mahalliy tarmog'ingizda ikkita kompyuteringiz bor va ulardan biri Internetga kirishni to'xtatadi. Siz ushbu mashinadan trafikni olish uchun Wireshark-dan foydalanishingiz mumkin. va DNS manzillarini hal qilishda xatolik bor-yo'qligini, paketlar marshrutizatorga etib bormayotganligini yoki xavfsizlik devori aloqani to'sib qo'yganligini tekshiring.

Boshqa odatiy holat: veb-sayt sizning loginingizni to'g'ri shifrlamaganligini aniqlang. Agar siz HTTPS-siz veb-saytga kirsangiz va foydalanuvchi nomingiz bilan birlashtirilgan HTTP filtrini qo'llasangiz, hatto parolingiz tarmoq bo'ylab aniq harakatlanayotganini ko'rishingiz mumkin, bu xavfli veb-saytlar xavfining haqiqiy namoyishi.

Wireshark va xavfsizlik: xavflar, hujumlar va himoya choralari

Wiresharkning kuchi ham uning eng katta xavfi hisoblanadi: Noto'g'ri qo'llarda, u hisobga olish ma'lumotlarini qo'lga kiritish, josuslik qilish yoki nozik ma'lumotlarni oshkor qilishni osonlashtirishi mumkin.. Bu erda ba'zi tahdidlar va tavsiyalar:

• Hisob ma'lumotlarini to'ldirish (hisob ma'lumotlarini qo'pol kuch hujumlari): Agar siz SSH, Telnet yoki boshqa xizmat trafigini qo'lga kiritsangiz, avtomatik kirish urinishlarini kuzatishingiz mumkin. Uzoqroq seanslarga (ular odatda muvaffaqiyatli bo'ladi), paket o'lchamlariga va shubhali naqshlarni aniqlashga urinishlar soniga e'tibor bering.
• Tashqi trafik xavfi: Ichki tarmog'ingizdan kelmaydigan barcha SSH trafigini filtrlang: agar siz tashqaridan ulanishlarni ko'rsangiz, hushyor bo'ling!
• Oddiy matn parollari: Agar veb-sayt shifrlanmagan foydalanuvchi nomlari va parollarni uzatsa, uni skrinshotda ko'rasiz. Chet el tarmoqlarida ushbu ma'lumotlarni olish uchun hech qachon Wireshark-dan foydalanmang. Ruxsatsiz buni qilish noqonuniy ekanligini unutmang.
• Rozilik va qonuniylik: Faqat o'z tarmoqlaridan yoki aniq avtorizatsiya bilan trafikni tahlil qiladi. Qonun bu borada juda aniq va noto'g'ri foydalanish jiddiy oqibatlarga olib kelishi mumkin.
• Transparencia y ética: Agar siz korporativ muhitda ishlasangiz, foydalanuvchilarga tahlil va uning maqsadi haqida xabar bering. Maxfiylikni hurmat qilish texnik xavfsizlik kabi muhimdir.

Wireshark alternativalari: Tarmoq tahlilining boshqa variantlari

Wireshark - bu shubhasiz ma'lumot, ammo uni to'ldirishi yoki muayyan vaziyatlarda foydalanishni o'zgartirishi mumkin bo'lgan boshqa vositalar mavjud:

• Tcpdump: Unix/Linux muhitlari uchun ideal, buyruq satrida ishlaydi. Tez suratga olish yoki avtomatlashtirilgan vazifalar uchun engil, tez va moslashuvchan.
• Cloudshark: Brauzerdan paketli tasvirlarni yuklash, tahlil qilish va almashish uchun veb-platforma. Hamkorlik muhiti uchun juda foydali.
• SmartSniff: Windows operatsion tizimiga qaratilgan bo'lib, mijozlar va serverlar o'rtasidagi suhbatlarni spot tasvirga olish va ko'rish uchun foydalanish oson.
• ColaSoft Capsa: O'z interfeysining soddaligi va portni skanerlash, eksport qilish va ixcham vizualizatsiya qilishning o'ziga xos imkoniyatlari bilan ajralib turadigan grafik tarmoq analizatori.

Eng yaxshi variantni tanlash sizning shaxsiy ehtiyojlaringizga bog'liq.: tezlik, grafik interfeys, onlayn hamkorlik yoki muayyan apparat bilan moslik.

Kengaytirilgan sozlamalar: Noxush rejim, monitor va ismni aniqlash

Promiscuous rejimi tarmoq kartasini qo'lga olish imkonini beradi nafaqat uning uchun mo'ljallangan paketlar, balki u bog'langan tarmoq orqali aylanadigan barcha trafik. Bu korporativ tarmoqlar, umumiy markazlar yoki pentesting stsenariylarini tahlil qilish uchun juda muhimdir.

Windows-da, o'ting Rasmga olish > Variantlar, interfeysni tanlang va promiscuous rejimi qutisini belgilang. Yodda tutingki, Wi-Fi tarmoqlarida, juda aniq uskunadan tashqari, siz faqat o'z qurilmangizdan trafikni ko'rasiz.

Boshqa tarafdan, Nom o'lchamlari IP manzillarni o'qilishi mumkin bo'lgan domen nomlariga aylantiradi (masalan, google-public-dns-a.google.com saytida 8.8.8.8). Siz ushbu parametrni Tahrirlash > Afzalliklar > Nom rezolyutsiyasi orqali yoqishingiz yoki o‘chirib qo‘yishingiz mumkin. Bu skanerlash paytida qurilmalarni aniqlashda juda ko'p yordam beradi, garchi ko'plab manzillar hal qilinsa, jarayonni sekinlashtirishi mumkin.