Tarmoq muammolarini aniqlash uchun Wireshark-dan qanday foydalanish kerak

Agar siz tarmoq, xavfsizlik yoki ishlab chiqish sohasida ishlasangiz va kabellar va Wi-Fi tarmog‘ida nima sodir bo‘layotganini tushunmoqchi bo‘lsangiz, u bilan ishlang. Wireshark Bu muhim element. Bu ochiq kodli paket analizatori Jarrohlik aniqligi bilan paket darajasida trafikni qo'lga olish, ajratish va o'rganish imkonini beruvchi o'n yillik evolyutsiya bilan.

Ushbu maqolada biz uni chuqur tahlil qilamiz: litsenziyasi va homiyligidan tortib GNU/Linux-dagi paketlariga, jumladan, konsol yordam dasturlari, qo'llab-quvvatlanadigan formatlar, kompilyatsiya talablari, suratga olish ruxsatnomalari va haqiqatan ham to'liq tarixiy va funktsional sharh.

Wireshark nima va u bugungi kunda nima uchun ishlatiladi?

Aslini olganda, Wireshark a protokol analizatori va trafikni ushlash qurilmasi Bu sizga interfeysni promiscuous yoki monitor rejimiga qo'yish (agar tizim uni qo'llab-quvvatlasa) va Mac-ga yuborilmaydigan ramkalarni ko'rish, suhbatlarni tahlil qilish, oqimlarni, paketlarni qoidalarga muvofiq qayta qurish va juda ifodali displey filtrlarini qo'llash imkonini beradi. Bundan tashqari, TSharkni o'z ichiga oladi (terminal versiyasi) va skrinshotlarni qayta tartiblash, bo'lish, birlashtirish va aylantirish kabi vazifalar uchun yordamchi dasturlar to'plami.

Uning ishlatilishi tcpdump-ni eslatsa-da, u Qt-ga asoslangan zamonaviy grafik interfeysni taqdim etadi. filtrlash, saralash va chuqur ajratish minglab protokollar uchun. Agar siz kommutatorda bo'lsangiz, esda tutingki, behayo rejim sizga barcha trafikni ko'rishingizni kafolatlamaydi: to'liq stsenariylar uchun sizga portni aks ettirish yoki tarmoq teginish kerak bo'ladi, ularning hujjatlarida ham eng yaxshi amaliyot sifatida eslatib o'tiladi.

Litsenziya, asos va rivojlanish modeli

Wireshark ostida tarqatiladi GNU GPL v2 va ko'p joylarda "GPL v2 yoki undan keyingi" sifatida. Manba kodidagi ba'zi yordamchi dasturlar GPLv3+ bilan pidl asbobi kabi turli, ammo mos keluvchi litsenziyalar ostida litsenziyalangan, bu esa analizatorning natijaviy binarligiga ta'sir qilmaydi. Hech qanday aniq yoki nazarda tutilgan kafolat yo'q; bepul dasturiy ta'minot bilan odatdagidek, o'zingizning xavf-xataringiz ostida foydalaning.

La Wireshark fondi U ishlab chiqish va tarqatishni muvofiqlashtiradi. U ishi Wireshark-ga asoslangan shaxslar va tashkilotlarning xayriyalariga tayanadi. Loyiha minglab ro'yxatdan o'tgan mualliflar va Jerald Kombs, Gilbert Ramires va Gay Xarris kabi tarixiy shaxslar bilan faxrlanadi, uning eng taniqli tarafdorlari orasida.

Wireshark Linux, Windows, macOS va boshqa Unix-ga o'xshash tizimlarda (BSD, Solaris va boshqalar) ishlaydi. Rasmiy paketlar Windows va macOS uchun chiqariladi va GNU/Linux-da u odatda Debian, Ubuntu, Fedora, CentOS, RHEL, Arch, Gentoo, openSUSE, FreeBSD, DragonFly BSD, NetBSD va OpenBSD kabi distributivlarga standart yoki qoʻshimcha paket sifatida kiritiladi. kabi uchinchi tomon tizimlarida ham mavjud Homebrew, MacPorts, pkgsrc yoki OpenCSW.

Koddan kompilyatsiya qilish uchun sizga Python 3 kerak bo'ladi; Hujjatlar uchun AsciiDoctor; va Perl va GNU flex kabi vositalar (klassik lex ishlamaydi). CMake-dan foydalangan holda konfiguratsiya sizga maxsus yordamni yoqish yoki o'chirish imkonini beradi, masalan, siqish kutubxonalari -DENABLE_ZLIB=OFF, -DENABLE_LZ4=OFF yoki -DENABLE_ZSTD=OFF, yoki libsmi-ni -DENABLE_SMI=OFF bilan qo'llab-quvvatlang, agar siz MIB-larni yuklamaslikni xohlasangiz.

Debian-ga asoslangan tizimlardagi paketlar va kutubxonalar

Debian/Ubuntu va lotin muhitlarida Wireshark ekotizimlari quyidagilarga bo'linadi. bir nechta paketlarQuyida xususiyatlar, taxminiy o'lchamlar va bog'liqliklar bilan taqsimlanadi. Ushbu paketlar sizga to'liq grafik interfeysdan kutubxonalar va o'z ilovalaringizga dissektsiyalarni integratsiya qilish uchun ishlab chiqish vositalarini tanlash imkonini beradi.

wireshark

Qt interfeysi bilan trafikni olish va tahlil qilish uchun grafik dastur. Taxminiy hajmi: 10.59 MB. Ob'ekt: sudo apt install wireshark

Uning ishga tushirish variantlari orasida siz interfeysni tanlash uchun parametrlarni topasiz (-i), tortish filtrlari (-f), surat chegarasi, monitor rejimi, havola turlari roʻyxati, displey filtrlari (-Y), "Decode As" va afzalliklar, shuningdek, faylning chiqish formatlari va sharhlarni yozib olish. Ilova ham imkon beradi konfiguratsiya profilini yaratish va statistika interfeysdan ilg'or xususiyatlar.

Akula

Buyruqlar qatorini yozib olish va tahlil qilish uchun konsol versiyasi. Taxminiy hajmi: 429 KB. Ob'ekt: sudo apt install tshark

U interfeyslarni tanlash, suratga olish va ko‘rsatish filtrlarini qo‘llash, to‘xtatish shartlarini (vaqt, o‘lcham, paketlar soni) aniqlash, aylana buferlardan foydalanish, chop etish tafsilotlari, hex va JSON dumplaridan foydalanish hamda TLS obyektlari va kalitlarini eksport qilish imkonini beradi. Shuningdek, u mos keladigan terminalda chiqishni ranglashi mumkin. jurnal jurnalini sozlash domenlar va tafsilot darajalari bo'yicha. Agar yadro darajasida BPF JIT ni yoqsangiz, ehtiyot bo'ling, chunki bu xavfsizlikka ta'sir qilishi mumkin.

wireshark - umumiy

Wireshark va tshark uchun umumiy fayllar (masalan, lug'atlar, konfiguratsiyalar va chiziqli yordamchi dasturlar). Taxminiy hajmi: 1.62 MB. Ob'ekt: sudo apt install wireshark-common

Ushbu paketga kabi yordamchi dasturlar kiradi capinfos (fayl ma'lumotlarini yozib olish: turi, inkapsulyatsiyasi, davomiyligi, stavkalari, o'lchamlari, xeshlari va sharhlari), captype (fayl turlarini aniqlang), dumpcap (avtostop va dumaloq buferlar bilan pcapng/pcap ishlatadigan engil suratga olish qurilmasi), tahrirlash (tasvirlarni tahrirlash/bo'lish/o'zgartirish, vaqt belgilarini sozlash, dublikatlarni olib tashlash, sharhlar yoki sirlarni qo'shish), birlashma (bir nechta tasvirni birlashtirish yoki birlashtirish), mmdbresolve (MMDB ma'lumotlar bazalari yordamida IP geolokatsiyasini hal qilish), randpkt (ko'p protokolli sintetik paket generatori), xom shark (dala chiqishi bilan xom parchalanish), reordercap (vaqt tamg'asi bo'yicha qayta tartiblash), sharkd (qo'lga olishni qayta ishlash uchun API bilan xizmat ko'rsatish) va text2pcap (hexdumps yoki tuzilgan matnni haqiqiy suratga olishga aylantirish).

libwireshark18 va libwireshark-ma'lumotlar

Markaziy paketlarni ajratish kutubxonasi. Wireshark/TShark tomonidan ishlatiladigan protokol analizatorlarini taqdim etadi. Kutubxonaning taxminiy hajmi: 126.13 MB. Ob'ekt: sudo apt install libwireshark18 y sudo apt install libwireshark-data

U juda ko'p sonli protokollar va variantlarni qo'llab-quvvatlashni o'z ichiga oladi, masalan, interfeys yoki buyruq satridan ma'lum qismlarga ajratish, evristika va "Shunday dekodlash" ni yoqish yoki o'chirish; shu tufayli, siz moslashtira olasiz haqiqiy trafikni ajratish atrofingizdan.

libwiretap15 va libwiretap-dev

Wiretap - bu bir nechta yozib olish fayl formatlarini o'qish va yozish uchun kutubxona. Uning kuchli tomonlari - qo'llab-quvvatlaydigan formatlarning xilma-xilligi; uning cheklovlari quyidagilardir: U filtrlamaydi yoki to'g'ridan-to'g'ri suratga olishni amalga oshirmaydi.. Ob'ekt: sudo apt install libwiretap15 y sudo apt install libwiretap-dev

-dev varianti o'qish/yozish operatsiyalarini asboblaringizga birlashtirish uchun statik kutubxona va C sarlavhalarini taqdim etadi. Bu sizga ma'lumotlarni manipulyatsiya qiladigan yordamchi dasturlarni ishlab chiqish imkonini beradi. pcap, pcapng va boshqa konteynerlar o'z quvurlarimizning bir qismi sifatida.

libwsutil16 va libwsutil-dev

Wireshark va tegishli kutubxonalar tomonidan baham ko'rilgan yordamchi dasturlar to'plami: string manipulyatsiyasi, buferlash, shifrlash va boshqalar uchun yordamchi funktsiyalar. O'rnatish: sudo apt install libwsutil16 y sudo apt install libwsutil-dev

-dev to'plami sarlavhalar va statik kutubxonani o'z ichiga oladi, shuning uchun tashqi ilovalar umumiy yordamchi dasturlarni g'ildiraklarni qayta o'rnatmasdan bog'lashi mumkin. ning asosidir bir nechta umumiy funktsiyalar Wireshark va TShark dan foydalanadi.

wireshark-dev

Yangi "disektorlar" yaratish uchun asboblar va fayllar. U idl2wrs kabi skriptlarni, shuningdek kompilyatsiya va sinov uchun bog'liqliklarni taqdim etadi. Taxminiy hajmi: 621 KB. Ob'ekt: sudo apt install wireshark-dev

kabi kommunal xizmatlarni o'z ichiga oladi asn2deb (ASN.1 dan BER monitoringi uchun Debian paketlarini yaratadi) va idl2deb (CORBA uchun paketlar). Va, eng avvalo, idl2wrsUshbu vosita GIOP/IIOP trafigini ajratish uchun CORBA IDL-ni C plaginining skeletiga aylantiradi. Ushbu ish jarayoni Python skriptlariga (wireshark_be.py va wireshark_gen.py) tayanadi va sukut bo'yicha evristik disektsiyani qo'llab-quvvatlaydi. Asbob o'z modullarini ichidan qidiradi PYTHONPATH/sayt paketlari yoki joriy katalogda va kodni yaratish uchun faylni qayta yo'naltirishni qabul qiladi.

wireshark-doc

Foydalanuvchi hujjatlari, ishlab chiqish bo'yicha qo'llanma va Lua ma'lumotnomasi. Taxminiy hajmi: 13.40 MB. Ob'ekt: sudo apt install wireshark-doc

Agar siz chuqurroq o'rganmoqchi bo'lsangiz, tavsiya etiladi kengaytmalar, skriptlar va APIRasmiy veb-saytdagi onlayn hujjatlar har bir barqaror versiya bilan yangilanadi.

Qo'lga olish va xavfsizlik ruxsatnomalari

Ko'pgina tizimlarda to'g'ridan-to'g'ri qo'lga olish yuqori imtiyozlarni talab qiladi. Shu sababli, Wireshark va TShark vakillari uchinchi tomon xizmatiga murojaat qilishadi. dumpcapHujum yuzasini minimallashtirish uchun imtiyozlar (to'siq-UID yoki imkoniyatlar) bilan ishlash uchun mo'ljallangan ikkilik. Butun GUI-ni root sifatida ishlatish yaxshi amaliyot emas; dumpcap yoki tcpdump bilan suratga olish va xavflarni kamaytirish uchun imtiyozlarsiz tahlil qilish afzalroqdir.

Loyihaning tarixi yillar davomida dissektorlarda sodir bo'lgan xavfsizlik hodisalarini o'z ichiga oladi va OpenBSD kabi ba'zi platformalar shu sababli eski Ethereal nusxasini bekor qildi. Joriy model bilan, qo'lga olishdan izolyatsiya qilish va doimiy yangilanishlar vaziyatni yaxshilaydi, ammo har doim tavsiya etiladi. xavfsizlik ko'rsatmalariga rioya qiling Va agar siz shubhali faoliyatni aniqlasangiz, buni qanday qilishni biling shubhali tarmoq ulanishlarini bloklash va oldindan ko'rib chiqmasdan ishonchsiz skrinshotlarni ochishdan saqlaning.

Fayl formatlari, siqish va maxsus shriftlar

Wireshark pcap va pcapng, shuningdek snoop, Network General Sniffer, Microsoft Network Monitor va yuqorida Wiretap tomonidan sanab o'tilgan boshqa analizatorlar formatlarini o'qiydi va yozadi. Agar ular pcapng uchun kutubxonalar bilan tuzilgan bo'lsa, u siqilgan fayllarni ochishi mumkin. GZIP, LZ4 va ZSTDXususan, mustaqil bloklarga ega GZIP va LZ4 tez sakrash imkonini beradi, katta hajmdagi suratlarda GUI ish faoliyatini yaxshilaydi.

Loyiha hujjatlarida AIX iptrace (daemonga HUP toza yopiladi), Lucent/Ascend izlarini qo‘llab-quvvatlash, Toshiba ISDN yoki CoSine L2 kabi xususiyatlar va faylga matn chiqishini qanday suratga olishni ko‘rsatadi (masalan, telnet <equipo> | tee salida.txt yoki asbobdan foydalanish stsenariy) keyinroq text2pcap bilan import qilish uchun. Bu yo'llar sizni yo'ldan olib chiqadi "an'anaviy" suratga olish to'g'ridan-to'g'ri pcap ga tegmaydigan uskunadan foydalanganda.

Suite yordam dasturlari va opsiya toifalari

Wireshark va TShark-dan tashqari, tarqatish o'z ichiga oladi juda aniq vazifalarni qamrab oladigan bir nechta vositalarYordam matnini so‘zma-so‘z nusxa ko‘chirmasdan, bu yerda toifalar bo‘yicha tuzilgan xulosa berilgan, shunda ularning har biri nima qilishini va qanday variantlarni topishingiz mumkinligini bilib olasiz:

• dumpcap: "sof va oddiy" pcap/pcapng suratga olish, interfeys tanlash, BPF filtrlari, bufer o'lchami, vaqt/hajm/fayllar bo'yicha aylanish, halqa buferlarini yaratish, yozib olish sharhlari va formatda chiqish mashinada o'qilishi mumkinPotentsial xavflar tufayli BPF JIT-ni faollashtirishdan ogohlantiradi.
• capinfosU fayl turini, inkapsulyatsiyani, interfeyslarni va metama'lumotlarni ko'rsatadi; paketlar soni, fayl hajmi, umumiy uzunligi, surat chegarasi, xronologiya (birinchi/oxirgi), o'rtacha stavkalar (bps/Bps/pps), o'rtacha paket hajmi, xeshlar va sharhlar. Bu jadval yoki batafsil chiqish va mashinada o'qiladigan formatlarga imkon beradi.
• captype: yordam va versiya opsiyalari bilan bir yoki bir nechta yozuvlar uchun yozib olish fayli turini aniqlaydi.
• tahrirlashU paketlar diapazonlarini tanlaydi/o‘chiradi, kesadi/kesadi, vaqt belgilarini sozlaydi (shu jumladan qat’iy tartib), sozlanishi oynalar bilan dublikatlarni olib tashlaydi, har bir freymga izoh qo‘shadi, chiqishni raqam yoki vaqt bo‘yicha ajratadi, konteyner va inkapsulyatsiyani o‘zgartiradi, shifrni ochish sirlari bilan ishlaydi va chiqishni siqadi. Bu tasvirlarni "tozalash" uchun universal vositadir.
• birlashma: chiziqli birlashtirish yoki vaqt tamg'asiga asoslangan aralashtirish orqali bir nechta suratga olishni birlashtiradi, snaplenni boshqaradi, chiqish turini, IDB birlashtirish rejimini va yakuniy siqishni belgilaydi.
• reordercap: faylni vaqt tamg'asi bo'yicha qayta tartiblaydi va toza chiqishni yaratadi va agar u tartiblangan bo'lsa, I/U saqlash uchun natijani yozishdan qochadi.
• text2pcap: hexdumps yoki regexli matnni haqiqiy suratga olishga aylantiradi; turli ma'lumotlar bazalaridagi ofsetlarni, strptime formatlari (jumladan, kasr aniqligi) bilan vaqt belgilarini taniydi, agar mavjud bo'lsa, biriktirilgan ASCII ni aniqlaydi va "so'qmoq" sarlavhalarini (Ethernet, IPv4/IPv6, UDP/TCP/SCTP, EXPORTED_PDU) oldiga qo'yishi mumkin. portlar, manzillar va teglar ko'rsatilgan.
• xom shark: "xom" dalaga yo'naltirilgan o'quvchi; inkapsulyatsiya yoki dissektsiya protokolini o'rnatish, nom ruxsatini o'chirish, o'qish/ko'rsatish filtrlarini o'rnatish va boshqa vositalar bilan quvur liniyasi uchun foydali bo'lgan maydon chiqish formatini tanlash imkonini beradi.
• randpktARP, BGP, DNS, Ethernet, IPv4/IPv6, ICMP, TCP/UDP, SCTP, Syslog, USB-Linux va boshqalar kabi tasodifiy paketlar bilan hisob qaydnomasi, maksimal hajmi va konteynerini ko'rsatadigan fayllarni yaratadi. uchun ideal testlar va demolar.
• mmdbresolve: Bir yoki bir nechta maʼlumotlar bazasi fayllarini koʻrsatib, IPv4/IPv6 manzillarining geolokatsiyasini koʻrsatish uchun MaxMind maʼlumotlar bazalarini (MMDB) soʻrang.
• sharkd: API ("oltin" rejimi) yoki klassik rozetkani ("klassik" rejimi) ochib beruvchi demon; konfiguratsiya profillarini qo'llab-quvvatlaydi va avtomatlashtirish va xizmatlarda foydali bo'lgan server tomonida ajratish va qidirish uchun mijozlar tomonidan boshqariladi.

Arxitektura, xususiyatlar va cheklovlar

Wireshark suratga olish uchun libpcap/Npcap va diseksiyon, formatlar va yordamchi dasturlarni ajratib turuvchi kutubxonalar ekotizimiga (libwireshark, libwiretap, libwsutil) tayanadi. Bu VoIP qo'ng'iroqlarini aniqlash, qo'llab-quvvatlanadigan kodlashlarda audio tinglash, xom USB trafikni yozib olish va Wi-Fi tarmoqlarida filtrlash imkonini beradi (agar ular kuzatilgan Ethernet orqali o'tsa). yangi protokollar uchun plaginlar C yoki Lua tilida yozilgan. Shuningdek, u boshqa mashinadan real vaqtda tahlil qilish uchun inkapsullangan masofaviy trafikni (masalan, TZSP) qabul qilishi mumkin.

Bu IDS emas va ogohlantirishlar bermaydi; uning roli passiv: u tekshiradi, o'lchaydi va ko'rsatadi. Shunga qaramay, yordamchi vositalar statistika va ish jarayonlarini taʼminlaydi va oʻquv materiallari (jumladan, 2025-yilga moʻljallangan, filtrlar, hidlash, asosiy OS barmoq izlarini olish, real vaqtda tahlil qilish, avtomatlashtirish, shifrlangan trafik va DevOps amaliyotlari bilan integratsiyani oʻrgatuvchi taʼlim dasturlari) tayyor. Ushbu ta'lim jihati asosiy funksionallikni to'ldiradi diagnostika va muammolarni bartaraf etish.

Muvofiqlik va ekotizim

Qurilish va sinov platformalari o'z ichiga oladi Linux (Ubuntu), Windows va macOSLoyiha, shuningdek, Unix-ga o'xshash qo'shimcha tizimlar bilan keng moslik va uchinchi tomon menejerlari orqali tarqatish haqida gapiradi. Ba'zi hollarda, eski OS versiyalari oldingi filiallarni talab qiladi (masalan, 1.10 yoki undan oldingi versiyali Windows XP). Umuman olganda, siz ko'pgina muhitlarda rasmiy omborlardan yoki ikkilik fayllardan katta muammolarsiz o'rnatishingiz mumkin.

Ular tarmoq simulyatorlari (ns, OPNET Modeler) bilan integratsiyalashgan va uchinchi tomon vositalari (masalan, 802.11 uchun Aircrack) Wireshark qiyinchiliksiz ochadigan suratga olish uchun ishlatilishi mumkin. Nomidan qat'iy qonuniylik va axloqFaqat avtorizatsiyaga ega bo'lgan tarmoqlar va stsenariylarda suratga olishni unutmang.

Ism, rasmiy veb-saytlar va nazorat ma'lumotlari

Rasmiy veb-sayti wireshark.orguning /download pastki katalogidagi yuklamalar va foydalanuvchilar va ishlab chiquvchilar uchun onlayn hujjatlar bilan. bilan sahifalar mavjud hokimiyat nazorati (masalan, GND) va kodlar ombori, xato kuzatuvchisi va loyiha blogiga havolalar roʻyxati, yangiliklardan xabardor boʻlish va hisobot berish muammolari.

Suratga olishni boshlashdan oldin tizimingizning ruxsatlari va imkoniyatlarini tekshiring, diskka tushirish va imtiyozlarsiz tahlil qilish uchun dumpcap/tcpdump dan foydalanasizmi yoki yo‘qmi, qaror qabul qiling va maqsadingizga mos suratga olish va ko‘rsatish filtrlarini tayyorlang. Yaxshi metodologiya bilan Wireshark kompleksni soddalashtiradi va sizga to'g'ri ma'lumot beradi. Sizga kerak bo'lgan ko'rinish diagnostika qilish, o'rganish yoki har qanday o'lchamdagi tarmoqlarni tekshirish.

Tegishli maqola:

Xakerlikdan keyingi dastlabki 24 soat ichida nima qilish kerak: mobil, shaxsiy kompyuter va onlayn hisoblar

Daniel Terrasa

Turli raqamli ommaviy axborot vositalarida o'n yildan ortiq tajribaga ega texnologiya va internet masalalariga ixtisoslashgan muharrir. Men elektron tijorat, aloqa, onlayn marketing va reklama kompaniyalarida muharrir va kontent yaratuvchisi sifatida ishlaganman. Iqtisodiyot, moliya va boshqa sohalar veb-saytlarida ham yozganman. Mening ishim ham mening ishtiyoqim. Endi mening maqolalarim orqali Tecnobits, Men hayotimizni yaxshilash uchun har kuni texnologiya olami bizga taqdim etayotgan barcha yangiliklar va yangi imkoniyatlarni o‘rganishga harakat qilaman.