Как читать пакеты в Wireshark

Для многих ИТ-специалистов Wireshark — это инструмент для анализа сетевых пакетов. Программное обеспечение с открытым исходным кодом позволяет вам тщательно изучить собранные данные и определить корень проблемы с повышенной точностью. Кроме того, Wireshark работает в режиме реального времени и использует цветовое кодирование для отображения захваченных пакетов, среди других отличных механизмов.

В этом руководстве мы объясним, как захватывать, читать и фильтровать пакеты с помощью Wireshark. Ниже вы найдете пошаговые инструкции и разбивку основных функций сетевого анализа. Как только вы освоите эти основные шаги, вы сможете более эффективно проверять поток трафика в вашей сети и устранять неполадки.

Анализ пакетов

Как только пакеты перехвачены, Wireshark упорядочивает их в панели подробного списка пакетов, которую невероятно легко читать. Если вы хотите получить доступ к информации об одном пакете, все, что вам нужно сделать, это найти его в списке и щелкнуть. Вы также можете расширить дерево, чтобы получить доступ к деталям каждого протокола, содержащегося в пакете.

Для более полного обзора вы можете отобразить каждый захваченный пакет в отдельном окне. Вот как:

как избежать обновления Windows 10

1. Выберите пакет из списка с помощью курсора, затем щелкните правой кнопкой мыши.
   
2. Откройте вкладку «Вид» на панели инструментов выше.
   
3. Выберите «Показать пакет в новом окне» в раскрывающемся меню.
   

Примечание. Сравнивать захваченные пакеты гораздо проще, если вы откроете их в отдельных окнах.

Как уже упоминалось, Wireshark использует систему цветового кодирования для визуализации данных. Каждый пакет помечен своим цветом, который представляет разные типы трафика. Например, TCP-трафик обычно выделяется синим цветом, а черный используется для обозначения пакетов, содержащих ошибки.

Конечно, вам не нужно запоминать значение каждого цвета. Вместо этого вы можете проверить на месте:

1. Щелкните правой кнопкой мыши пакет, который вы хотите изучить.
   
2. Выберите вкладку «Вид» на панели инструментов в верхней части экрана.
   
3. Выберите «Правила раскраски» в раскрывающемся списке.
   

Вы увидите возможность настроить раскраску по своему вкусу. Однако, если вы хотите временно изменить правила раскраски, выполните следующие действия:

1. Щелкните правой кнопкой мыши пакет в панели списка пакетов.
2. В списке параметров выберите Раскрасить с помощью фильтра.
   
3. Выберите цвет, которым вы хотите пометить его.
   

Число

Панель списка пакетов покажет вам точное количество захваченных битов данных. Поскольку пакеты организованы в несколько столбцов, их довольно легко интерпретировать. Категории по умолчанию:

• No. (Число): Как уже упоминалось, в этом столбце можно найти точное количество захваченных пакетов. Цифры останутся прежними даже после фильтрации данных.
• Время: как вы уже догадались, здесь отображается временная метка пакета.
• Источник: показывает, откуда пришел пакет.
• Место назначения: показывает место, где будет храниться пакет.
• Протокол: отображает имя протокола, обычно в виде аббревиатуры.
• Длина: показывает количество байтов, содержащихся в захваченном пакете.
• Информация: столбец содержит любую дополнительную информацию о конкретном пакете.

Время

Поскольку Wireshark анализирует сетевой трафик, каждому захваченному пакету присваивается отметка времени. Временные метки затем включаются в панель списка пакетов и доступны для последующего просмотра.

Wireshark не создает метки времени самостоятельно. Вместо этого инструмент-анализатор получает их из библиотеки Npcap. Однако источником метки времени на самом деле является ядро. Вот почему точность метки времени может варьироваться от файла к файлу.

Вы можете выбрать формат, в котором временные метки будут отображаться в списке пакетов. Кроме того, вы можете установить предпочтительную точность или количество отображаемых десятичных разрядов. Помимо настройки точности по умолчанию, есть также:

• Секунды
• Десятые доли секунды
• Сотые доли секунды
• Миллисекунды
• Микросекунды
• Наносекунды

Источник

Как следует из названия, источником пакета является место происхождения. Если вы хотите получить исходный код репозитория Wireshark, вы можете загрузить его с помощью клиента Git. Однако этот метод требует наличия учетной записи GitLab. Можно и без него, но лучше на всякий случай зарегистрироваться.

После того, как вы зарегистрировали учетную запись, выполните следующие действия:

1. Убедитесь, что Git работает, используя эту команду: |_+_|
   
2. Дважды проверьте, настроены ли ваш адрес электронной почты и имя пользователя.
3. Затем сделайте клон исходного кода Workshark. Используйте |_+_| URL-адрес SSH для копирования.
4. Если у вас нет учетной записи GitLab, попробуйте URL-адрес HTTPS: |_+_|
   

Все исходники впоследствии будут скопированы на ваше устройство. Имейте в виду, что клонирование может занять некоторое время, особенно если у вас медленное сетевое соединение.

Назначения

Если вы хотите узнать IP-адрес получателя определенного пакета, вы можете использовать фильтр отображения, чтобы найти его. Вот как:

1. Введите |_+_| в поле фильтра Wireshark. Затем нажмите «Ввод».
   
2. Панель списка пакетов будет перенастроена только для отображения адресата пакета. Найдите интересующий вас IP-адрес, прокрутив список.
   
3. Когда вы закончите, выберите «Очистить» на панели инструментов, чтобы перенастроить панель списка пакетов.

Протокол

Протокол — это руководство, определяющее передачу данных между различными устройствами, подключенными к одной и той же сети. Каждый пакет Wireshark содержит протокол, и вы можете вызвать его с помощью фильтра отображения. Вот как:

1. В верхней части окна Wireshark щелкните диалоговое окно «Фильтр».
2. Введите имя протокола, который вы хотите изучить. Обычно названия протоколов пишутся строчными буквами.
3. Нажмите «Ввод» или «Применить», чтобы включить фильтр отображения.

Длина

Длина пакета Wireshark определяется количеством байтов, захваченных в этом конкретном фрагменте сети. Это число обычно соответствует количеству байтов необработанных данных, перечисленных в нижней части окна Wireshark.

Если вы хотите изучить распределение длин, откройте окно Packet Lengths. Вся информация разбита на следующие столбцы:

• Длина пакета
• Считать
• Средний
• Мин. значение / Макс. значение
• Ставка
• Процентов
• Пиковая скорость
• Взрывной старт

Информация

Если в конкретном захваченном пакете есть какие-либо аномалии или подобные элементы, Wireshark заметит это. Затем информация будет отображаться на панели списка пакетов для дальнейшего изучения. Таким образом, у вас будет четкая картина нетипичного поведения сети, что приведет к более быстрой реакции.

Дополнительные часто задаваемые вопросы

Как фильтровать пакетные данные?

Фильтрация — это эффективная функция, позволяющая изучить особенности конкретной последовательности данных. Существует два типа фильтров Wireshark: захват и отображение. Фильтры захвата предназначены для ограничения захвата пакетов в соответствии с конкретными требованиями. Другими словами, вы можете просеивать различные типы трафика, применяя фильтр захвата. Как следует из названия, фильтры отображения позволяют оттачивать определенный элемент пакета, от длины пакета до протокола.

Применение фильтра — довольно простой процесс. Вы можете ввести название фильтра в диалоговом окне в верхней части окна Wireshark. Кроме того, программа обычно автоматически дополняет имя фильтра.

В качестве альтернативы, если вы хотите просмотреть стандартные фильтры Wireshark, сделайте следующее:

1. Откройте вкладку «Анализ» на панели инструментов в верхней части окна Wireshark.

как удалить сразу все фото в инстаграм

2. В раскрывающемся списке выберите Фильтр отображения.

3. Просмотрите список и нажмите на тот, который вы хотите применить.

Наконец, вот несколько распространенных фильтров Wireshark, которые могут пригодиться:

• Чтобы просмотреть только исходный и целевой IP-адреса, используйте: |_+_|

• Чтобы просмотреть только SMTP-трафик, введите: |_+_|

• Чтобы захватить весь трафик подсети, примените: |_+_|

• Чтобы захватить все, кроме трафика ARP и DNS, используйте: |_+_|

Как захватить данные пакета в Wireshark?

После того, как вы загрузили Wireshark на свое устройство, вы можете начать отслеживать свое сетевое соединение. Чтобы захватить пакеты данных для всестороннего анализа, вот что вам нужно сделать:

1. Запустите Wireshark. Вы увидите список доступных сетей, поэтому нажмите на ту, которую хотите изучить. Вы также можете применить фильтр захвата, если хотите точно определить тип трафика.

2. Если вы хотите проверить несколько сетей, используйте Shift + щелчок левой кнопкой мыши.

3. Затем щелкните крайний левый значок плавника акулы на панели инструментов выше.

4. Вы также можете начать захват, щелкнув вкладку «Захват» и выбрав «Начать» в раскрывающемся списке.

5. Еще один способ сделать это — использовать сочетание клавиш Control — E.

Когда программное обеспечение захватит данные, вы увидите, что они появляются на панели списка пакетов в режиме реального времени.

Байт акулы

Хотя Wireshark — высокотехнологичный сетевой анализатор, его удивительно легко интерпретировать. Панель списка пакетов чрезвычайно обширна и хорошо организована. Вся информация распределена по семи разным цветам и отмечена четкими цветовыми кодами.

Кроме того, программное обеспечение с открытым исходным кодом поставляется с множеством легко применимых фильтров, облегчающих мониторинг. Включив фильтр захвата, вы можете точно определить, какой трафик вы хотите анализировать Wireshark. И как только данные собраны, вы можете применить несколько фильтров отображения для определенных поисков. В целом, это очень эффективный механизм, который не так уж сложно освоить.

Используете ли вы Wireshark для анализа сети? Что вы думаете о функции фильтрации? Дайте нам знать в комментариях ниже, есть ли полезная функция анализа пакетов, которую мы пропустили.