WireShark: kde stiahnuť zadarmo, inštrukcie v ruštine, manuál. Wireshark: Analýza návštevnosti v Linuxe a Windows Kde stiahnuť WireShark v ruštine

Wireshark je výkonný sieťový analyzátor, ktorý možno použiť na analýzu prevádzky prechádzajúcej cez sieťové rozhranie vášho počítača. Možno ho budete potrebovať na zisťovanie a riešenie problémov so sieťou, ladenie webových aplikácií, sieťových programov alebo stránok. Wireshark vám umožňuje plne zobraziť obsah paketu na všetkých úrovniach, takže môžete lepšie pochopiť, ako sieť funguje na nízkej úrovni.

Všetky pakety sa zachytávajú v reálnom čase a poskytujú sa v ľahko čitateľnom formáte. Program podporuje veľmi výkonný systém filtrovania, farebné zvýraznenie a ďalšie funkcie, ktoré vám pomôžu nájsť tie správne balíčky. V tomto návode sa pozrieme na to, ako používať Wireshark na analýzu návštevnosti. Nedávno vývojári začali pracovať na druhej vetve programu Wireshark 2.0, bolo v nej vykonaných veľa zmien a vylepšení, najmä pre rozhranie. To je to, čo použijeme v tomto článku.

Predtým, ako prejdete k úvahám o spôsoboch analýzy prevádzky, musíte podrobnejšie zvážiť, aké funkcie program podporuje, s akými protokolmi môže pracovať a čo dokáže. Tu sú hlavné funkcie programu:

• Zachyťte pakety v reálnom čase z káblových alebo iných typov sieťových rozhraní, ako aj čítať zo súboru;
• Podporované sú nasledujúce rozhrania na zachytávanie: Ethernet, IEEE 802.11, PPP a lokálne virtuálne rozhrania;
• Pakety je možné filtrovať na základe mnohých parametrov pomocou filtrov;
• Všetky známe protokoly sú v zozname zvýraznené rôznymi farbami, napríklad TCP, HTTP, FTP, DNS, ICMP atď.;
• Podpora zachytávania prevádzky hovorov VoIP;
• Dešifrovanie prenosu HTTPS je podporované, ak je k dispozícii certifikát;
• Dešifrovanie WEP a WPA prevádzky bezdrôtových sietí pomocou kľúča a handshake;
• Zobrazenie štatistík zaťaženia siete;
• Zobrazenie obsahu balíka pre všetky vrstvy siete;
• Zobrazuje čas odoslania a prijatia balíkov.

Program má mnoho ďalších funkcií, no toto boli tie hlavné, ktoré by vás mohli zaujímať.

Ako používať Wireshark

Predpokladám, že program už máte nainštalovaný, no ak nie, môžete si ho nainštalovať z oficiálnych repozitárov. Ak to chcete urobiť, zadajte príkaz v Ubuntu:

sudo apt install wireshark

Po inštalácii nájdete program v hlavnom menu distribúcie. Wireshark musíte spustiť s právami superužívateľa, pretože inak nebude môcť analyzovať sieťové pakety. Môžete to urobiť z hlavného menu alebo cez terminál pomocou príkazu pre KDE:

A pre Gnome/Unity:

Hlavné okno programu je rozdelené na tri časti: prvý stĺpec obsahuje zoznam sieťových rozhraní dostupných na analýzu, druhý - možnosti otvárania súborov a tretí - pomocník.

Analýza sieťovej prevádzky

Ak chcete spustiť analýzu, vyberte sieťové rozhranie, napríklad eth0, a kliknite na tlačidlo Štart.

Potom sa otvorí nasledujúce okno, už s prúdom paketov, ktoré prechádzajú cez rozhranie. Toto okno je tiež rozdelené na niekoľko častí:

• Vrchná časť- sú to ponuky a panely s rôznymi tlačidlami;
• Zoznam balíkov- potom sa zobrazí tok sieťových paketov, ktoré budete analyzovať;
• obsah balenia- hneď nižšie je obsah vybraného balíka, je rozdelený do kategórií v závislosti od úrovne prepravy;
• Skutočný výkon- úplne dole je obsah balenia zobrazený v reálnej podobe, aj v HEX forme.

Kliknutím na ktorýkoľvek balík môžete analyzovať jeho obsah:

Tu vidíme paket požiadavky DNS na získanie IP adresy stránky, v samotnej požiadavke je odoslaná doména a v pakete odpovede dostaneme našu otázku aj odpoveď.

Pre pohodlnejšie prezeranie môžete balík otvoriť v novom okne dvojitým kliknutím na záznam:

Filtre Wireshark

Manuálne prechádzanie balíčkov, aby ste našli tie, ktoré potrebujete, je veľmi nepohodlné, najmä pri aktívnom vlákne. Preto je pre túto úlohu lepšie použiť filtre. Pod menu je špeciálny riadok na zadávanie filtrov. Môžete kliknúť Výraz otvorte návrhára filtrov, ale je ich veľa, takže sa pozrieme na tie najzákladnejšie:

• ip.dst- cieľová IP adresa;
• ip.src- IP adresa odosielateľa;
• ip.addr- IP odosielateľa alebo príjemcu;
• ip.proto- protokol;
• tcp.dstport- prístav destinácie;
• tcp.srcport- port odosielateľa;
• ip.ttl- TTL filter, určuje vzdialenosť siete;
• http.request_uri- adresu požadovanej stránky.

Ak chcete určiť vzťah medzi poľom a hodnotou vo filtri, môžete použiť nasledujúce operátory:

• == - rovná sa;
• != - nerovná sa;
• < - menej;
• > - viac;
• <= - menšie alebo rovnaké;
• >= - viac alebo rovnaké;
• zápasy- regulárny výraz;
• obsahuje- obsahuje.

Na kombinovanie viacerých výrazov môžete použiť:

• && - oba výrazy musia byť pravdivé pre balík;
• || - jeden z výrazov môže byť pravdivý.

Teraz sa pozrime bližšie na niekoľko filtrov na príkladoch a pokúsme sa pochopiť všetky znaky vzťahov.

Najprv vyfiltrujme všetky pakety odoslané na 194.67.215. Zadajte reťazec do poľa filtra a kliknite na Použiť. Pre pohodlie je možné filtre Wireshark uložiť pomocou tlačidla Uložiť:

ip.dst == 194,67,215,125

A aby ste mohli prijímať nielen odoslané pakety, ale aj tie prijaté ako odpoveď z tohto uzla, môžete kombinovať dve podmienky:

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

Môžeme tiež vybrať prenesené veľké súbory:

http.content_length > 5000

Filtrovaním Content-Type môžeme vybrať všetky obrázky, ktoré boli odovzdané; Poďme analyzovať prevádzku Wireshark, pakety, ktoré obsahujú slovo obrázok:

http.content_type obsahuje obrázok

Ak chcete filter vymazať, stlačte tlačidlo jasný. Stáva sa, že nie vždy poznáte všetky informácie potrebné na filtrovanie, ale chcete len preskúmať sieť. Môžete pridať ľubovoľné pole balíka ako stĺpec a zobraziť jeho obsah vo všeobecnom okne pre každý balík.

Napríklad chcem zobraziť TTL (čas do života) paketu ako stĺpec. Ak to chcete urobiť, otvorte informácie o balíku, nájdite toto pole v sekcii IP. Potom zavolajte do kontextového menu a vyberte možnosť Použiť ako stĺpec:

Rovnakým spôsobom môžete vytvoriť filter na základe ľubovoľného poľa. Vyberte ho a vyvolajte kontextové menu, potom kliknite Použiť ako filter alebo Pripravte ako filter a potom vyberte Vybraný na zobrazenie len vybraných hodnôt, príp Nevybraté na ich odstránenie:

Zadané pole a jeho hodnota sa použije alebo v druhom prípade vloží do poľa filtra:

Týmto spôsobom môžete do filtra pridať pole ľubovoľného balíka alebo stĺpca. Táto možnosť je aj v kontextovom menu. Na filtrovanie protokolov môžete použiť jednoduchšie podmienky. Napríklad, poďme analyzovať prevádzku Wireshark pre protokoly HTTP a DNS:

Ďalšou zaujímavou funkciou programu je použitie Wireshark na sledovanie konkrétnej relácie medzi počítačom používateľa a serverom. Ak to chcete urobiť, otvorte kontextovú ponuku balíka a vyberte Sledujte stream TCP.

Následne sa otvorí okno, v ktorom nájdete všetky dáta prenášané medzi serverom a klientom:

Diagnostika problémov Wireshark

Možno vás zaujíma, ako použiť Wireshark 2.0 na zistenie problémov vo vašej sieti. Na tento účel je v ľavom dolnom rohu okna okrúhle tlačidlo; po kliknutí naň sa otvorí okno Expet Tools. V ňom Wireshark zhromažďuje všetky chybové hlásenia a problémy so sieťou:

Okno je rozdelené na karty ako Chyby, Varovania, Oznámenia, Rozhovory. Program dokáže filtrovať a nájsť veľa problémov so sieťou a tu ich môžete vidieť veľmi rýchlo. Tu sú podporované aj filtre Wireshark.

Analýza návštevnosti Wireshark

Môžete veľmi ľahko pochopiť, čo si používatelia stiahli a aké súbory si prezerali, ak pripojenie nebolo šifrované. Program robí veľmi dobrú prácu pri extrakcii obsahu.

Ak to chcete urobiť, musíte najskôr zastaviť zachytávanie premávky pomocou červeného štvorca na paneli. Potom otvorte menu Súbor -> Exportovať objekty -> HTTP:

Program na monitorovanie prevádzky Wireshark bude skutočným prínosom pre človeka, ktorý rozumie sieťovým protokolom a chce sa dozvedieť viac o aktivitách v rámci svojej domácej siete. Nie je žiadnym tajomstvom, že niektoré programy, ktoré sa dokonca nepovažujú za škodlivé, môžu jednoducho ukradnúť internetový prenos. Tu dochádza k oneskoreniam a nízkej rýchlosti internetu. Ak vaša rýchlosť náhle klesne, potom má zmysel vyskúšať program Wireshark, ale bez najmenšej znalosti sieťových protokolov to bude ťažké. Viac o tom, ako používať Wireshark a čo robí, sa dozviete v tomto článku.

Kde a ako stiahnuť Wireshark

Wireshark je slobodný softvér a je distribuovaný úplne zadarmo. Na oficiálnej webovej stránke vývojára https://www.wireshark.org si môžete nástroj nielen stiahnuť, ale aj dobrovoľne darovať prostriedky na vývoj projektu.

• Rozhranie stránky je pomerne jednoduché: najprv kliknite na tlačidlo „Stiahnuť“.

• Potom vyberte typ systému: Windows alebo MacOS, 32-bitový alebo 64-bitový. Sťahovanie vašej verzie sa začne okamžite. Ak si nie ste istí svojím systémom, pozrite sa bližšie na nastavenia systému v ovládacom paneli.

• Inštalácia programu je jednoduchá, stačí kliknúť na tlačidlo „Ďalej“ a niekedy postupovať podľa pokynov na obrazovke, niektoré body však vyžadujú objasnenie.
• Keď sa zobrazí výzva na výber súpravy na inštaláciu pomôcky, začiarknite všetky políčka. Týmto spôsobom môžete použiť celú sadu nástrojov Wireshark.

• V tomto okne si musíte sami nakonfigurovať nastavenia podľa svojich preferencií. Označuje vytvorenie skratky, tlačidlo v ponuke Štart a priradenie typov súborov. Ak si nie ste istí svojím rozhodnutím, je lepšie preniesť všetky začiarknutia zo snímky obrazovky do vášho okna.

Ako povoliť sledovanie premávky v programe Wireshark

Po reštartovaní počítača po inštalácii programu je program pripravený na použitie. Program Wireshark vám zároveň odporučí nainštalovať špeciálny ovládač, ktorý je potrebný na fungovanie softvéru.

• V strede okna uvidíte tlačidlo „Obnoviť rozhrania“ alebo „Nenašli sa žiadne rozhrania“. Kliknutím naň načítate rozhrania. Pripojiť sa môžete cez router, priamo ku káblu, cez Wi-Fi siete alebo cez LTE modem.
• Ak máte bezdrôtové pripojenie Wi-Fi, prejdite na kartu „Bezdrôtové pripojenie“.

• Kliknite na „WLAN Traffic“.

• Ak je pripojenie cez modem, venujte pozornosť karte „Telefónia“, kliknite na riadok „LTE“.

• Čokoľvek si vyberiete, premávka sa pred vami objaví asi takto. V hornej časti riadku „Filter“ môžete zadať filter na odfiltrovanie informácií, ktoré nepotrebujete, a zobraziť sieťové protokoly iba podľa určitého kritéria.
• Kliknutím na jeden z nich sa vám v dolnom okne zobrazia ďalšie informácie. Hlavným kritériom môže byť linka s hostiteľom: stránka, ktorá prijala alebo odoslala požiadavku. Takéto údaje sú uvedené za slovami „Hostiteľ“ a „Prijať“.
• Ako už bolo uvedené, práca s protokolmi bez najmenšieho pochopenia ich fungovania je takmer nemožná. Nebudete chápať, ktorý balík kedy a kam odišiel. Ak je vám však táto téma čo i len trochu známa, všetko sa stáva intuitívnym.

Ako povoliť rozhrania Wireshark, ak nie sú k dispozícii

Po spustení programu sa môže zobraziť správa podobná tejto. To znamená, že program nevidí žiadne z vašich pripojení: ani cez kábel, ani cez bezdrôtové pripojenie.

Prvá vec, ktorú musíte urobiť, je reštartovať počítač. Program začne fungovať až po reštarte.
Druhým možným a najčastejším dôvodom je, že ste si nestiahli WinPcap. Toto sú bezplatné knižnice Windows, ktoré Wireshark potrebuje. Stiahnite si ich z internetu, reštartujte počítač a skúste to znova.

Pod článkom nájdete siahodlhé video, ktoré vám povie o hlbšom rozhraní programu.

softvér Wireshark je pomerne známy a pokročilý nástroj na sledovanie sieťovej prevádzky.

Program funguje rovnako správne v mnohých operačných systémoch, vrátane Windows, UNIX, Linux, Mac OS, Free BSD, Solaris, Open BSD, Net BSD atď. Samotné aplikácie tohto typu sa niekedy nazývajú sniffery.

Tento program umožňuje pomerne jednoduché sledovanie prevádzky pomocou rôznych sieťových protokolov, ako sú DNS, FDDI, FTP, HTTP, ICQ, IPV6, IPX, IRC, MAPI, MOUNT, NETBIOS, NFS, NNTP, POP, PPP, TCP, TELNET , X25 atď.. P.

Myslím si, že na čo najplnohodnotnejšie využitie programu veľa používateľov nepotrebuje mať žiadne špeciálne znalosti. Ale prvé veci.

Začnime tým, že väčšina domácich alebo kancelárskych lokálnych sietí je postavená na používaní zariadení nazývaných rozbočovače alebo koncentrátory.

Niektoré siete zároveň zahŕňajú použitie prepínačov alebo smerovačov. Tento softvér je navrhnutý špeciálne pre prvý prípad, pretože v druhom prípade jednoducho nedosiahnete efektivitu.

Ako používať Wireshark

Na spustenie programu teda budete potrebovať prístupové práva typu ROOT, pretože iba s týmito právami získate plný prístup ku všetkým sieťovým rozhraniam. Samotný program je možné spustiť buď v normálnom režime, alebo z príkazového riadku.

Potom môžete spustiť hlavnú aplikáciu.

Po spustení programu sa zobrazí okno, v ktorom musíte zadať prihlasovacie meno a heslo s potvrdením prístupu.

Proces práce s programom je pomerne jednoduchý.

Ak chcete začať zachytávať sieťové pakety, stačí prejsť do hlavnej ponuky, menovite Ponuka/Možnosti zachytávania, a potom vybrať požadované rozhranie v poli Rozhranie a kliknúť na tlačidlo Štart.

To je všetko.

Prirodzene, môžete použiť aj ďalšie nastavenia uvedené v tomto okne.

Môžete napríklad použiť možnosti oneskorenia, ktoré obmedzia pakety, ktoré majú určitú veľkosť, ktorú nemožno počas analýzy prekročiť. Ak si však nie ste istí potrebou použiť určité nastavenia, je lepšie nechať všetko tak, ako je.

To bude fungovať najlepšie pre mnohých používateľov, pretože predvolené nastavenia sú prezentované takým spôsobom, aby poskytovali najvhodnejší prevádzkový režim pre každé sieťové rozhranie.

Ak chcete dokončiť proces sledovania príjmu a prenosu sieťových paketov, stačí kliknúť na tlačidlo Zastaviť, po ktorom sa na obrazovke zobrazia úplné informácie o procese a zobrazenie sa vykonáva pomocou grafického režimu, čo je celkom pohodlné.

Celkovo možno na konci celého procesu súbor správy uložiť na neskoršiu analýzu alebo spracovanie.

Jedinečnosť tohto softvérového produktu spočíva aj v tom, že má síce vlastný protokol, ale dokáže sledovať dáta aj pomocou iných protokolov, ako je hlavný. Týka sa to nielen výmeny paketov v rámci samotnej lokálnej siete, ale využíva sa aj na riadenie internetovej prevádzky. Samozrejmosťou je pomerne flexibilný systém triedenia prijatých údajov a vyhľadávania požadovaného prvku. Stačí len použiť tieto funkcie vo výsledkoch reportu.

V skutočnosti na tom nie je nič zložité. Na záver poznamenávame, že pri tvorbe grafického rozhrania sa využíva univerzálna knižnica GTK+, ktorá umožňuje rýchlo a pohodlne spracovávať vstupné dáta mnohých formátov.

Niekedy pri používaní internetu dochádza k situáciám, pri ktorých dochádza k úniku prevádzky alebo neočakávanej spotrebe systémových prostriedkov. Na rýchlu analýzu a zistenie zdroja problému sa používajú špeciálne sieťové nástroje. Jeden z nich, WireShark, bude diskutovaný v článku.

všeobecné informácie

Pred použitím WireShark sa musíte oboznámiť s jeho rozsahom, funkčnosťou a možnosťami. Stručne povedané: program vám umožňuje zachytávať pakety v reálnom čase v káblových a bezdrôtových sieťových pripojeniach. Používa sa v protokoloch Ethernet, IEEE 802.11, PPP a podobných. Môžete tiež použiť odpočúvanie hovorov VoIP.

Program je distribuovaný pod licenciou GNU GPL, čo znamená, že je bezplatný a open source. Môžete ho spustiť na mnohých distribúciách Linuxu, MacOS a existuje aj verzia pre operačný systém Windows.

Ako používať WireShark?

Najprv by ste ho mali nainštalovať do systému. Keďže jednou z najčastejšie používaných distribúcií Linuxu je Ubuntu, všetky príklady budú uvedené v nej.

Ak chcete nainštalovať, stačí zadať príkaz do konzoly:

sudo apt-get install wireshark

Potom sa program objaví v hlavnom menu. Odtiaľ to môžete spustiť. Je však lepšie to urobiť z terminálu, pretože potrebuje práva superužívateľa. Dá sa to urobiť takto:

Vzhľad

Program má pohodlné grafické rozhranie. Používateľovi sa zobrazí priateľské okno rozdelené na 3 časti. Prvý priamo súvisí so zachytávaním, druhý s otváraním súborov a vzoriek a tretí je pomoc a podpora.

Blok Capture obsahuje zoznam sieťových rozhraní dostupných na zachytenie. Keď vyberiete napríklad eth0 a kliknete na tlačidlo Štart, spustí sa proces odpočúvania.

Okno so zachytenými údajmi je tiež logicky rozdelené na niekoľko častí. V hornej časti sa nachádza ovládací panel s rôznymi prvkami. Nasleduje zoznam balíkov. Prezentuje sa vo forme tabuľky. Tu vidíte poradové číslo balíka, čas, kedy bol zachytený, odosielaciu a prijímaciu adresu. Môžete tiež odstrániť údaje o použitých protokoloch, dĺžke a ďalšie užitočné informácie.

Pod zoznamom je okno s obsahom technických údajov zvoleného balíka. A ešte nižšie sa nachádza displej v hexadecimálnej podobe.

Každý pohľad je možné rozšíriť do väčšieho okna pre jednoduchšie čítanie údajov.

Aplikácia filtrov

Kým je program spustený, pred používateľom vždy prejdú desiatky alebo dokonca stovky paketov. Ručné odstraňovanie buriny je dosť ťažké a časovo náročné. Preto oficiálne pokyny WireShark odporúčajú používať filtre.

V okne programu je pre ne špeciálne pole - Filter. Pre presnejšiu konfiguráciu filtra je tu tlačidlo Expression.

Vo väčšine prípadov však postačí štandardná sada filtrov:

• ip.dst — cieľová IP adresa paketu;
• ip.src — adresa odosielateľa;
• ip.addr - len ľubovoľná ip;
• ip.proto - protokol.

Používanie filtrov vo WireShark - návod

Ak chcete vyskúšať, ako program pracuje s filtrami, musíte zadať určitý príkaz. Napríklad takáto množina – ip.dst == 172.217.23.131 – zobrazí všetky lietajúce pakety na webe Google. Ak chcete zobraziť všetku návštevnosť – prichádzajúcu aj odchádzajúcu – môžete skombinovať dva vzorce – ip.dst == 172.217.23.131 || ip.src == 172.217.23.131. Ukázalo sa teda použitie dvoch podmienok v jednom riadku naraz.

Môžete použiť iné podmienky, napríklad ip.ttl< 10. Данная команда выведет все пакеты с длительностью жизни меньше 10. Чтобы выбрать данные по их размеру, можно применить такой подход — http.content_length > 5000.

Pridané vlastnosti

Pre pohodlie má WireShark spôsob, ako rýchlo vybrať parametre paketu ako pole, ktoré sa má analyzovať. Napríklad v poli s technickými údajmi môžete kliknúť pravým tlačidlom myši na požadovaný objekt a vybrať možnosť Použiť ako stĺpec. Čo znamená preniesť ho do oblasti poľa ako stĺpec.

Podobne môžete vybrať ľubovoľný parameter ako filter. Na tento účel je v kontextovej ponuke položka Použiť ako filter.

Samostatná relácia

WireShark môžete použiť ako monitor medzi dvoma sieťovými uzlami, napríklad používateľom a serverom. Ak to chcete urobiť, vyberte balík, o ktorý máte záujem, vyvolajte kontextové menu a kliknite na Sledovať TCP Stream. V novom okne sa zobrazí celý protokol výmeny medzi dvoma uzlami.

Diagnostika

WireShark má samostatný nástroj na analýzu problémov so sieťou. Volá sa to Expertné nástroje. Nájdete ho v ľavom dolnom rohu vo forme okrúhlej ikony. Kliknutím naň sa otvorí nové okno s niekoľkými záložkami – Chyby, Varovania a iné. S ich pomocou môžete analyzovať, v ktorých uzloch sa vyskytujú zlyhania, pakety neprichádzajú a zistiť ďalšie problémy so sieťou.

Hlasová prevádzka

Ako už bolo spomenuté, WireShark dokáže zachytiť aj hlasovú prevádzku. Tomuto je venované celé menu Telephony. To sa dá použiť na nájdenie problémov vo VoIP a ich rýchle odstránenie.

Položka VoIP hovory v menu Telephony vám umožní zobraziť uskutočnené hovory a vypočuť si ich.

Exportovanie objektov

Toto je pravdepodobne najzaujímavejšia funkcia programu. Umožňuje vám používať WireShark ako zachytávač súborov prenášaných cez sieť. Ak to chcete urobiť, musíte zastaviť proces zachytávania a exportovať objekty HTTP do ponuky Súbor. V okne, ktoré sa otvorí, sa zobrazí zoznam všetkých súborov prenesených počas relácie, ktoré možno uložiť na vhodné miesto.

Konečne

Bohužiaľ, na internete bude ťažké nájsť aktuálnu verziu WireShark v ruštine. Najdostupnejšia a najčastejšie používaná je v angličtine.

To isté platí s podrobnými pokynmi pre WireShark v ruštine. Oficiálny od vývojára je prezentovaný v angličtine. Existuje mnoho krátkych, krátkych návodov WireShark online pre začiatočníkov.

Pre tých, ktorí pracujú v oblasti IT už dlho, však pochopenie programu nebude predstavovať žiadne zvláštne ťažkosti. A skvelé príležitosti a bohatá funkčnosť rozjasnia všetky ťažkosti pri učení.

Stojí za zmienku, že v niektorých krajinách môže byť používanie snifferov, ako je WireShark, nezákonné.

Wireshark je výkonný sieťový analyzátor, ktorý možno použiť na analýzu prevádzky prechádzajúcej cez sieťové rozhranie vášho počítača. Môže to byť potrebné na zistenie a riešenie problémov so sieťou, ladenie vašich webových aplikácií, sieťových programov alebo stránok. Wireshark vám umožňuje plne zobraziť obsah paketu na všetkých úrovniach, takže môžete lepšie pochopiť, ako sieť funguje na nízkej úrovni.

Všetky pakety sa zachytávajú v reálnom čase a poskytujú sa v ľahko čitateľnom formáte. Program podporuje veľmi výkonný systém filtrovania, farebné zvýraznenie a ďalšie funkcie, ktoré vám pomôžu nájsť tie správne balíčky. V tomto návode sa pozrieme na to, ako používať Wireshark na analýzu návštevnosti. Nedávno vývojári začali pracovať na druhej vetve Wireshark 2.0, ktorá priniesla veľa zmien a vylepšení najmä v rozhraní. To je to, čo použijeme v tomto článku.

Kľúčové vlastnosti Wireshark

Predtým, ako prejdete k úvahám o spôsoboch analýzy prevádzky, musíte podrobnejšie zvážiť, aké funkcie program podporuje, s akými protokolmi môže pracovať a čo robiť. Tu sú hlavné funkcie programu:

• Zachyťte pakety v reálnom čase z káblových alebo iných typov sieťových rozhraní, ako aj čítať zo súboru;
• Podporované sú nasledujúce rozhrania: Ethernet, IEEE 802.11, PPP a lokálne virtuálne rozhrania;
• Pakety je možné filtrovať na základe mnohých parametrov pomocou filtrov;
• Všetky známe protokoly sú v zozname zvýraznené rôznymi farbami, napríklad TCP, HTTP, FTP, DNS, ICMP atď.;
• Podpora zachytávania prevádzky hovorov VoIP;
• Dešifrovanie prenosu HTTPS je podporované, ak je k dispozícii certifikát;
• Dešifrovanie WEP, WPA prevádzky bezdrôtových sietí pomocou kľúča a handshake;
• Zobrazenie štatistík zaťaženia siete;
• Zobrazenie obsahu balíka pre všetky vrstvy siete;
• Zobrazuje čas odoslania a prijatia balíkov.

Program má mnoho ďalších funkcií, no toto boli tie hlavné, ktoré by vás mohli zaujímať.

Ako používať Wireshark

Predpokladám, že program už máte nainštalovaný, no ak nie, môžete si ho nainštalovať z oficiálnych repozitárov. Ak to chcete urobiť, zadajte príkaz v Ubuntu:

$ sudo apt install wireshark

Po inštalácii nájdete program v hlavnom menu distribúcie. Wireshark musíte spustiť s právami superužívateľa, pretože inak nebude program schopný analyzovať sieťové pakety. Môžete to urobiť z hlavnej ponuky alebo cez terminál pomocou príkazu pre KDE:

$ kdesu wireshark

A pre Gnome/Unity:

$gksu wireshark

Hlavné okno programu je rozdelené na tri časti, prvý stĺpec obsahuje zoznam sieťových rozhraní dostupných na analýzu, druhý stĺpec obsahuje možnosti otvárania súborov a tretí stĺpec obsahuje nápovedu.

Analýza sieťovej prevádzky

Ak chcete spustiť analýzu, vyberte sieťové rozhranie, napríklad eth0, a kliknite na tlačidlo Štart.

Potom sa otvorí nasledujúce okno, už s prúdom paketov, ktoré prechádzajú cez rozhranie. Toto okno je tiež rozdelené na niekoľko častí:

• Vrchná časť- sú to ponuky a panely s rôznymi tlačidlami;
• Zoznam balíkov- potom sa zobrazí tok sieťových paketov, ktoré budete analyzovať;
• obsah balenia- hneď nižšie je obsah vybraného balíka, je rozdelený do kategórií v závislosti od úrovne prepravy;
• Skutočný výkon- úplne dole je obsah balenia zobrazený v reálnej podobe, aj v HEX forme.

Kliknutím na ktorýkoľvek balík môžete analyzovať jeho obsah:

Tu vidíme paket požiadavky DNS na získanie IP adresy stránky, doména je odoslaná v samotnej žiadosti a v pakete odpovede dostaneme našu otázku, ako aj odpoveď.

Pre pohodlnejšie prezeranie môžete balík otvoriť v novom okne dvojitým kliknutím na záznam:

Filtre Wireshark

Je veľmi nepohodlné manuálne triediť balíky, aby ste našli tie, ktoré potrebujete, najmä s aktívnym vláknom. Preto je pre túto úlohu lepšie použiť filtre. Pod menu je špeciálny riadok na zadávanie filtrov. Kliknutím na položku Výraz otvoríte návrhára filtra, ale je ich veľa, takže sa pozrieme na tie najzákladnejšie:

• ip.dst- cieľová IP adresa;
• ip.src- IP adresa odosielateľa;
• ip.addr- IP odosielateľa alebo príjemcu;
• ip.proto- protokol;
• tcp.dstport- prístav destinácie;
• tcp.srcport- port odosielateľa;
• ip.ttl- TTL filter, určuje vzdialenosť siete;
• http.request_uri- adresu požadovanej stránky.

Ak chcete určiť vzťah medzi poľom a hodnotou vo filtri, môžete použiť nasledujúce operátory:

• == - rovná sa;
• != - nerovná sa;
• < - menej;
• > - viac;
• <= - menšie alebo rovnaké;
• >= - viac alebo rovnaké;
• zápasy- regulárny výraz;
• obsahuje- obsahuje.

Na kombinovanie viacerých výrazov môžete použiť:

• && - oba výrazy musia byť pravdivé pre balík;
• || - jeden z výrazov môže byť pravdivý.

Teraz sa pozrime bližšie na niekoľko filtrov na príkladoch a skúsme zvážiť všetky znaky vzťahu.

Najprv vyfiltrujme všetky pakety odoslané na 194.67.215.125 (losst.ru). Do poľa filtra zadajte reťazec a kliknite Použiť. Pre pohodlie je možné filtre wireshark uložiť pomocou tlačidla Uložiť:

ip.dst == 194,67,215,125

A aby ste mohli prijímať nielen odoslané pakety, ale aj tie prijaté ako odpoveď z tohto uzla, môžete kombinovať dve podmienky:

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

Môžeme tiež vybrať prenesené veľké súbory:

http.content_length > 5000

Po filtrovaní Content-Type môžeme vybrať všetky obrázky, ktoré boli stiahnuté, budeme analyzovať prenos wireshark, pakety, ktoré obsahujú slovo obrázok:

http.content_type obsahuje obrázok

Ak chcete filter vymazať, stlačte tlačidlo jasný. Stáva sa, že nie vždy poznáte všetky informácie potrebné na filtrovanie, ale chcete len preskúmať sieť. Môžete pridať ľubovoľné pole balíka ako stĺpec a zobraziť jeho obsah vo všeobecnom okne pre každý balík.

Napríklad chcem zobraziť TTL (čas do života) paketu ako stĺpec. Ak to chcete urobiť, otvorte informácie o balíku, nájdite toto pole v sekcii IP. Potom zavolajte do kontextového menu a vyberte možnosť Použiť ako stĺpec:

Môžete si tiež vytvoriť filter na základe ľubovoľného poľa. Vyberte požadované pole a zavolajte kontextové menu a potom kliknite Použiť ako filter alebo Pripravte ako filter a potom vyberte Vybraný pre zobrazenie iba vybraných hodnôt resp Nevybraté na ich odstránenie:

Zadané pole a jeho hodnota sa použije alebo v druhom prípade vloží do poľa filtra:

Týmto spôsobom môžete do filtra pridať pole ľubovoľného balíka alebo stĺpca. Táto možnosť je aj v kontextovom menu. Na filtrovanie protokolov môžete použiť jednoduchšie podmienky. Napríklad, poďme analyzovať prevádzku Wireshark pre protokoly HTTP a DNS:

Ďalšou zaujímavou funkciou programu je použitie Wireshark na sledovanie konkrétnej relácie medzi počítačom používateľa a serverom. Ak to chcete urobiť, otvorte kontextovú ponuku balíka a vyberte Sledujte stream TCP.

Potom sa otvorí okno, v ktorom nájdete všetky dáta prenášané medzi serverom a klientom:

Diagnostika problémov Wireshark

Možno vás zaujíma, ako použiť Wireshark 2 na zistenie problémov so sieťou. Na tento účel je v ľavom dolnom rohu okna okrúhle tlačidlo; po kliknutí naň sa otvorí okno Expet Tools. V ňom Wireshark zhromažďuje všetky chybové hlásenia a problémy v sieti:

Okno je rozdelené na karty ako Chyby, Varovania, Oznámenia, Rozhovory. Program dokáže filtrovať a nájsť veľa problémov so sieťou a tu ich môžete vidieť veľmi rýchlo. Tu sú podporované aj filtre Wireshark.

Analýza návštevnosti Wireshark

Môžete veľmi ľahko pochopiť, čo presne používatelia stiahli a aké súbory si prezerali, ak pripojenie nebolo šifrované. Program robí veľmi dobrú prácu pri extrakcii obsahu.

Ak to chcete urobiť, musíte najskôr zastaviť zachytávanie premávky pomocou červeného štvorca na paneli. Potom otvorte menu Súbor -> Exportovať objekty -> HTTP:

Ide o veľmi výkonný nástroj, ktorý má veľa funkcií. Zhrnúť všetky jeho funkcionality do jedného článku je nemožné, no základné informácie tu uvedené vám postačia na to, aby ste si všetko potrebné osvojili sami.