För många IT-experter är Wireshark det bästa verktyget för analys av nätverkspaket. Programvaran med öppen källkod gör att du kan undersöka den insamlade informationen noggrant och fastställa roten till problemet med förbättrad noggrannhet. Dessutom fungerar Wireshark i realtid och använder färgkodning för att visa de fångade paketen, bland andra fiffiga mekanismer.
I den här handledningen kommer vi att förklara hur man fångar, läser och filtrerar paket med Wireshark. Nedan hittar du steg-för-steg-instruktioner och uppdelningar av de grundläggande nätverksanalysfunktionerna. När du behärskar dessa grundläggande steg kommer du att kunna inspektera trafikflödet i ditt nätverk och felsöka problem med mer effektivitet.
Analysera paket
När paketen har fångats, organiserar Wireshark dem i en detaljerad paketlista som är otroligt lätt att läsa. Om du vill komma åt informationen om ett enstaka paket behöver du bara hitta det i listan och klicka. Du kan också utöka trädet ytterligare för att komma åt detaljerna för varje protokoll som finns i paketet.
För en mer omfattande översikt kan du visa varje fångat paket i ett separat fönster. Här är hur:
- Välj paketet från listan med markören och högerklicka.
- Öppna fliken "Visa" från verktygsfältet ovan.
- Välj "Visa paket i nytt fönster" från rullgardinsmenyn.
Obs: Det är mycket lättare att jämföra de fångade paketen om du tar upp dem i separata fönster.
Som nämnts använder Wireshark ett färgkodningssystem för datavisualisering. Varje paket är märkt med en annan färg som representerar olika typer av trafik. Till exempel är TCP-trafik vanligtvis markerad med blått, medan svart används för att indikera paket som innehåller fel.
Naturligtvis behöver du inte memorera innebörden bakom varje färg. Istället kan du kolla på plats:
- Högerklicka på paketet du vill granska.
- Välj fliken "Visa" i verktygsfältet högst upp på skärmen.
- Välj "Färgregler" från rullgardinsmenyn.
Du kommer att se alternativet att anpassa färgsättningen efter dina önskemål. Men om du bara vill ändra färgreglerna tillfälligt, följ dessa steg:
- Högerklicka på paketet i paketlistan.
- Från listan med alternativ, välj "Färgsätt med filter."
- Välj den färg som du vill märka den med.
siffra
Paketlistrutan visar dig det exakta antalet infångade databitar. Eftersom paketen är organiserade i flera kolumner är det ganska lätt att tolka. Standardkategorierna är:
- Nr. (Antal): Som nämnts kan du hitta det exakta antalet fångade paket i den här kolumnen. Siffrorna kommer att förbli desamma även efter att data har filtrerats.
- Tid: Som du kanske har gissat visas paketets tidsstämpel här.
- Källa: Den visar var paketet har sitt ursprung.
- Destination: Den visar platsen där paketet kommer att förvaras.
- Protokoll: Det visar namnet på protokollet, vanligtvis i en förkortning.
- Längd: Det visar antalet byte som finns i det fångade paketet.
- Info: Kolumnen innehåller all ytterligare information om ett visst paket.
Tid
När Wireshark analyserar nätverkstrafiken, tidsstämplas varje fångat paket. Tidsstämplarna inkluderas sedan i paketlistrutan och är tillgängliga för senare inspektion.
Wireshark skapar inte själva tidsstämplarna. Istället hämtar analysverktyget dem från Npcap-biblioteket. Men källan till tidsstämpeln är faktiskt kärnan. Det är därför tidsstämpelns noggrannhet kan variera från fil till fil.
Du kan välja i vilket format tidsstämplarna ska visas i paketlistan. Dessutom kan du ställa in önskad precision eller antal decimaler som ska visas. Förutom standardprecisionsinställningen finns det också:
- Sekunder
- Tiondelar av en sekund
- Hundradelar av en sekund
- Millisekunder
- Mikrosekunder
- Nanosekunder
Källa
Som namnet antyder är källan till paketet ursprungsplatsen. Om du vill skaffa källkoden för ett Wireshark-förråd kan du ladda ner det genom att använda en Git-klient. Metoden kräver dock att du har ett GitLab-konto. Det är möjligt att göra det utan en, men det är bättre att registrera sig för säkerhets skull.
När du har registrerat ett konto, följ dessa steg:
- Se till att Git fungerar genom att använda detta kommando: "
$ git --version.
” - Dubbelkolla om din e-postadress och ditt användarnamn är konfigurerade.
- Gör sedan en klon av Workshark-källan. Använd "
$ git clone -o uppströms [e-postskyddad] :wireshark/wireshark.git
” SSH URL för att göra kopian. - Om du inte har ett GitLab-konto, prova HTTPS URL: "
$ git clone -o uppströms //gitlab.com/wireshark/wireshark.git.
”
Alla källor kommer sedan att kopieras till din enhet. Tänk på att kloningen kan ta ett tag, speciellt om du har en trög nätverksanslutning.
Destination
Om du vill veta IP-adressen för ett visst pakets destination kan du använda visningsfiltret för att hitta det. Här är hur:
- Stiga på "
ip.addr == 8.8.8.8
" i Wireshark "Filter Box". Klicka sedan på "Enter". - Paketlistrutan kommer endast att omkonfigureras för att visa paketdestinationen. Hitta den IP-adress du är intresserad av genom att bläddra igenom listan.
- När du är klar väljer du "Rensa" från verktygsfältet för att konfigurera om paketlistan.
Protokoll
Ett protokoll är en riktlinje som bestämmer dataöverföringen mellan olika enheter som är anslutna till samma nätverk. Varje Wireshark-paket innehåller ett protokoll, och du kan ta fram det genom att använda displayfiltret. Här är hur:
- Högst upp i Wireshark-fönstret klickar du på dialogrutan "Filter".
- Ange namnet på det protokoll du vill undersöka. Vanligtvis skrivs protokolltitlar med små bokstäver.
- Klicka på "Enter" eller "Apply" för att aktivera visningsfiltret.
Längd
Längden på ett Wireshark-paket bestäms av antalet byte som fångas i det specifika nätverksfragmentet. Det numret motsvarar vanligtvis antalet rådatabyte som anges längst ner i Wireshark-fönstret.
Om du vill undersöka fördelningen av längder, öppna fönstret "Packet Lengths". All information är uppdelad i följande kolumner:
- Paketlängder
- Räkna
- Genomsnitt
- Min Val/Max Val
- Betygsätta
- Procent
- Skurhastighet
- Sprängstart
Info
Om det finns några anomalier eller liknande föremål i ett visst fångat paket kommer Wireshark att notera det. Informationen kommer sedan att visas i paketlistan för vidare granskning. På så sätt får du en tydlig bild av atypiskt nätverksbeteende, vilket kommer att resultera i snabbare reaktioner.
Ytterligare vanliga frågor
Hur kan jag filtrera paketdata?
Filtrering är en effektiv funktion som låter dig undersöka detaljerna i en viss datasekvens. Det finns två typer av Wireshark-filter: fånga och visa. Infångningsfilter är till för att begränsa paketfångningen för att passa specifika krav. Med andra ord kan du sålla bland olika typer av trafik genom att använda ett fångstfilter. Som namnet antyder låter visningsfilter dig finslipa en viss del av paketet, från paketlängd till protokoll.
Att använda ett filter är en ganska enkel process. Du kan skriva filtertiteln i dialogrutan högst upp i Wireshark-fönstret. Dessutom kommer programvaran vanligtvis att automatiskt fylla i namnet på filtret.
Alternativt, om du vill kamma igenom standard Wireshark-filtren, gör följande:
1. Öppna fliken "Analysera" i verktygsfältet överst i Wireshark-fönstret.
2. Välj "Visningsfilter" i rullgardinsmenyn.
3. Bläddra igenom listan och klicka på den du vill ansöka om.
Slutligen, här är några vanliga Wireshark-filter som kan vara användbara:
• För att endast visa käll- och destinations-IP-adressen, använd: "ip.src==IP-adress och ip.dst==IP-adress
”
• För att bara visa SMTP-trafik, skriv: "tcp.port eq 25
”
• För att fånga all undernätstrafik, använd: "netto 192.168.0.0/24
”
• För att fånga allt utom ARP- och DNS-trafiken, använd: "port inte 53 och inte arp
”
Hur fångar jag in paketdata i Wireshark?
När du har laddat ner Wireshark till din enhet kan du börja övervaka din nätverksanslutning. För att fånga datapaket för en omfattande analys, här är vad du behöver göra:
1. Starta Wireshark. Du kommer att se en lista över tillgängliga nätverk, så klicka på det du vill undersöka. Du kan också använda ett fångstfilter om du vill peka ut typen av trafik.
2. Om du vill inspektera flera nätverk, använd "shift + vänsterklicka"-kontrollen.
3. Klicka sedan på hajfensikonen längst till vänster i verktygsfältet ovan.
4. Du kan också starta infångningen genom att klicka på fliken "Fånga" och välja "Start" från rullgardinsmenyn.
5. Ett annat sätt att göra det är att använda "Control - E" tangenttryckningen.
När programvaran tar tag i data kommer du att se den visas i paketlistan i realtid.
Shark Byte
Medan Wireshark är en mycket avancerad nätverksanalysator, är den förvånansvärt lätt att tolka. Paketlistrutan är extremt omfattande och välorganiserad. All information är fördelad i sju olika färger och markerad med tydliga färgkoder.
Dessutom kommer mjukvaran med öppen källkod med en mängd lättapplicerbara filter som underlättar övervakningen. Genom att aktivera ett fångstfilter kan du peka ut vilken typ av trafik du vill att Wireshark ska analysera. Och när data väl har tagits kan du använda flera visningsfilter för specifika sökningar. Sammantaget är det en mycket effektiv mekanism som inte är alltför svår att bemästra.
Använder du Wireshark för nätverksanalys? Vad tycker du om filtreringsfunktionen? Låt oss veta i kommentarerna nedan om det finns en användbar paketanalysfunktion som vi hoppade över.