Wireshark är den ledande nätverksprotokollanalysatorn som används av säkerhetspersonal över hela världen. Det låter dig upptäcka avvikelser i datanätverk och hitta de bakomliggande orsakerna. Vi kommer att demonstrera hur du använder Wireshark i följande avsnitt.

Så hur fungerar det? Och hur använder du Wireshark för att fånga datapaket?

Hur fungerar Wireshark?

Wiresharks robusta funktionsuppsättning har gjort den till en av bästa verktygen för att felsöka nätverksproblem. Många använder Wireshark, inklusive nätverksadministratörer, säkerhetsgranskare, malwareanalytiker och till och med angripare.

7 bästa verktygen för att felsöka nätverksproblem

Har du ett nätverksproblem? Eller vill du bara veta mer om ditt hemnätverk? Dessa sju verktyg kan hjälpa dig att analysera och felsöka ditt nätverk.

Det låter dig utföra djupa inspektioner av levande eller lagrade nätverkspaket. När du börjar använda Wireshark kommer du att bli fascinerad av mängden information den kan erbjuda. Men för mycket information gör det ofta svårt att hålla sig på rätt spår.

instagram viewer

Lyckligtvis kan vi mildra detta via Wiresharks avancerade filtreringsfunktioner. Vi kommer att diskutera dem i detalj senare. Arbetsflödet består av att fånga nätverkspaket och filtrera bort nödvändig information.

Hur man använder Wireshark för att fånga paket

När du har startat Wireshark visar nätverksgränssnitten som är anslutna till ditt system. Du bör märka kurvor som representerar nätverkskommunikation bredvid varje gränssnitt.

Nu måste du välja ett specifikt gränssnitt innan du kan börja fånga paket. För att göra detta, välj gränssnittsnamnet och klicka på det blå hajfena ikon. Du kan också göra detta genom att dubbelklicka på gränssnittsnamnet.

Wireshark börjar fånga inkommande och utgående paket för det valda gränssnittet. Klicka på det röda paus för att stoppa fångsten. Du bör se en lista över nätverkspaket som tagits under denna process.

Wireshark visar källan och destinationen för varje paket tillsammans med protokollet. Men för det mesta kommer du att vara intresserad av innehållet i informationsfältet.

Du kan inspektera enskilda paket genom att klicka på dem. På så sätt kan du visa hela paketdata.

Hur man sparar fångade paket i Wireshark

Eftersom Wireshark fångar mycket trafik kanske du ibland vill spara dem för senare inspektion. Lyckligtvis är det enkelt att spara fångade paket med Wireshark.

För att spara paket, stoppa den aktiva sessionen. Klicka sedan på fil i toppmenyn. Du kan också använda Ctrl + S att göra detta.

Wireshark kan spara paket i flera format, inklusive pcapng, pcap och dmp. Du kan också spara fångade paket i ett annat format verktyg för nätverksanalys kan senare användas.

Hur man analyserar fångade paket

Du kan analysera tidigare fångade paket genom att öppna fångningsfilen. En gång i huvudfönstret klickar du på Arkiv> Öppna och välj sedan den sparade filen.

Du kan också använda Ctrl + O att göra detta snabbt. När du har analyserat paketen, avslutar du inspektionsfönstret genom att gå till Arkiv> Stäng.

Hur man använder Wireshark-filter

Wireshark erbjuder en mängd robusta filtreringsfunktioner. Filter är av två typer - visningsfilter och inspelningsfilter.

Använda Wireshark Display-filter

Displayfilter används för att visa specifika paket från alla fångade paket. Vi kan till exempel använda displayfiltret icmp för att visa alla ICMP-datapaket.

Du kan välja mellan ett stort antal filter. Dessutom kan du också definiera anpassade filtreringsregler för triviala uppgifter. För att lägga till anpassade filter, gå till Analysera> Visa filter. Klicka på + för att lägga till ett nytt filter.

Använda Wireshark Capture-filter

Capture filter används för att specificera vilka paket som ska fångas under en Wireshark-session. Det producerar betydligt färre paket än standardfångar. Du kan använda dem i situationer där du behöver specifik information om vissa paket.

Ange ditt fångstfilter i fältet precis ovanför gränssnittslistan i huvudfönstret. Välj gränssnittsnamnet i listan och skriv in filternamnet i fältet ovan.

Klicka på det blå hajfena ikonen för att börja fånga paket. I följande exempel används arp filter för att bara fånga ARP-transaktioner.

Använda Wireshark färgregler

Wireshark tillhandahåller flera färgregler, som tidigare kallades färgfilter. Det är en utmärkt funktion att ha när man analyserar omfattande nätverkstrafik. Du kan också anpassa dem baserat på preferenser.

För att visa de aktuella färgreglerna, gå till Visa> Färgregler. Här hittar du standardregleringsreglerna för din installation.

Du kan ändra dem som du vill. Dessutom kan du också använda andras färgregler genom att importera konfigurationsfilen.

Ladda ner filen som innehåller de anpassade reglerna och importera den sedan genom att välja Visa> Färgregler> Importera. Du kan exportera regler på samma sätt.

Wireshark i aktion

Hittills har vi diskuterat några av Wiresharks kärnfunktioner. Låt oss utföra några praktiska operationer för att visa hur dessa integreras.

Vi har skapat en grundläggande Go-server för denna demonstration. Det returnerar ett enkelt textmeddelande för varje begäran. När servern är igång kommer vi att göra några HTTP-förfrågningar och fånga live-trafiken. Observera att vi kör servern på localhost.

Först initierar vi paketupptagningen genom att dubbelklicka på Loopback (localhost) -gränssnittet. Nästa steg är att starta vår lokala server och skicka in en GET-begäran. Vi använder curl för att göra detta.

Wireshark kommer att fånga alla inkommande och utgående paket under denna konversation. Vi vill se data som skickas av vår server, så vi använder http.svar visa filter för att visa svarspaketen.

Nu döljer Wireshark alla andra fångade paket och visar endast svarspaketen. Om du tittar noga på paketdetaljerna bör du lägga märke till den klartextdata som skickas av vår server.

Användbara Wireshark-kommandon

Du kan också använda olika Wireshark-kommandon för att styra programvaran från din Linux-terminal. Här är några grundläggande Wireshark-kommandon:

  • wireshark startar Wireshark i grafiskt läge.
  • wireshark -h visar tillgängliga kommandoradsalternativ.
  • wireshark -i INTERFACE väljer INTERFACE som inspelningsgränssnitt.

Tshark är kommandoradsalternativet för Wireshark. Den stöder alla väsentliga funktioner och är extremt effektiv.

Analysera nätverkssäkerhet med Wireshark

Wiresharks rika funktioner och avancerade filtreringsregler gör paketanalys produktiv och okomplicerad. Du kan använda den för att hitta all slags information om ditt nätverk. Prova de mest grundläggande funktionerna för att lära dig hur du använder Wireshark för paketanalys.

Wireshark finns att ladda ner på enheter som kör Windows, macOS och Linux.

E-post
Hur man förvandlar din Raspberry Pi till ett nätverksövervakningsverktyg

Vill du övervaka ditt nätverk eller fjärrenheter? Så här gör du om din Raspberry Pi till ett nätverksövervakningsverktyg med Nagios.

Relaterade ämnen
  • Linux
  • Mac
  • Windows
  • säkerhet
  • Onlinesäkerhet
Om författaren
Rubaiat Hossain (6 artiklar publicerade)

Rubaiat är en CS-grad med en stark passion för öppen källkod. Förutom att vara en Unix-veteran, är han också intresserad av nätverkssäkerhet, kryptografi och funktionell programmering. Han är en ivrig samlare av begagnade böcker och har en oändlig beundran för klassisk rock.

Mer från Rubaiat Hossain

Prenumerera på vårt nyhetsbrev

Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e-böcker och exklusiva erbjudanden!

Ett steg till…!

Bekräfta din e-postadress i e-postmeddelandet som vi just skickade till dig.

.