Anonim

Què és Wireshark?

Links ràpids

  • Què és Wireshark?
  • Instal·lació de Wireshark
    • Windows
    • Mac
    • Linux
  • La interfície
  • Opcions de captura
  • Captura de trànsit
  • Lectura de les dades
  • Paquets de filtratge
    • Filtratge durant la captura
    • Resultats de filtratge
  • Seguint els fluxos de paquets
  • Pensaments de cloenda

Wireshark és una potent eina d’anàlisi de xarxa que permet supervisar i capturar el trànsit de xarxa. Capta el trànsit a nivell de paquets, cosa que significa que podeu veure cada informació que es transmet per la vostra xarxa, què conté i cap a on es dirigeix.

Aquesta eina us permet visualitzar i comprendre el flux de trànsit d'una xarxa. En veure quines dades es transmeten, també podeu obtenir informació sobre les possibles preocupacions de seguretat que pugueu afrontar, així com qualsevol trànsit potencialment no desitjat, com ara programari maliciós, programes que obriven l'amplada de banda i fins i tot convidats no desitjats a la vostra xarxa WiFi.

Wireshark també és una eina important perquè permet veure exactament com les dades que surten de la vostra xarxa s’envien a Internet més gran. Per exemple, podeu veure i llegir les sol·licituds HTTP, cosa que us permetrà veure quines dades s’envien sense xifrar. Podria ser una cosa molt important, sobretot si les dades són com una contrasenya bancària.

Instal·lació de Wireshark

Wireshark és de codi obert i de plataforma multiplata. Està disponible de forma gratuïta i per a tots els sistemes operatius importants. Els controls del programa són exactament els mateixos a totes les plataformes, així que no us haureu de preocupar. Les imatges són de Linux, però tot el que veureu funcionarà també a Windows i Mac.

Windows

Vés a la pàgina de descàrregues de Wireshark i descarrega la versió més recent de la versió de Windows. Executeu el resultat .exe. L’instal·lador és força normal. Podeu fer clic a la majoria i fer servir els valors predeterminats.

Hi ha una cosa que voleu mirar cap a fora. Es mostrarà una pantalla que us demanarà si voleu instal·lar WinPcap. WinPcap és una utilitat addicional per a Wireshark a Windows que li permet capturar tot el trànsit d'una xarxa en lloc del trànsit del vostre ordinador. Marqueu la casella per instal·lar WinPcap. També us preguntarà sobre la versió USB. Això no és necessari, però també podeu incloure-ho.

Després d'això, es completarà la instal·lació. S'iniciarà una nova instal·lació per a WinPcap. Els valors per defecte també són acceptables.

Mac

Aneu a la pàgina de baixada de Wireshark i agafeu el darrer fitxer .dmg. Quan s'acabi de descarregar, feu doble clic al fitxer per obrir-lo. Arrossegueu l’aplicació oberta a la vostra carpeta / Aplicacions per instal·lar Wireshark.

Linux

La majoria de les distribucions de Linux tenen Wireshark disponible als seus dipòsits. Instal·leu-lo amb el gestor de paquets.

$ sudo apt instal·lar wireshark-gtk

En funció de la vostra distribució, se us demanarà si voleu permetre als usuaris habituals capturar paquets. Haureu de dir “Sí”. Després d’instal·lar el paquet, afegiu al vostre usuari el grup Wireshark. Tanqueu la sessió i inicieu la sessió, quan hàgiu acabat.

$ sudo gpasswd -un wireshark dels usuaris

La interfície

Quan obriu per primera vegada Wireshark, veureu una pantalla similar a la de dalt. Hi ha uns quants botons més amunt a les barres d’eines i pot semblar aclaparador, però és molt més senzill del que creieu.

La interfície de captura predeterminada és una mica difícil. Podeu canviar el disseny per fer-lo més còmode, feu clic a "Edita". Trobeu el menú "Preferències" i la part inferior i obriu-lo. A les preferències, veureu una pestanya "Disseny" a l'esquerra. Selecciona-la. Veureu diverses icones que representen diferents opcions de disseny. Trieu la que més us sembli. La primera opció amb la disposició apilada sol funcionar bé.

No et preocupis massa per les barres d'eines encara. Les cinc primeres icones són les més importants. Per tal de permetre-vos seleccionar una interfície on capturar-la, canviar la configuració de captura, iniciar una captura, aturar una captura i reprendre una. Les icones són prou intuïtives.

Opcions de captura

Abans de començar a capturar trànsit, hauríeu d’explorar les opcions de captura per veure què pot fer Wireshark. Feu clic a la icona de les opcions de captura. Hauria de semblar un engranatge.

El primer que veuràs a la part superior de la finestra és una taula que mostra totes les interfícies de xarxa. Marqueu la casella que hi ha al costat de la interfície que voleu capturar. En la majoria dels casos, la interfície que desitgeu és la que feu servir per connectar-vos a la xarxa. Serà el que correspon al port Ethernet o al dispositiu WiFi.

A continuació, veureu un parell de caselles de selecció. Un us preguntarà si voleu utilitzar el mode promiscua. El mode promiscua és el que permet veure els intercanvis entre tots els dispositius d’una xarxa, no només el propi ordinador. El més probable és que voleu que aquesta sigui activada. Compte, però. L'ús d'un mode promiscua en una xarxa que no teniu o no teniu permís de prova és il·legal .

La següent secció a continuació inclou els fitxers de captura. Wireshark us permet guardar les dades capturades. El primer camp que us permet especificar una única destinació per a la vostra captura. A continuació, podeu marcar la casella per permetre que Wireshark desglose el registre de captures. Els registres poden arribar a ser molt grans, sobretot en xarxes més grans. Aquesta característica us permet descompondre automàticament les dades de captura en funció del temps o de la mida del fitxer. De qualsevol forma, és una característica convenient quan es tracta d’exàmens a llarg termini o d’una xarxa ocupada.

Per sota, podeu controlar la durada de la captura. De nou, les captures es poden fer grans, de manera que podeu definir una mida màxima. També podeu deixar el temps d'esgotament, la qual cosa és agradable perquè us permet agafar una instantània d'un període de temps específic a la vostra xarxa.

Captura de trànsit

Un cop tingueu la configuració en ordre, podeu començar a capturar el trànsit de la vostra xarxa. Si abans no havíeu fet aquest tipus de coses, prepareu-vos per sorprendre’s. Hi ha molt més trànsit del que sabeu que flueix per la vostra xarxa. Per iniciar la captura, feu clic al botó "Inici" a la part inferior de la finestra de configuració o a la icona de l'aleta del tauró. De qualsevol forma funciona.

Quan comenceu a enregistrar, la quantitat de trànsit que veieu depèn dels dispositius de la vostra xarxa. Tot i que la majoria de les persones no podran estar al dia amb la càrrega de trànsit que veuen, és completament possible que no vegi res. Si és així, obriu un navegador web i comenceu a navegar per aquí. La captura començarà a publicar-se ràpidament.

Després de provar la captura durant el temps que vulgueu provar, feu clic al botó d'aturada de la barra d'eines. El que teniu hauria de semblar a la imatge de dalt.

Lectura de les dades

Feu clic a un dels paquets que heu capturat. Proveu de trobar una sol·licitud HTTP. Solen ser més fàcils de llegir. Quan seleccioneu un paquet, les altres dues seccions de la pantalla s'omplen amb informació sobre la que heu escollit.

La secció a la qual cal prestar atenció té les pestanyes desplegables apilades. Aquestes pestanyes segueixen el model OSI i s’ordenen de nivell més baix a alt amb la informació de nivell més baix a la part superior. Això vol dir que probablement la informació més rellevant és a les pestanyes inferiors.

Cada pestanya conté informació diferent sobre el paquet. Als paquets HTTP, veureu informació sobre la sol·licitud HTTP, inclosos la resposta, les capçaleres i, fins i tot, algun HTML. Altres tipus de paquets poden contenir informació sobre els ports en ús, utilitzant el xifratge, protocols i adreces MAC.

Paquets de filtratge

Pot ser un dolor excavant moltes dades de captura per trobar exactament el que estàs buscant. És ineficient i suposa una gran pèrdua de temps. Wireshark té una funcionalitat de filtratge que permet ordenar ràpidament els paquets per trobar exactament el que és rellevant en un moment donat.

Hi ha algunes maneres bàsiques de Wireshark que permet filtrar resultats. En primer lloc, té molts filtres integrats. Quan comenceu a escriure en un dels camps de filtre, Wireshark els mostrarà com a suggeriments per completar automàticament. Si algun d'aquests és el que està buscant, genial! El filtratge serà molt fàcil.

Wireshark també utilitza el que s’anomenen operadors booleans. Els operadors booleans s’utilitzen per avaluar si una declaració és certa o no. Per exemple, quan voleu que es compleixin dues condicions, haureu d’utilitzar l’operador “i” entre elles perquè la condició 1 i la condició 2 han de ser certes. L’operador “o” és similar, només cal que una de les vostres condicions sigui veritat. Probablement podeu endevinar que l'operador "no" busca quan no existeix una condició.

A més dels operadors booleans, Wireshark admet operadors de comparació. Com el seu nom indica, els operadors de comparació comparen dues o més condicions. Avaluen l’equivalència de condicions com a més gran, inferior o igual.

Filtratge durant la captura

És molt fàcil filtrar els resultats durant la captura. Obriu una còpia de seguretat de les opcions de captura. Cerqueu el botó "Opcions de captura" cap al centre de la finestra. També hi hauria d'haver un camp de text ampli al costat.

Podeu crear el vostre filtre des de zero en aquest camp o feu clic al botó i feu servir els filtres integrats de Wireshark. Proveu de fer clic al botó. S'obrirà una finestra nova amb una llista de filtres. Al fer clic en aquests filtres es reprodueixen els camps següents. El camp inferior és el filtre real que s’està utilitzant. Podeu modificar aquest filtre com a base dels vostres filtres més personalitzats. Quan estigueu llestos, feu clic a "D'acord". A continuació, executeu la vostra exploració com normalment. En lloc de capturar-ho tot, Wireshark només capturarà paquets que compleixin les condicions del vostre filtre. Això facilita l’ordenació i la classificació de les dades de paquets. No heu de cavar molta informació addicional per trobar el que necessiteu.

Resultats de filtratge

Si heu fet una captura completa o una captura més robusta, però voleu filtrar-la després del fet, també podeu fer-ho. Després de realitzar una captura, veureu una barra d’eines addicional a sota de les icones de control. Aquesta barra d’eines disposa d’un camp “Filtre”. Podeu escriure expressions en aquest fitxer per filtrar els resultats que es mostren Wireshark.

Com en el cas del filtratge durant la captura, hi ha una manera senzilla. Feu clic al botó "Expressió" per obrir una finestra que us ajudi a combinar les expressions del filtre. La columna de l’esquerra conté una llista de camps. Aquests camps us permeten triar quina informació dirigireu. La següent columna conté una llista de possibles relacions. La majoria són els símbols de menys, més gran que, igual i combinació. La columna final és per a valors. Aquests són els valors que compareu. Segons el vostre camp, podeu triar o escriure el valor que vulgueu comparar.

Aquests poden ser més complexos i podeu afegir més expressions junts. Això recau en els operadors booleans. Aquests booleans són diferents, però. Aquest camp d’expressió utilitza els símbols per i, o, i no en lloc de les paraules mateixes. || significa "o." i&& és "i." no és."

Per exemple, si ho desitgeu tot menys UDP, utilitzeu! Udp. Si voleu HTTP o TCP, proveu http || tcp També podeu combinar-los en expressions més complexes. Com més complexa sigui la vostra expressió, més perfeccionat serà el vostre filtre.

Seguint els fluxos de paquets

Un cop tingueu un paquet o paquets que us interessin, podeu utilitzar una eina impressionant integrada a Wireshark per seguir tota la “conversa” entre els dos ordinadors que intercanvien aquests paquets. Després dels fluxos de paquets permet que Wirshark ho faci conjunt i formi una imatge resultant més gran. En el cas dels paquets HTTP, Wireshark probablement ajuntarà la font HTML d’una pàgina web. Amb alguns programes VOIP no xifrats, Wireshark pot fins i tot recuperar l'àudio intercanviat. Sí, en realitat pot escoltar les converses de VOIP.

Feu clic amb el botó dret sobre un paquet que vulgueu seguir. Seleccioneu "Segueix … Corrent", amb els punts substituïts pel protocol del paquet. Wireshark trigarà uns segons a cosir-ho tot. Un cop finalitzi, Wireshark us presentarà el resultat completat. Aquesta funció fa que sigui molt més fàcil veure exactament què s’intercanvia a la vostra xarxa. També demostra la importància del xifratge de la xarxa, ja que aquesta característica només ajuntarà un despropòsit total amb paquets xifrats.

Pensaments de cloenda

Wireshark és una eina absolutament impressionant en l’anàlisi de la xarxa. Et dóna accés per veure tot el que passa a la xarxa. Amb Wireshark, podreu entendre millor on es troben els problemes de la vostra xarxa, tant en termes de velocitat com de seguretat. Recordeu utilitzar sempre Wireshark amb cura i enteneu que és molt intrusiu. No espieu la gent i no oblideu mantenir el vostre ús de Wireshark dins de la llei.

Exploreu la vostra xarxa amb wireshark