Wireshark er den ledende nettverksprotokollanalysatoren som brukes av sikkerhetsfagfolk over hele verden. Den lar deg oppdage avvik i datanettverk og finne de underliggende årsakene. Vi vil demonstrere hvordan du bruker Wireshark i de følgende avsnittene.
Så hvordan fungerer det? Og hvordan bruker du Wireshark til å fange datapakker?
Hvordan fungerer Wireshark?
Wiresharks robuste funksjonssett har gjort det til et av de beste verktøyene for å feilsøke nettverksproblemer. Mange bruker Wireshark, inkludert nettverksadministratorer, sikkerhetsrevisorer, malware-analytikere og til og med angripere.
Har du et nettverksproblem? Eller bare vil du vite mer om hjemmenettverket ditt? Disse syv verktøyene kan hjelpe deg med å analysere og feilsøke nettverket ditt.
Den lar deg utføre dype inspeksjoner av live eller lagrede nettverkspakker. Når du begynner å bruke Wireshark, vil du bli fascinert av mengden informasjon det kan tilby. Imidlertid gjør for mye informasjon det ofte vanskelig å holde seg på sporet.
Heldigvis kan vi redusere dette via Wiresharks avanserte filtreringsfunksjoner. Vi vil diskutere dem i detalj senere. Arbeidsflyten består av å fange nettverkspakker og filtrere ut nødvendig informasjon.
Hvordan bruke Wireshark for pakkefangst
Når du starter Wireshark, vil den vise nettverksgrensesnittene som er koblet til systemet ditt. Du bør legge merke til kurver som representerer nettverkskommunikasjon ved siden av hvert grensesnitt.
Nå må du velge et bestemt grensesnitt før du kan begynne å fange pakker. For å gjøre dette, velg grensesnittnavnet og klikk på det blå haifinne ikon. Du kan også gjøre dette ved å dobbeltklikke på grensesnittnavnet.
Wireshark begynner å fange innkommende og utgående pakker for det valgte grensesnittet. Klikk på det røde pause ikonet for å stoppe fangsten. Du bør se en liste over nettverkspakker som er tatt under denne prosessen.
Wireshark viser kilden og destinasjonen for hver pakke ved siden av protokollen. Imidlertid vil du mesteparten av tiden være interessert i innholdet i informasjonsfeltet.
Du kan inspisere individuelle pakker ved å klikke på dem. På denne måten kan du se hele pakkedataene.
Hvordan lagre fangede pakker i Wireshark
Siden Wireshark fanger mye trafikk, kan det være lurt å lagre dem for senere inspeksjon. Heldigvis er det enkelt å lagre fangede pakker med Wireshark.
For å lagre pakker, stopp den aktive økten. Klikk deretter på fil ikonet i toppmenyen. Du kan også bruke Ctrl + S å gjøre dette.
Wireshark kan lagre pakker i flere formater, inkludert pcapng, pcap og dmp. Du kan også lagre fangede pakker i et format som andre verktøy for nettverksanalyse kan senere bruke.
Hvordan analysere fangede pakker
Du kan analysere tidligere fangede pakker ved å åpne fangstfilen. Når du er i hovedvinduet, klikker du Fil> Åpne og velg deretter den aktuelle lagrede filen.
Du kan også bruke Ctrl + O å gjøre dette raskt. Når du har analysert pakkene, avslutter du inspeksjonsvinduet ved å gå til Fil> Lukk.
Hvordan bruke Wireshark-filtre
Wireshark tilbyr en mengde robuste filtreringsmuligheter. Filtre er av to typer - visningsfiltre og fangstfiltre.
Bruke Wireshark displayfiltre
Skjermfiltre brukes til å vise spesifikke pakker fra alle fangede pakker. For eksempel kan vi bruke skjermfilteret icmp for å vise alle ICMP-datapakker.
Du kan velge mellom et stort antall filtre. Videre kan du også definere egendefinerte filtreringsregler for trivielle oppgaver. Gå til for å legge til tilpassede filtre Analyser> Vis filtre. Klikk på + ikonet for å legge til et nytt filter.
Bruke Wireshark Capture Filters
Capture filters brukes til å spesifisere hvilke pakker som skal fanges under en Wireshark-økt. Det produserer betydelig færre pakker enn standardopptak. Du kan bruke dem i situasjoner der du trenger spesifikk informasjon om bestemte pakker.
Skriv inn fangstfilteret ditt i feltet rett over grensesnittlisten i hovedvinduet. Velg grensesnittnavnet fra listen, og skriv inn filternavnet i feltet ovenfor.
Klikk på det blå haifinne ikonet for å begynne å fange pakker. Følgende eksempel bruker arp filter for å fange bare ARP-transaksjoner.
Bruke Wireshark fargeleggingsregler
Wireshark gir flere fargeregler, som tidligere ble betegnet som fargefiltre. Det er en flott funksjon å ha når man analyserer omfattende nettverkstrafikk. Du kan også tilpasse dem basert på preferanser.
Gå til for å vise gjeldende fargeregler Vis> Fargeregler. Her kan du finne standard fargeleggingsregler for installasjonen din.
Du kan endre dem slik du vil. I tillegg kan du også bruke andres fargeregler ved å importere konfigurasjonsfilen.
Last ned filen som inneholder de tilpassede reglene, og importer den deretter ved å velge Visning> Fargeregler> Import. Du kan eksportere regler på samme måte.
Wireshark i aksjon
Så langt har vi diskutert noen av Wiresharks kjernefunksjoner. La oss utføre noen praktiske operasjoner for å demonstrere hvordan disse integreres.
Vi har opprettet en grunnleggende Go-server for denne demonstrasjonen. Den returnerer en enkel tekstmelding for hver forespørsel. Når serveren er i gang, kommer vi med noen HTTP-forespørsler og fanger live trafikk. Merk at vi kjører serveren på localhost.
Først starter vi pakkefangst ved å dobbeltklikke på Loopback (localhost) -grensesnittet. Neste trinn er å starte vår lokale server og sende inn en GET-forespørsel. Vi bruker curl for å gjøre dette.
Wireshark vil fange alle innkommende og utgående pakker under denne samtalen. Vi vil se dataene som sendes av serveren vår, så vi bruker http.respons vise filter for visning av responspakker.
Nå vil Wireshark skjule alle andre fangede pakker og bare vise svarpakker. Hvis du ser nøye på pakkedetaljene, bør du legge merke til klartekstdataene som sendes av serveren vår.
Nyttige Wireshark-kommandoer
Du kan også bruke forskjellige Wireshark-kommandoer for å kontrollere programvaren fra Linux-terminalen. Her er noen grunnleggende Wireshark-kommandoer:
- wireshark starter Wireshark i grafisk modus.
- wireshark -h viser tilgjengelige kommandolinjealternativer.
- wireshark -i GRENSESNITT velger INTERFACE som fotograferingsgrensesnitt.
Tshark er kommandolinjealternativet for Wireshark. Den støtter alle viktige funksjoner og er ekstremt effektiv.
Analyser nettverkssikkerhet med Wireshark
Wiresharks rike funksjonssett og avanserte filtreringsregler gjør pakkeanalyse produktiv og grei. Du kan bruke den til å finne all slags informasjon om nettverket ditt. Prøv de mest grunnleggende funksjonene for å lære hvordan du bruker Wireshark til pakkeanalyse.
Wireshark er tilgjengelig for nedlasting på enheter som kjører Windows, macOS og Linux.
Vil du overvåke nettverket eller eksterne enheter? Slik gjør du Raspberry Pi til et nettverksovervåkingsverktøy ved hjelp av Nagios.
- Linux
- Mac
- Windows
- Sikkerhet
- Online sikkerhet
Rubaiat er en CS grad med en sterk lidenskap for åpen kildekode. Bortsett fra å være Unix-veteran, er han også interessert i nettverkssikkerhet, kryptografi og funksjonell programmering. Han er en ivrig samler av brukte bøker og har en uendelig beundring for klassisk rock.
Abonner på vårt nyhetsbrev
Bli med på vårt nyhetsbrev for tekniske tips, anmeldelser, gratis e-bøker og eksklusive tilbud!
Ett steg til…!
Bekreft e-postadressen din i e-posten vi nettopp sendte deg.