כיצד להשתמש ב- Wireshark כדי ללכוד, לסנן ולבדוק מנות

Wireshark, כלי ניתוח רשת שהיה ידוע בעבר בשם Ethereal, לוכד חבילות בזמן אמת ומציג אותן בפורמט קריא לאדם. Wireshark כולל פילטרים, קידוד צבעים ותכונות אחרות המאפשרות לך להתעמק בתעבורת רשת ולבדוק חבילות בודדות.

מדריך זה יעודכן אתכם במהות היסודות של לכידת מנות, סינון ובדיקה. תוכל להשתמש ב- Wireshark כדי לבדוק את תעבורת הרשת של תוכנית חשודה, לנתח את זרימת התנועה ברשת שלך או לפתור בעיות ברשת.

מקבל Wireshark

אתה יכול להוריד את Wireshark עבור Windows או MacOS מהאתר הרשמי שלה. אם אתה משתמש בלינוקס או במערכת דמוית UNIX אחרת, כנראה שתמצא את Wireshark במאגרי החבילות שלה. לדוגמה, אם אתה משתמש באובונטו, תמצא את Wireshark במרכז התוכנה של אובונטו.

רק אזהרה מהירה: ארגונים רבים אינם מאפשרים Wireshark וכלים דומים ברשתות שלהם. אל תשתמש בכלי זה בעבודה אלא אם כן יש לך הרשאה.

לכידת מנות

לאחר ההורדה וההתקנה של Wireshark, באפשרותך להפעיל אותו וללחוץ פעמיים על שם ממשק הרשת תחת לכידה כדי להתחיל ללכוד חבילות בממשק זה. לדוגמא, אם ברצונך לתפוס תנועה ברשת האלחוטית שלך, לחץ על הממשק האלחוטי שלך. באפשרותך להגדיר תכונות מתקדמות על ידי לחיצה על לכידה> אפשרויות, אך אין צורך בינתיים.

ברגע שתלחץ על שם הממשק, תראה שהחבילות מתחילות להופיע בזמן אמת. Wireshark לוכדת כל חבילה שנשלחת למערכת שלך או ממנה.

אם הפעלת מצב זנותי - הוא מופעל כברירת מחדל - תראה גם את כל שאר החבילות ברשת במקום רק חבילות המופנות למתאם הרשת שלך. כדי לבדוק אם מצב מופקר מופעל, לחץ על לכידה> אפשרויות וודא שתיבת הסימון "הפעל מצב מופקר על כל הממשקים" מופעלת בתחתית חלון זה.

לחץ על הלחצן האדום "עצור" ליד הפינה השמאלית העליונה של החלון כאשר ברצונך להפסיק לתפוס תנועה.

קידוד צבעים

כנראה שתראו חבילות מודגשות במגוון צבעים שונים. Wireshark משתמש בצבעים כדי לעזור לך לזהות את סוגי התנועה במבט אחד. כברירת מחדל, סגול בהיר הוא תעבורת TCP, כחול בהיר הוא תעבורת UDP, ושחור מזהה חבילות עם שגיאות - למשל, ניתן היה למסור אותן שלא בסדר.

כדי לראות בדיוק מה משמעות קודי הצבע, לחץ על תצוגה> כללי צביעה תוכל גם להתאים אישית ולשנות את כללי הצביעה מכאן, אם תרצה.

לכידת דוגמה

אם אין שום דבר מעניין לבחון ברשת שלך, הוויקי של Wireshark סיקר אותך. הוויקי מכיל דף של קבצי לכידת דוגמה שתוכלו לטעון ולבדוק. לחץ על קובץ> פתח ב- Wireshark וחפש את הקובץ שהורדת כדי לפתוח אותו.

אתה יכול גם לשמור את הצילומים שלך ב- Wireshark ולפתוח אותם מאוחר יותר. לחץ על קובץ> שמור כדי לשמור את החבילות שנתפסו.

סינון מנות

אם אתה מנסה לבדוק משהו ספציפי, כגון התעבורה שתוכנית שולחת כאשר מתקשרים לטלפון הביתה, זה עוזר לסגור את כל היישומים האחרים המשתמשים ברשת כדי שתוכל לצמצם את התנועה. ובכל זאת, סביר להניח שיש לך כמות גדולה של חבילות לנפות. שם נכנסים המסננים של Wireshark.

הדרך הבסיסית ביותר להחיל מסנן היא על ידי הקלדתו בתיבת הסינון שבראש החלון ולחיצה על החל (או הקשה על Enter). לדוגמה, הקלד "dns" ותראה רק מנות DNS. כשתתחיל להקליד, Wireshark יעזור לך להשלים את המסנן שלך באופן אוטומטי.

אתה יכול גם ללחוץ על ניתוח> מסנני תצוגה כדי לבחור מסנן מבין מסנני ברירת המחדל הכלולים ב- Wireshark. מכאן תוכל להוסיף מסננים מותאמים אישית משלך ולשמור אותם כדי לגשת אליהם בקלות בעתיד.

לקבלת מידע נוסף על שפת סינון התצוגה של Wireshark, קרא את דף ביטויי המסנן לתצוגה של בניין בתיעוד הרשמי של Wireshark.

דבר מעניין נוסף שתוכלו לעשות הוא ללחוץ לחיצה ימנית על מנה ולבחור בצע> זרם TCP.

תראה את שיחת ה- TCP המלאה בין הלקוח לשרת. אתה יכול גם ללחוץ על פרוטוקולים אחרים בתפריט 'עקוב' כדי לראות את השיחות המלאות עבור פרוטוקולים אחרים, אם רלוונטי.

סגור את החלון ותגלה שמסנן הוחל באופן אוטומטי. Wireshark מראה לכם את החבילות המרכיבות את השיחה.

בדיקת מנות

לחץ על חבילה כדי לבחור אותה ותוכל לחפור למטה כדי להציג את פרטיה.

אתה יכול גם ליצור פילטרים מכאן - פשוט לחץ באמצעות לחצן העכבר הימני על אחד הפרטים והשתמש בתפריט המשנה החל כמסנן כדי ליצור מסנן על בסיס זה.

Wireshark הוא כלי חזק ביותר, והדרכה זו רק מגרדת את פני השטח של מה שאתה יכול לעשות איתו. אנשי מקצוע משתמשים בו לניפוי באגים על יישומי פרוטוקול רשת, לבחון בעיות אבטחה ולבדוק פנימיות בפרוטוקול רשת.

תוכל למצוא מידע מפורט יותר במדריך המשתמש הרשמי של Wireshark ובדפי התיעוד האחרים באתר Wireshark.