Как да използвам Wireshark? Анализ на трафика

Понякога, когато се използва интернет, съществуват ситуации, при които има изтичане на трафик или неочакван разход на системни ресурси. За да анализирате бързо и да идентифицирате източника на проблема, използвайте специални мрежови инструменти. За една от тях, WireShark, ще бъдат обсъдени в статията.

Обща информация

Преди да използвате WireShark, трябва да се запознаете с неговата област на приложение, функционалност и възможности. Кратко: Програмата ви позволява да прехващате пакети в реално време в кабелни и безжични мрежови връзки. Отнася се за Ethernet, IEEE 80211 PPP и подобни протоколи. Можете да използвате и да прекъсвате VoIP повиквания.


Програмата е лицензирана под GNU GPL, което означава - свободен и отворен код. Можете да го стартирате на много дистрибуции на Linux, MacOS, а има и версия за операционната система Windows.

Как се използва WireShark?

Първо, първо е необходимо да се инсталира в системата. Тъй като една от най-често използваните дистрибуции на Linux е Ubuntu, то всички примери ще бъдат показани в нея. За да инсталирате е достатъчно да въведете в командната конзола: sudo apt-get install wireshark След това програмата ще се появи в главното меню. Можете да го стартирате оттам. Но това е по-добре да се направи от терминала, тъй като има нужда от привилегии на суперпотребител. Това може да стане по следния начин: sudo wireshark

Външен вид

Програмата има удобен графичен интерфейс. Ще се появи удобен за потребителя прозорец пред потребителя, разделен на 3 части.Веднага с ентусиазма, свързан първо, вторият се отнася до отварянето на файлове и мостри, а третият - с помощта и подкрепата.


Блокът Capture съдържа списък на наличните мрежови интерфейси. Когато избирате например eth0 и натискането на Старт ще започне процеса на прихващане. Прозорецът с прехванати данни също е логически разделен на няколко части. Над е контролен панел с различни елементи. Следва списък с пакети. Той е представен като таблица. Тук можете да видите серийния номер на пакета, времето на прихващане, адреса на изпращане и получаване. Можете също да изтриете данни за протоколи, дължини и друга полезна информация. По-долу е даден списък със съдържанието на техническите данни на избрания пакет. А по-долу е картографирането в шестнадесетичен. Всяко подаване може да бъде разгърнато в голям прозорец за по-удобно четене на данни.

Прилагане на филтри

По време на работата на програмата, потребителят винаги ще изпълнява десетки или дори стотици пакети. Пресейте ги ръчно е трудно и дълго. Затова официалното ръководство за WireShark препоръчва използването на филтри. Те имат специално поле в прозореца на програмата - Филтър. За да стане филтърът по-точен, има бутон Expression. Но за повечето случаи има и стандартен набор от филтри:
  • ip.dst - ip-дестинация;
  • ip.src - адрес на изпращача;
  • ip.addr - просто всеки ip;
  • ip.proto - протокол.
  • Използване на филтри в WireShark - Инструкция

    изпълнявайки програма с филтри, трябва да въведете посочената команда в полето Филтър. Например, такъв набор - ip.dst == 17221723.131 - ще покаже всички полети, които се доставят на сайта на Google. За да видите целия трафик - входящ и изходящ - можете да комбинирате две формули - ip.dst == 17221723.131 || ip.src == 17221723.131. По този начин е възможно да се използват две условия в един ред в даден момент.
    Можете да използвате и други условия, като например ip.ttl 5000.

    Допълнителни функции

    За удобство, WireShark има бърз начин да избере параметрите на пакета като поле за анализ. Например в полето с технически данни можете да щракнете с десен бутон върху желания обект и да изберете Приложи като колона. Какво означава да се преведат в полето като колони.
    По същия начин можете да изберете всеки параметър и като филтър. За да направите това, в контекстното меню има елемент Apply as Filter.

    Отделна сесия

    Можете да използвате WireShark като монитор между два мрежови възли, като потребител и сървър. За да направите това, изберете пакет, извикайте контекстното меню и кликнете върху Проследяване на TCP-потока. Новият прозорец ще покаже целия обмен на журнали между двата възела.

    Диагностика

    WireShark има отделен инструмент за анализ на мрежовите проблеми. Тя се нарича експертни инструменти. Можете да го намерите в долния ляв ъгъл, под формата на кръгла икона. След щракване върху него ще се отвори нов прозорец с няколко раздела - Грешки, Предупреждения и други. С тяхна помощ можете да анализирате кои възли се провалят, да не достигнете пакетите и да идентифицирате други мрежови проблеми.

    Гласов трафик

    Както вече споменахме, WireShark може да прихване игласов трафик За целта се задава цялото меню за телефония. Това може да се използва за намиране на проблеми в VoIP и за бързото им разрешаване. Повиквания на VoIP точка в менюто Телефония ви позволяват да преглеждате и слушате обажданията, които извършвате.

    Експортиране на обекти

    Това е може би най-интересната функционалност на програмата. Тя ви позволява да използвате WireShark като прехващач на файлове, които се предават по мрежата. За да направите това, трябва да спрете процеса на прихващане и да експортирате HTTP обекти от менюто Файл. Прозорецът ще покаже списък на всички подадени от сесията файлове, които могат да се съхраняват на удобно място.

    В заключение

    За съжаление сегашната версия на WireShark на руски език ще бъде трудна за намиране в мрежата. Най-широко използваният и често използван е английският. Има и случаи с подробни инструкции на WireShark на руски език. Официалният разработчик е представен на английски език. Има много малки и къси съвети за начинаещи по мрежата.
    Въпреки това тези, които отдавна работят в областта на информационните технологии, за да се справят с програмата, не представляват особени затруднения. Чудесната възможност и богатата функционалност ще просветят всички трудности в обучението. Струва си да се отбележи, че в някои страни използването на снайперист, който е WireShark, може да бъде незаконно.

    Свързани публикации