כיצד להשתמש Wireshark ללכוד, לסנן ולבדוק מנות
Wireshark, כלי ניתוח רשת המכונה בעבר שמימי, לוכדת מנות בזמן אמת ולהציג אותם בפורמט קריא אדם. Wireshark כולל מסננים, קידוד צבע, ותכונות אחרות המאפשרים לך לחפור עמוק לתוך תעבורת הרשת ולבדוק מנות בודדות.
הדרכה זו תקבלו עד מהירות עם יסודות של לכידת מנות, סינון אותם, ובדיקה אותם. באפשרותך להשתמש ב- Wireshark כדי לבדוק את תעבורת הרשת של התוכנית החשודה, לנתח את זרימת התנועה ברשת או לפתור בעיות רשת.
מקבל את ווירשארק
אתה יכול להוריד Wireshark עבור Windows או MacOS מהאתר הרשמי שלה. אם אתה משתמש לינוקס או מערכת אחרת כמו יוניקס, אתה כנראה תמצא Wireshark במאגרי החבילה שלה. לדוגמה, אם אתה משתמש באובונטו, תמצא את Wireshark במרכז התוכנה של אובונטו.
רק אזהרה מהירה: ארגונים רבים אינם מאפשרים Wireshark וכלים דומים ברשתות שלהם. אל תשתמש בכלי זה בעבודה אלא אם יש לך הרשאה לכך.
לכידת מנות
לאחר הורדה והתקנה של Wireshark, באפשרותך להפעיל אותו וללחוץ פעמיים על שם ממשק הרשת תחת Capture כדי להתחיל ללכוד מנות בממשק זה. לדוגמה, אם ברצונך לצלם תנועה ברשת האלחוטית, לחץ על הממשק האלחוטי. באפשרותך להגדיר תכונות מתקדמות על-ידי לחיצה על 'צלם'> 'אפשרויות', אך אין צורך בכך כעת.
ברגע שאתה לוחץ על שם הממשק, תראה את מנות להתחיל להופיע בזמן אמת. Wireshark לוכדת כל מנות שנשלחו אל או מתוך המערכת שלך.
אם הפעלת מצב מופסק - היא מופעלת כברירת מחדל - תראה גם את כל החבילות האחרות ברשת, במקום רק מנות הממוענות למתאם הרשת. כדי לבדוק אם מצב מופסק מופעל, לחץ על לכידה> אפשרויות ואמת את תיבת הסימון "הפעל מצב מופסק בכל הממשקים" מופעלת בחלק התחתון של חלון זה.
לחץ על הלחצן האדום "עצור" ליד הפינה השמאלית העליונה של החלון כאשר ברצונך להפסיק לכידת תנועה.
קידוד צבעים
אתה בטח תראה מנות מודגשים במגוון צבעים שונים. Wireshark משתמש בצבעים כדי לעזור לך לזהות את סוגי התנועה במבט אחד. כברירת מחדל, סגול בהיר הוא תנועה TCP, כחול בהיר הוא תנועה UDP, ושחור מזהה מנות עם שגיאות, למשל, הם היו יכולים להיות מסולקות.
כדי להציג בדיוק את משמעות קודי הצבע, לחץ על תצוגה> כללי צביעה. ניתן גם להתאים אישית ולשנות את כללי צביעה מכאן, אם אתה רוצה.
לדוגמא לוכדת
אם אין שום דבר מעניין ברשת שלך לבדוק, ויקי של Wireshark יש לך מכוסה. ויקי מכיל דף של קבצים ללכוד לדוגמה שאתה יכול לטעון ולבדוק. לחץ על קובץ> פתח ב- Wireshark וגלוש את הקובץ שהורדת כדי לפתוח אותו.
אתה יכול גם לשמור את עצמו לוכדת ב Wireshark ולפתוח אותם מאוחר יותר. לחץ על קובץ> שמור כדי לשמור את החבילות שנתפסו.
סינון חבילות
אם אתה מנסה לבדוק משהו ספציפי, כגון התנועה התוכנית שולחת כאשר מתקשר הביתה, זה עוזר לסגור את כל היישומים האחרים באמצעות הרשת, כך שתוכל לצמצם את התנועה. ובכל זאת, סביר להניח שיש כמות גדולה של מנות כדי לנפות. זה המקום שבו מסננים של Wireshark נכנסים.
הדרך הבסיסית ביותר להחיל מסנן היא על ידי הקלדת אותו לתוך תיבת הסינון בחלק העליון של החלון ולחיצה על החל (או הקשה על Enter). לדוגמה, הקלד "dns" ותראה רק מנות DNS. כאשר אתה מתחיל להקליד, Wireshark יעזור לך השלמה אוטומטית של המסנן שלך.
תוכל גם ללחוץ על ניתוח> מסנני תצוגה כדי לבחור מסנן מבין מסנני ברירת המחדל הכלולים ב- Wireshark. מכאן, תוכל להוסיף מסננים מותאמים אישית משלך ולשמור אותם בקלות לגשת אליהם בעתיד.
לקבלת מידע נוסף על שפת סינון התצוגה של Wireshark, קרא את הדף ביטויים של מסנן הצגת תצוגה במסמכי Wireshark הרשמיים.
עוד דבר מעניין שאתה יכול לעשות הוא לחץ לחיצה ימנית על מנה ובחר 'עקוב אחר' זרם TCP.
תראה את שיחת ה- TCP המלאה בין הלקוח לשרת. תוכל גם ללחוץ על פרוטוקולים אחרים בתפריט 'עקוב' כדי לראות את השיחות המלאות עבור פרוטוקולים אחרים, אם רלוונטי.
סגור את החלון ומצא מסנן הוחל באופן אוטומטי. Wireshark מראה לך את החבילות המרכיבות את השיחה.
בדיקת מנות
לחץ על מנה כדי לבחור אותה ואתה יכול לחפור למטה כדי להציג את הפרטים שלה.
תוכל גם ליצור מסננים מכאן - פשוט לחץ לחיצה ימנית על אחד הפרטים והשתמש בתפריט המשנה 'החל כתוסף' כדי ליצור מסנן המבוסס על זה.
Wireshark הוא כלי רב עוצמה, הדרכה זו היא רק מגרדת את פני השטח של מה שאתה יכול לעשות עם זה. אנשי מקצוע משתמשים בו כדי לאתר באגים פרוטוקולי רשת, לבחון בעיות אבטחה ולבדוק את הפנימיות של פרוטוקול הרשת.
אתה יכול למצוא מידע מפורט יותר במדריך הרשמי של Wireshark של המשתמש ואת דפי תיעוד אחרים באתר של Wireshark.
