Як користуватися wireshark для аналізу трафіку

Wireshark - це потужний мережевий аналізатор, який може використовуватися для аналізу трафіку, що проходить через мережевий інтерфейс вашого комп`ютера. Це може знадобитися для виявлення і вирішення проблем з мережею, налагодження ваших веб-додатків, мережевих програм або сайтів. Wireshark дозволяє повністю переглядати вміст пакета на всіх рівнях, так ви зможете краще зрозуміти як працює мережа на низькому рівні.

Всі пакети перехоплюються в реальному часі і надаються в зручному для читання форматі. Програма підтримує дуже потужну систему фільтрації, підсвічування кольором, і інші особливості, які допоможуть знайти потрібний пакет. У цій інструкції ми розглянемо як користуватися Wireshark для аналізу трафіку. Нещодавно розробники взялися до роботи над другою гілкою програми Wireshark 2.0, в ній було внесено безліч змін і поліпшень, особливо для інтерфейсу. Саме її ми будемо використовувати в цій статті.

Основні можливості Wireshark

Перед тим як переходити до розгляду способів аналізу трафіку потрібно розглянути які можливості підтримуються програмним забезпеченням більш детально, з якими протоколами вона може працювати і що робити. Ось основні можливості програми:

• Захоплення пакетів в реальному часі з проводового або будь-якого іншого типу мережевих інтерфейсів, а також читання з файлу;
• Підтримуються такі інтерфейси захоплення: Ethernet, IEEE 802.11, PPP, і локальні віртуальні інтерфейси;
• Пакети можна відсівати за багатьма параметрами за допомогою фільтрів;
• Всі відомі протоколи підсвічуються в списку різними кольорами, наприклад TCP, HTTP, FTP, DNS, ICMP і так далі;
• Підтримка захоплення трафіку VoIP дзвінків;
• Підтримується розшифровка HTTPS трафіку при наявності сертифіката;
• Розшифровка WEP, WPA трафіку бездротових мереж при наявності ключа і handshake;
• Відображення статистики навантаження на мережу;
• Перегляд вмісту пакетів для всіх мережевих рівнів;
• Відображення часу відправлення та отримання пакетів.

Програма має безліч інших функцій, але це були ті основні, які можуть вас зацікавити.

Відео: Wireshark, злом і захист у відкритих wi-fi мережах

Як користуватися Wireshark

Я припускаю, що програма у вас вже встановлена, але якщо ні, то ви можете її встановити з офіційних репозиторіїв. Для цього наберіть команду в Ubuntu:

А для Gnome / Unity:

А щоб отримати не тільки відправлені пакети, але і отримані у відповідь від цього вузла можна об`єднати дві умови:

Також ми можемо відібрати передані великі файли:

Щоб очистити фільтр ви можете натиснути кнопку Clear. Буває не завжди ви знаєте всю необхідну для фільтрації інформацію, а просто хочете вивчити мережу. Ви можете додати будь-яке поле пакету в якості колонки і подивитися його вміст в загальному вікні для кожного пакета.

Наприклад, я хочу вивести у вигляді колонки ttl (час життя) пакета. Для цього відкрийте інформацію про пакет, знайдіть це поле в розділі IP. Потім викличте контекстне меню і виберіть опцію Apply As Column:

Далі ви побачите потрібну колонку після поновлення:

Також саме можна створити фільтр на основі будь-якого потрібного поля. Виберіть потрібне поле і викличте контекстне меню, потім натисніть Apply as filter або Prepare as filter, потім вибрати Selected щоб вивести тільки обрані значення або Not selected, щоб їх прибрати:

Зазначене поле і його значення буде застосовано або в другому випадку підставлено в поле фільтра:

Відео: Перехоплення пароля за допомогою Wireshark

Таким способом ви можете додати в фільтр поле будь-якого пакета або колонку. Там теж є ця опція в контекстному меню. Для фільтрації протоколів ви можете використовувати і більш прості умови. Наприклад, виконаємо аналіз трафіку Wireshark для протоколів HTTP і DNS: