10 советов по использованию Wireshark для анализа пакетов данных

10 советов по использованию Wireshark для анализа пакетов данных

Системные и сетевые инженеры занимаются обеспечением безопасности и устранением неполадок в сети. Для выполнения этих задач используются программы-анализаторы сетевых пакетов. Wireshark — самый популярный из них, благодаря своей универсальности и простоте использования. Также, Wireshark позволяет не только отслеживать трафик в режиме реального времени, но и сохранять его в файл для последующего просмотра.

Содержание:

  1. Установка Wireshark в Linux
  2. Настройка параметров захвата
  3. Совет № 1 — проверка HTTP-трафика
  4. Совет №2 — проверка трафика HTTP с заданного IP-адреса
  5. Совет №3 — проверка HTTP-трафика на заданный IP-адрес
  6. Совет №4 — мониторинг трафика Apache и MySQL в сети
  7. Совет №5 — исключение пакетов с заданными IP-адресами
  8. Совет № 6 — мониторинг трафика локальной сети (192.168.0.0/24)
  9. Совет №7 — отслеживание содержания в TCP conversation
  10. Совет № 8 — изменение правил раскраски
  11. Совет № 9 — сохранение Capture в файл
  12. Совет № 10 — образцы захвата
  13. Выводы

Установка Wireshark в Linux

Прежде всего, необходимо скачать Wireshark. Сделать это можно здесь.

Чтобы Wireshark было проще установить, он должен быть доступен непосредственно из репозиториев Вашего дистрибутива. И хотя версии программы могут отличаться, параметры и меню должны быть одинаковыми в каждой из них.

 

 

 

Важно: если Вы не будете использовать sudo для запуска Wireshark в Debian, то возникнет известная ошибка. И ее последствия могут препятствовать листингу сетевых интерфейсов.

После запуска Wireshark Вы можете выбрать сетевой интерфейс в разделе «Захват» (Capture):

Wireshark Network Analyzer

В этой статье мы будем использовать интерфейс eth0, но Вы можете выбрать любой другой.

Важно: не нажимайте на выбор интерфейса сразу — мы сделаем это после того, как рассмотрим несколько опций.

Настройка параметров захвата

Наиболее полезные опции захвата в Wireshark:

  • Сетевой интерфейс. Как мы объясняли ранее, мы будем анализировать только пакеты, проходящие через eth0, входящие или исходящие.
  • Фильтр захвата. Этот параметр указывает, какой вид трафика мы хотим отслеживать по порту, протоколу или типу.

Прежде чем перейти к советам, важно отметить, что некоторые организации запрещают использование Wireshark в своих сетях.

Важно: если Вы используете Wireshark НЕ в личных целях, убедитесь, что Ваша организация разрешает применение программы.

Выберите eth0 из раскрывающегося списка и нажмите кнопку «Начать» в меню. Вы увидите весь трафик, проходящий через этот интерфейс. Стоит отметить, что эта не самая полезная функция для мониторинга из-за большого количества проверяемых пакетов.

Monitor Network Interface Traffic

Значки на скриншоте отображают доступные интерфейсы и позволяют остановить текущий захват и перезапустить его (красное поле слева), а также настроить и отредактировать фильтр (красное поле справа). Когда Вы наведите курсор на одну из этих пиктограмм, появится подсказка, указывающая на ее назначение.

Совет № 1 — проверка HTTP-трафика

Введите http в поле фильтра и нажмите «Применить». Затем запустите браузер и перейдите на любой сайт:

Inspect HTTP Network Traffic

Чтобы начать новый анализ, остановите захват в реальном времени и отредактируйте фильтр параметров съемки.

Совет №2 — проверка трафика HTTP с заданного IP-адреса

Чтобы осуществить проверку, добавим в фильтр для отслеживания HTTP-трафика между локальным компьютером и 192.168.0.10 параметр ip.src:

 

Inspect HTTP Traffic on IP Address

Совет №3 — проверка HTTP-трафика на заданный IP-адрес

Этот пункт тесно связан с советом №2. Но в этом случае мы будем использовать параметр ip.dst как часть фильтра захвата:

Wireshark Monitor HTTP Network Traffic to IP Address

Объединяя советы №2 и №3, Вы можете использовать ip.addr в правиле фильтрации вместо ip.src или ip.dst.

Совет №4 — мониторинг трафика Apache и MySQL в сети

Эта функция может Вам пригодиться при необходимости проверить трафик, который будет соответствовать определенным условиям. К примеру, чтобы контролировать трафик на портах TCP 80 (веб-сервер) и 3306 (сервер базы данных MySQL / MariaDB), можно использовать условие OR в фильтре захвата:

Monitor Apache and MySQL Traffic

В советах №2 и №3 символ || и слово or производят одинаковые операции. То же самое справедливо для символов && и слова and.

Совет №5 — исключение пакетов с заданными IP-адресами

Чтобы исключить пакеты, не соответствующие правилам фильтра, используйте ! и заключите правило в круглые скобки. Например, чтобы исключить отправляемые пакеты или направляющиеся к заданному IP-адресу, Вы можете использовать:

Совет № 6 — мониторинг трафика локальной сети (192.168.0.0/24)

Это правило фильтра позволит отображать только локальный трафик и исключать различные пакеты (как адресованные, так и поступающие из Интернета):

 

Wireshark Monitor Local Network Traffic

Совет №7 — отслеживание содержания в TCP conversation

Для того, чтобы проверить содержимое TCP conversation (обмена данными протокола TCP), щелкните правой кнопкой мыши на данном пакете и выберите TCP поток. Появится всплывающее окно с содержанием TCP conversation.

Monitor TCP Conversation

Важно: если мы проверяем веб-трафик в Wireshark, а также любые простые текстовые учетные данные, передаваемые в ходе процесса, то тут появятся HTTP-заголовки.

Совет № 8 — изменение правил раскраски

Наверняка Вы уже заметили, что каждая строка в окне захвата окрашена. По умолчанию, HTTP-трафик появляется на зеленом фоне с белым текстом, в то время как контрольная проверка ошибок отображается красным цветом текста на черном фоне.

Если Вы хотите изменить эти настройки, нажмите на значок «Редактирование правил раскраски», выберите фильтр и нажмите кнопку «Изменить».

Wireshark Customize Wireshark Output in Colors

Совет № 9 — сохранение Capture в файл

Вы можете изучить содержимое захвата Wireshark подробнее, сохранив его. Для этого перейдите в меню «Файл → Экспорт» и выберите формат экспорта из списка:

Save Wireshark Capture to File

Совет № 10 — образцы захвата

Если Вам нужны более сложные сетевые настройки, Wireshark предоставляет ряд образцов файлов захвата, которые можно использовать на практике. Вы можете загрузить эти Sample Captures и импортировать их с помощью меню «Файл → Импортировать».

Выводы

Спасибо за время, уделенное на прочтение статьи! Теперь Вы знаете про особенности работы с таким удобным и многофункциональным инструментом, как Wireshark для анализа пакетов данных. Надеемся, эти знания помогут Вам повысить свою квалификацию.

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности, полный курс по кибербезопасности, курсы DevNet / DevOps (программируемые системы) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).

Курсы Cisco, Linux, кибербезопасность, DevOps / DevNet, Python с трудоустройством!

Спешите подать заявку! Группы стартуют 25 января, 26 февраля, 22 марта, 26 апреля, 24 мая, 21 июня, 26 июля, 23 августа, 20 сентября, 25 октября, 22 ноября, 20 декабря.
Что Вы получите?
  • Поможем стать экспертом по сетевой инженерии, кибербезопасности, программируемым сетям и системам и получить международные сертификаты Cisco, Linux LPI, Python Institute.
  • Предлагаем проверенную программу с лучшими учебниками от экспертов из Cisco Networking Academy, Linux Professional Institute и Python Institute, помощь сертифицированных инструкторов и личного куратора.
  • Поможем с трудоустройством и стартом карьеры в сфере IT — 100% наших выпускников трудоустраиваются.
Как проходит обучение?
  • Проведем вечерние онлайн-лекции на нашей платформе.
  • Согласуем с вами удобное время для практик.
  • Если хотите индивидуальный график — обсудим и реализуем.
  • Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
  • Всем, кто боится потерять мотивацию и не закончить обучение, предложим общение с профессиональным коучем.
А еще поможем Вам:
  • отредактировать или создать с нуля резюме;
  • подготовиться к техническим интервью;
  • подготовиться к конкурсу на понравившуюся вакансию;
  • устроиться на работу в Cisco по специальной программе. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
Чтобы учиться на курсах Cisco, Linux LPI, кибербезопасность, DevOps / DevNet, Python, подайте заявку или получите бесплатную консультацию.

Больше похожих постов

4 комментария. Оставить новый

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения

Поиск по сайту
Лучшее
Популярное
Рубрики
Меню