10 советов по использованию Wireshark для анализа пакетов данных

Новости

Системные и сетевые инженеры занимаются обеспечением безопасности и устранением неполадок в сети. Для выполнения этих задач используются программы-анализаторы сетевых пакетов. Wireshark — самый популярный из них благодаря своей универсальности и простоте использования. Также, Wireshark позволяет не только отслеживать трафик в режиме реального времени, но и сохранять его в файл для последующего просмотра.

Установка Wireshark в Linux

Скачать Wireshark можно здесь.

Wireshark должен быть доступен непосредственно из репозиториев вашего дистрибутива для более легкой установки. Хотя версии программы могут отличаться, но параметры и меню должны быть одинаковыми в каждой версии.

------------ On Debian/Ubuntu based Distros ------------

$ sudo apt-get install wireshark

 

------------ On CentOS/RHEL based Distros ------------

$ sudo yum install wireshark

 

------------ On Fedora 22+ Releases ------------

$ sudo dnf install wireshark

Eсли вы не используете sudo для запуска Wireshark в Debian, возникнет известная ошибка и её последствия, которые могут препятствовать листингу сетевых интерфейсов.

После запуска Wireshark вы можете выбрать сетевой интерфейс, который вы хотите контролировать в разделе Capture:

Wireshark Network Analyzer

В этой статье мы будем использовать  eth0, но вы можете выбрать другое имя драйвера. Не нажимайте на интерфейс — мы сделаем это, после того, как рассмотрим несколько опций выбора.

Настройка параметров «захвата»

Наиболее полезные опции «захвата» в Wireshark:

  • Сетевой интерфейс. Как мы объясняли ранее, мы будем анализировать только пакеты, проходящие через eth0, входящие или исходящие.
  • Фильтр захвата. Этот параметр указывает, какой вид трафика мы хотим отслеживать по порту, протоколу или типу.

Прежде чем перейти к советам, важно отметить, что некоторые организации запрещают использование Wireshark в своих сетях.

Поэтому:

ЕСЛИ ВЫ НЕ ИСПОЛЬЗУЕТЕ WIRESHARK В ЛИЧНЫХ ЦЕЛЯХ, УБЕДИТЕСЬ, ЧТО ВАША ОРГАНИЗАЦИЯ РАЗРЕШАЕТ ЕГО ИСПОЛЬЗОВАНИЕ.

Выберите eth0 из раскрывающегося списка и нажмите кнопку «Start» в меню. Вы увидите весь трафик, проходящий через этот интерфейс. Не очень полезно для мониторинга из-за большого количества проверенных пакетов, но это только начало.

Monitor Network Interface Traffic

Значки на скриншоте отображают доступные интерфейсы и позволяют, остановить текущий захват и перезапустить его (красное поле слева), а также настроить и отредактировать фильтр (красное поле справа). Когда вы наведите курсор на одну из этих пиктограмм, появится подсказка, указывающая, что она делает.

 

СОВЕТ № 1 — проверка HTTP-трафика

Введите http в поле фильтра и нажмите «Apply». Запустите браузер и перейдите на любой сайт, который вы хотите:

Inspect HTTP Network Traffic

Чтобы начать каждый последующий анализ, остановите захват в реальном времени и отредактируйте фильтр параметров съемки.

СОВЕТ №2 — проверка трафика HTTP с заданного IP-адреса

В этой статье мы добавим

ip==192.168.0.10&&

в фильтр для отслеживания HTTP-трафика между локальным компьютером и 192.168.0.10:

Inspect HTTP Traffic on IP Address

СОВЕТ №3 — проверка HTTP-трафика на заданный IP-адрес

Этот пункт тесно связан с советом №2, в этом случае мы будем использовать ip.dst как часть фильтра захвата:

ip.dst==192.168.0.10&&http

Wireshark Monitor HTTP Network Traffic to IP Address

Объединяя советы №2 и №3, вы можете использовать ip.addr в правиле фильтрации вместо ip.src или ip.dst.

 

СОВЕТ №4 — Мониторинг трафика Apache и MySQL в сети

При необходимости проверить трафик, который будет соответствовать нескольким условиям. К примеру, чтобы контролировать трафик на портах TCP 80 (веб-сервер) и 3306 (сервер базы данных MySQL / MariaDB), можно использовать условие OR в фильтре захвата:

tcp.port==80||tcp.port==3306

Monitor Apache and MySQL Traffic

В советах №2 и №3 символ || и слово or производят одинаковые операции. То же самое с && и словом and.

Совет №5 — Исключение пакетов с заданными IP-адресами

Чтобы исключить пакеты, не соответствующие правилам фильтра, используйте ! и заключите правило в круглые скобки. Например, чтобы исключить пакеты отправляемые из или направляющиеся к заданному IP-адресу, вы можете использовать:

!(ip.addr == 192.168.0.10)

Совет № 6 — Мониторинг трафика локальной сети (192.168.0.0/24)

Следующее правило фильтра будет отображать только локальный трафик и исключать пакеты, адресованные и поступающие из Интернета:

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24

Wireshark Monitor Local Network Traffic

Совет №7 — Отслеживание содержания в TCP conversation

Для того, чтобы проверить содержимое TCP conversation (обмена данными протокола TCP), щелкните правой кнопкой мыши на данном пакете и выберите TCP поток. Появится всплывающее окно с содержанием TCP conversation.

Monitor TCP Conversation

Тут присутствуют HTTP-заголовки, если мы проверяем веб-трафик в Wireshark, а также любые простые текстовые учетные данные, передаваемые в ходе процесса, если таковые имеются.

Совет № 8 — Изменение правил раскраски

Вы уже заметили, что каждая строка в окне захвата окрашена. По умолчанию, HTTP трафик появляется на зеленом фоне с белым текстом, в то время как контрольная проверка ошибок отображается красным цветом текста на черном фоне.

Если вы хотите изменить эти настройки, нажмите на значок «Редактирование правил раскраски», выбрать фильтр и нажмите кнопку «Изменить».

Wireshark Customize Wireshark Output in Colors

Совет № 9 — Сохранение Capture в файл

Сохранение содержимого захвата в Wireshark позволит иметь возможность проверить его более подробно. Для этого перейдите в меню Файл → Экспорт и выберите формат экспорта из списка:

Save Wireshark Capture to File

Совет № 10 — Образцы захвата

Если вы считаете, что ваша сеть «скучна», Wireshark предоставляет ряд образцовых файлов захвата, которые можно использовать на практике. Вы можете загрузить эти Sample Captures и импортировать их с помощью меню Файл → Импортировать.

Спасибо за уделенное время на прочтение статьи!

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше о Wireshark и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University.

Курсы Cisco и Linux с трудоустройством!

Спешите подать заявку! Осталось пару мест. Группы стартуют 22 июля, а следующая 19 августа, 23 сентября, 21 октября, 25 ноября, 16 декабря, 20 января, 24 февраля.
Что Вы получите?
  • Поможем стать экспертом в сетевом администрировании и получить международные сертификаты Cisco CCNA Routing & Switching или Linux LPI.
  • Предлагаем проверенную программу и учебник экспертов из Cisco Networking Academy и Linux Professional Institute, сертифицированных инструкторов и личного куратора.
  • Поможем с трудоустройством и сделать карьеру. 100% наших выпускников трудоустраиваются.
Как проходит обучение?
  • Проводим вечерние онлайн-лекции на нашей платформе или обучайтесь очно на базе Киевского офиса.
  • Спросим у вас об удобном времени для практик и подстроимся: понимаем, что времени учиться мало.
  • Если хотите индивидуальный график — обсудим и осуществим.
  • Выставим четкие дедлайны для самоорганизации. Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
А еще поможем Вам:
  • отредактировать резюме;
  • подготовиться к техническим интервью;
  • подготовиться к конкурсу на понравившуюся вакансию;
  • устроим на работу в Cisco по программе Cisco Incubator, New Graduate и Experienced. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
Чтобы учиться на курсах Cisco CCNA Routing & Switching и Linux LPI, подайте заявку или получите бесплатную консультацию.
Новости

Больше похожих постов

4 комментария. Оставить новый

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения

Самое читаемое
Меню