10 советов по использованию Wireshark для анализа пакетов данных

Системные и сетевые инженеры занимаются обеспечением безопасности и устранением неполадок в сети. Для выполнения этих задач используются программы-анализаторы сетевых пакетов. Wireshark — самый популярный из них благодаря своей универсальности и простоте использования. Также, Wireshark позволяет не только отслеживать трафик в режиме реального времени, но и сохранять его в файл для последующего просмотра.

Установка Wireshark в Linux

Скачать Wireshark можно здесь.

Wireshark должен быть доступен непосредственно из репозиториев вашего дистрибутива для более легкой установки. Хотя версии программы могут отличаться, но параметры и меню должны быть одинаковыми в каждой версии.

 

 

Eсли вы не используете sudo для запуска Wireshark в Debian, возникнет известная ошибка и её последствия, которые могут препятствовать листингу сетевых интерфейсов.

После запуска Wireshark вы можете выбрать сетевой интерфейс, который вы хотите контролировать в разделе Capture:

Wireshark Network Analyzer

В этой статье мы будем использовать  eth0, но вы можете выбрать другое имя драйвера. Не нажимайте на интерфейс – мы сделаем это, после того, как рассмотрим несколько опций выбора.

Настройка параметров «захвата»

Наиболее полезные опции «захвата» в Wireshark:

  • Сетевой интерфейс. Как мы объясняли ранее, мы будем анализировать только пакеты, проходящие через eth0, входящие или исходящие.
  • Фильтр захвата. Этот параметр указывает, какой вид трафика мы хотим отслеживать по порту, протоколу или типу.

Прежде чем перейти к советам, важно отметить, что некоторые организации запрещают использование Wireshark в своих сетях.

Поэтому:

ЕСЛИ ВЫ НЕ ИСПОЛЬЗУЕТЕ WIRESHARK В ЛИЧНЫХ ЦЕЛЯХ, УБЕДИТЕСЬ, ЧТО ВАША ОРГАНИЗАЦИЯ РАЗРЕШАЕТ ЕГО ИСПОЛЬЗОВАНИЕ.

Выберите eth0 из раскрывающегося списка и нажмите кнопку «Start» в меню. Вы увидите весь трафик, проходящий через этот интерфейс. Не очень полезно для мониторинга из-за большого количества проверенных пакетов, но это только начало.

Monitor Network Interface Traffic

Значки на скриншоте отображают доступные интерфейсы и позволяют, остановить текущий захват и перезапустить его (красное поле слева), а также настроить и отредактировать фильтр (красное поле справа). Когда вы наведите курсор на одну из этих пиктограмм, появится подсказка, указывающая, что она делает.

 

СОВЕТ № 1 – проверка HTTP-трафика

Введите http в поле фильтра и нажмите «Apply». Запустите браузер и перейдите на любой сайт, который вы хотите:

Inspect HTTP Network Traffic

Чтобы начать каждый последующий анализ, остановите захват в реальном времени и отредактируйте фильтр параметров съемки.

СОВЕТ №2 – проверка трафика HTTP с заданного IP-адреса

В этой статье мы добавим

в фильтр для отслеживания HTTP-трафика между локальным компьютером и 192.168.0.10:

Inspect HTTP Traffic on IP Address

СОВЕТ №3 – проверка HTTP-трафика на заданный IP-адрес

Этот пункт тесно связан с советом №2, в этом случае мы будем использовать ip.dst как часть фильтра захвата:

Wireshark Monitor HTTP Network Traffic to IP Address

Объединяя советы №2 и №3, вы можете использовать ip.addr в правиле фильтрации вместо ip.src или ip.dst.

 

СОВЕТ №4 – Мониторинг трафика Apache и MySQL в сети

При необходимости проверить трафик, который будет соответствовать нескольким условиям. К примеру, чтобы контролировать трафик на портах TCP 80 (веб-сервер) и 3306 (сервер базы данных MySQL / MariaDB), можно использовать условие OR в фильтре захвата:

Monitor Apache and MySQL Traffic

В советах №2 и №3 символ || и слово or производят одинаковые операции. То же самое с && и словом and.

Совет №5 – Исключение пакетов с заданными IP-адресами

Чтобы исключить пакеты, не соответствующие правилам фильтра, используйте ! и заключите правило в круглые скобки. Например, чтобы исключить пакеты отправляемые из или направляющиеся к заданному IP-адресу, вы можете использовать:

Совет № 6 – Мониторинг трафика локальной сети (192.168.0.0/24)

Следующее правило фильтра будет отображать только локальный трафик и исключать пакеты, адресованные и поступающие из Интернета:

Wireshark Monitor Local Network Traffic

Совет №7 – Отслеживание содержания в TCP conversation

Для того, чтобы проверить содержимое TCP conversation (обмена данными протокола TCP), щелкните правой кнопкой мыши на данном пакете и выберите TCP поток. Появится всплывающее окно с содержанием TCP conversation.

Monitor TCP Conversation

Тут присутствуют HTTP-заголовки, если мы проверяем веб-трафик в Wireshark, а также любые простые текстовые учетные данные, передаваемые в ходе процесса, если таковые имеются.

Совет № 8 – Изменение правил раскраски

Вы уже заметили, что каждая строка в окне захвата окрашена. По умолчанию, HTTP трафик появляется на зеленом фоне с белым текстом, в то время как контрольная проверка ошибок отображается красным цветом текста на черном фоне.

Если вы хотите изменить эти настройки, нажмите на значок «Редактирование правил раскраски», выбрать фильтр и нажмите кнопку «Изменить».

Wireshark Customize Wireshark Output in Colors

Совет № 9 – Сохранение Capture в файл

Сохранение содержимого захвата в Wireshark позволит иметь возможность проверить его более подробно. Для этого перейдите в меню Файл → Экспорт и выберите формат экспорта из списка:

Save Wireshark Capture to File

Совет № 10 – Образцы захвата

Если вы считаете, что ваша сеть “скучна”, Wireshark предоставляет ряд образцовых файлов захвата, которые можно использовать на практике. Вы можете загрузить эти Sample Captures и импортировать их с помощью меню Файл → Импортировать.

Спасибо за уделенное время на прочтение статьи!

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше о Wireshark и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University.

Курсы Cisco, Linux, кибербезопасность, DevOps / DevNet, Python с трудоустройством!

Спешите подать заявку! Группы стартуют 25 января, 26 февраля, 22 марта, 26 апреля, 24 мая, 21 июня, 26 июля, 23 августа, 20 сентября, 25 октября, 22 ноября, 20 декабря.
Что Вы получите?
  • Поможем стать экспертом по сетевой инженерии, кибербезопасности, программируемым сетям и системам и получить международные сертификаты Cisco, Linux LPI, Python Institute.
  • Предлагаем проверенную программу с лучшими учебниками от экспертов из Cisco Networking Academy, Linux Professional Institute и Python Institute, помощь сертифицированных инструкторов и личного куратора.
  • Поможем с трудоустройством и стартом карьеры в сфере IT — 100% наших выпускников трудоустраиваются.
Как проходит обучение?
  • Проведем вечерние онлайн-лекции на нашей платформе.
  • Согласуем с вами удобное время для практик.
  • Если хотите индивидуальный график — обсудим и реализуем.
  • Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
  • Всем, кто боится потерять мотивацию и не закончить обучение, предложим общение с профессиональным коучем.
А еще поможем Вам:
  • отредактировать или создать с нуля резюме;
  • подготовиться к техническим интервью;
  • подготовиться к конкурсу на понравившуюся вакансию;
  • устроиться на работу в Cisco по специальной программе. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
Чтобы учиться на курсах Cisco, Linux LPI, кибербезопасность, DevOps / DevNet, Python, подайте заявку или получите бесплатную консультацию.

Больше похожих постов

4 комментария. Оставить новый

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения

Поиск по сайту
Лучшее
Популярное
Рубрики
Меню