Võrgurakenduste ja sõlmede käitumise uurimiseks ning võrguprobleemide tuvastamiseks kasutatakse sageli võrgupaketianalüsaatoreid. Sellise tarkvara põhiomadusteks on esiteks mitmekülgse analüütika võimalused ja teiseks multifunktsionaalne pakettide filtreerimine, mis võimaldab võrguliikluse tohutus voos välja õngitseda huvitava info terakesi. See artikkel on pühendatud viimasele aspektile.

Sissejuhatus

Kõigist arvutivõrkude uurimise meetoditest on liiklusanalüüs ehk kõige vaevarikkam ja aeganõudvam. Kaasaegsete võrkude intensiivsed vood toodavad palju “toormaterjali”, millest pole kaugeltki lihtne leida kasulikku teavet. Oma eksisteerimise jooksul on TCP/IP-pinn omandanud arvukalt rakendusi ja täiendusi, ulatudes sadadesse ja tuhandetesse. Need on rakendus- ja teenindusprotokollid, autentimine, tunneldamine, võrgu juurdepääsuprotokollid ja nii edasi. Lisaks võrgu interaktsioonide põhitõdede tundmisele peab liikluse uurija (st teie) valdama kogu seda protokollide mitmekesisust ja oskama töötada spetsiifiliste tarkvaratööriistadega – nuusutajatega ehk teaduslikult öeldes liikluse (protokolli) analüsaatoritega. .

Nuusutaja funktsionaalsus ei seisne mitte ainult võimaluses kasutada pealtkuulamiseks võrgukaardi "promiscuos" töörežiimi. Selline tarkvara peab suutma liiklust tõhusalt filtreerida nii kogumisetapis kui ka üksikute edastusüksuste (kaadrid, paketid, segmendid, datagrammid, sõnumid) uurimise ajal. Veelgi enam, mida rohkem protokolle nuusutaja "teab", seda parem.

Kaasaegsed protokollianalüsaatorid saavad teha palju asju: arvutada liiklusstatistikat, joonistada graafikuid võrgu interaktsioonide edenemisest, eraldada rakendusprotokollidest andmeid, eksportida töötulemusi erinevatesse formaatidesse... Seetõttu on võrguliikluse analüüsimise tööriistade valik. on eraldi arutelu teema. Kui te ei tea, mida valida, või ei soovi tasulisele tarkvarale raha kulutada, kasutage lihtsat nõuannet: installige Wireshark.

Filtrite tundmaõppimine

Wireshark toetab kahte tüüpi filtreid:

• liikluse pealtkuulamine (hõivefiltrid);
• ekraanifiltrid.

Esimese alamsüsteemi päris Wireshark Pcapi teegist, mis pakub võrguliidestega töötamiseks madala taseme API-d. Liikluse proovide võtmine pealtkuulamise ajal võimaldab säästa RAM-i ja kõvakettaruumi. Filter on avaldis, mis koosneb primitiivide rühmast, mis on valikuliselt kombineeritud loogiliste funktsioonidega (ja, või, mitte). See väljend salvestatakse dialoogiboksi „Püüdmissuvandid” väljale „Püüdmisfilter”. Enimkasutatud filtreid saab taaskasutamiseks profiili salvestada (joonis 1).

Riis. 1. Pealtkuulamisfiltri profiil

Pealtkuulamisfiltri keel on avatud lähtekoodiga maailmas standardne ja seda kasutavad paljud PC-põhised tooted (nt utiliit tcpdump või sissetungimise tuvastamise/tõkestamise süsteem Snort). Seetõttu pole siinkohal süntaksi kirjeldamisel mingit mõtet, kuna see on teile tõenäoliselt tuttav. Ja üksikasjad leiate dokumentatsioonist, näiteks Linuxis pcap-filter(7) man-lehel.

Ekraanifiltrid töötavad juba jäädvustatud liikluse korral ja on Wiresharki omad. Erinevused Pcapist - salvestusvormingus (eriti kasutatakse välja eraldajana punkti); Lisatud on ka ingliskeelne märge võrdlusoperatsioonide jaoks ja alamstringi tugi.

Ekraanifiltri saab sisestada otse programmi põhiakna vastavale väljale (tähelepanu, rippmenüü-vihje töötab) pärast nuppu “Filter” (muide, selle nupu all on peidetud profiil sageli kasutatavate väljendite jaoks ). Ja kui klõpsate lähedal asuvat nuppu "Avaldis...", avaneb multifunktsionaalne avaldisekonstruktor (joonis 2).

Vasakul (välja nimi) on Wiresharkile teadaolevate protokollisõnumiväljade tähestikulises järjestuses puu. Selle välja jaoks saate määrata loogilise operaatori (Relation), sisestada väärtuse (Väärtus), määrata vahemiku (Range) või valida loendist väärtuse (Eelmääratletud väärtus). Üldiselt täielik võrguentsüklopeedia ühes aknas.

Siin on kuvafiltrites kasutatavad loogilised operaatorid:

• ja (&&) - "Ja";
• või (||) – „VÕI”;
• xor (^^) - eksklusiivne "VÕI";
• mitte (!) - eitus;
• […] – alamstringi valik.

Mis puutub alamstringi valimisse, siis see pole just loogiline toiming, kuid see on väga kasulik valik. See võimaldab teil saada konkreetse osa järjestusest. Näiteks nii saate kasutada avaldises lähte MAC-aadressi välja esimest (esimene number nurksulgudes on nihe) kolme baiti (kooloni järel olev arv on alamjada pikkus):

Eth.src == 00:19:5b

Käärsoolega valikutes võib ühe parameetri ära jätta. Kui jätate nihke vahele, algab näidiste loendus nullbaidist. Kui pikkus, siis saame kõik baidid nihkest välja lõpuni.

Muide, alamstringi proovivõttu on mugav kasutada pahavara tuvastamiseks, kui päise järel tulevate baitide jada on teada (näiteks UDP-paketis "0x90, 0x90, 0x90, 0x04"):

Udp == 90:90:90:04

Boole'i ​​avaldistes kasutatavad võrdlustoimingud:

• eq (==) - võrdne;
• ne (!=) - ei ole võrdne;
• gt (>) - rohkem;
• lt(<) - меньше;
• ge (>=) - suurem või võrdne;
• le (<=) - меньше или равно.tcp.dstport ne 8080 && tcp.len gt 0 && data eq A0

Tegelikult piisab alustuseks teooriast. Seejärel kasuta tervet mõistust ja sulgusid vastavalt vajadusele või ilma selleta. Samuti ärge unustage, et filter on sisuliselt Boole'i ​​avaldis: kui see on tõene, siis kuvatakse pakett ekraanil, kui see on vale, siis mitte.

Pcap-filter Netbiosi pordi skaneerimise tuvastamiseks

dst port 135 või dst port 445 või dst port 1433 ja tcp & (tcp-syn) != 0 ja tcp & (tcp-ack) = 0 ja src net 192.168.56.0/24

Otsin IP-kaaperdajat

Kohaliku võrgu segmendis on (ühel või teisel põhjusel) kahe või enama sõlme samad IP-aadressid. Konfliktsete süsteemide "püüdmise" (MAC-aadresside määramise) tehnika on hästi teada: käivitame kolmandas arvutis nuusutaja, tühjendame ARP-vahemälu ja stimuleerime soovitud IP-aadressi MAC-i lahendamise taotlust, näiteks seda pingimisega. :

# arp -d 192.168.56.5 # ping -n -c 1 192.168.56.5

Ja siis vaatame pealtkuulatud liiklust, kust MAC-idelt vastused tulid. Kui Wireshark on püüdnud liiga palju pakette, loome konstruktori abil kuvafiltri. Avaldise esimeses osas valime ARP vastused, teises - need sõnumid, milles lähte IP-aadress on võrdne otsitavaga. Kombineerime primitiivid &&-operaatoriga, kuna on vajalik, et mõlemad tingimused oleksid üheaegselt täidetud:

(arp.opcode == vastus) && (arp.src.proto_ipv4 == 192.168.56.5)

Muide, selle stsenaariumi täitmisel arvutivõrku ei mõjutanud, kuna kasutati kahte Oracle VirtualBoxi virtuaalmasinat ja “Virtual Host Adapter” tüüpi võrguühendust.

Võrgu- ja transpordikihtide kontrollimine

Siiani on ICMP-protokoll endiselt üsna tõhus vahend võrgupaki diagnoosimiseks. Selle protokolli sõnumid võivad anda väärtuslikku teavet võrguprobleemide kohta.

Nagu võite arvata, on ICMP-filtreerimine Wiresharkis väga lihtne. Piisab, kui kirjutada programmi põhiaknas filtreerimisreale: icmp. Lisaks icmp-le töötavad paljud teised protokollinimedeks olevad märksõnad, näiteks arp, ip, tcp, udp, snmp, smb, http, ftp, ssh jt.

Kui ICMP-liiklust on palju, saab kaardistamise olla üksikasjalik, välja arvatud näiteks kajapäringud (tüüp 0) ja kajavastused (tüüp 8):

Icmp ja ((icmp.type ne 0) ja (icmp.type ne 8))

Joonisel fig. Joonisel 4 on näide väikesest proovist ICMP-sõnumitest, mis on genereeritud Linuxi testruuteri poolt. Tavaliselt on vaikimisi teade "Port Unreachable". Selle genereerib ka võrgupinn, kui UDP-datagramm võetakse vastu kasutamata pordis. Selleks, et Debianil põhinev virtuaalne ruuter hakkaks saatma sõnumeid “Host kättesaamatu” ja “Suhtlus administratiivselt filtreeritud”, pidin selle kallal nokitsema. Cisco teavitab tavaliselt vaikimisi administratiivsest filtreerimisest. Teade "Time-to-Live overed" näitab tsükli olemasolu mõnes võrguosas (ja sellised paketid võivad ilmuda ka marsruudi jälgimisel).

Muide, tulemüüride kohta. Populaarsete tulemüüride jaoks saate reegleid luua otse Wiresharkis, kasutades menüüs Tööriistad üksust "Tulemüüri ACL-reeglid". Esmalt tuleb valida loendist pakett, mille infot kasutatakse. Saadaval on Cisco standardsed ja laiendatud ACL-id, UNIX-i sarnased reeglid IP-filtrist, IPFirewall (ipfw), Netfilter (iptables), pakettfilter (pf) ja Windowsi tulemüür (netsh).

Ja nüüd lühidalt võrgutaseme filtreerimise põhitõdedest, mis põhinevad IP-paketi päise väljadel - lähteaadressil (ip.src) ja saaja aadressil (ip.dst):

(ip.src == 192.168.56.6) || (ip.dst == 192.168.56.6)

Nii näeme kõiki pakette, mille see IP-aadress vastu võttis või saatis. Saate filtreerida terveid alamvõrke, kasutades CIDR-i maski tähistust. Näiteks tuvastame nakatunud hosti, mis saadab rämpsposti (siin 192.168.56.251 on meie SMTP-serveri IP-aadress):

Ip.src == 192.168.56.0/24 ja tcp.dstport == 25 ja !(ip.dst == 192.168.56.251)

Muide, MAC-aadresside järgi valimiseks peaksite kasutama primitiive eth.src, eth.dst ja eth.addr. Mõnikord on võrgukihi probleemid palju tihedamalt seotud Etherneti kihiga, kui teooria viitab. Eelkõige võib marsruutimise seadistamisel olla väga kasulik näha, millisele ruuteri MAC-aadressile kangekaelne sõlm pakette saadab. Kuid sellise lihtsa ülesande jaoks piisab utiliidist tcpdump, mis on peaaegu standardne UNIX-i sarnaste süsteemide jaoks.

Wiresharkil pole probleeme ka pordi filtreerimisega. TCP puhul on teie teenistuses märksõnad tcp.srcport, tcp.dstport ja tcp.port, UDP puhul - udp.srcport, udp.dstport ja udp.port. Tõsi, sisseehitatud Wiresharki filtrikeeles polnud Pcapis pordiprimitiivi analoogi, mis tähistab nii UDP- kui ka TCP-porti. Kuid seda saab hõlpsasti parandada, kasutades näiteks Boole'i ​​avaldist:

Tcp.port == 53 || udp.port == 53

Improviseerimine HTTP-liiklusega

Rakendusprotokollid, eriti HTTP, on nuusutamise kontekstis igavene teema. Ausalt öeldes tuleb öelda, et veebiliikluse uurimiseks on loodud palju spetsiaalseid tarkvaratööriistu. Kuid selline universaalne tööriist nagu Wireshark oma paindliku filtreerimissüsteemiga pole selles valdkonnas sugugi üleliigne.

Kõigepealt kogume veebiliiklust, minnes esimesele meeldetulevale saidile. Otsime nüüd meie lemmik Interneti-ressursi mainimist TCP-protokolli sõnumitest, mis toimivad HTTP-de transpordina:

TCP sisaldab "saiti"

Sisaldab operaator kontrollib alamstringi olemasolu antud väljal. Samuti on vastete operaator, mis saab kasutada Perliga ühilduvaid regulaaravaldisi.

Aken "Filter Expressions" on muidugi hea abimees, kuid mõnikord on pika loendi sirvimine soovitud välja otsimisel väga tüütu. Kuvafiltrite loomiseks/muutmiseks on lihtsam viis: kontekstimenüü kasutamine pakettide vaatamisel. Selleks peate lihtsalt huvipakkuval väljal paremklõpsama ja valima üksuse "Rakenda filtrina" või "Filtri ettevalmistamise" alamüksustest. Esimesel juhul jõustuvad muudatused kohe ja teisel juhul on võimalik avaldist parandada. “Valitud” tähendab, et välja väärtusest saab uus filter, “Pole valitud” tähendab sama asja, ainult koos eitusega. "..."-ga algavad klauslid lisavad olemasolevale avaldisele välja väärtuse, lähtudes Boole'i ​​operaatoritest.

Kombineerides erinevaid Wiresharki graafilise liidese tööriistu ja HTTP-protokolli tundmist, saate programmi põhiaknas hõlpsasti liikuda soovitud liikluse kuvamise tasemeni.

Näiteks selleks, et näha, milliseid pilte brauser lehe loomisel veebiserverilt küsis, teeb filter, mis analüüsib serverisse saadetud URI sisu:

(http.host eq "www..request.uri sisaldab ".jpg#26759185") või (http.request.uri sisaldab ".png#26759185"))

Sama asi, kuid kasutades vasteid:

(http.host eq "www..request.uri vastab ".jpg|.png#26759185")

Muidugi saab erineva tasemega protokollide sõnumivälju julgelt ühte avaldisesse segada. Näiteks selleks, et teada saada, milliseid pilte see server kliendile saatis, kasutame IP-paketi lähteaadressi ja HTTP vastuse välja „Sisu tüüp”:

(ip.src eq 178.248.232.27) ja (http.content_type sisaldab "pilti")

HTTP-päringu välja „Viite“ abil saate teada, millistelt teistelt serveritelt brauser teie lemmiksaidi lehe loomisel sisu võtab:

(http.referer eq "http://www..dst eq 178.248.232.27))

Vaatame veel mõnda kasulikku filtrit. GET-meetodil tehtud HTTP-päringute proovimiseks liiklusest saate kasutada järgmist avaldist:

Http.request.method == GET

Just rakenduse tasemel avalduvad ekraanifiltrid kogu oma ilus ja lihtsuses. Võrdluseks: näiteks selle probleemi lahendamiseks Pcapi abil peaksite kasutama seda kolmekorruselist struktuuri:

Port 80 ja tcp [((tcp & 0xf0) >> 2):4] = 0x47455420

Et teada saada, milliseid www-ühendusi hosti 192.168.56.8 kasutaja teatud ajaintervalli (näiteks lõunapausi ajal) tegi, kasutame primitiivi frame.time:

Tcp.dstport == 80 && frame.time >= "Yan 9, 2013 13:00:00" && frame.time< "Yan 9, 2013 14:00:00" && ip.src == 192.168.56.8

Noh, kuvatakse URI-päringud, mis sisaldavad sõnu "sisselogimine" ja "kasutaja" ning paroolide meeldetuletus:

Http.request.uri vastab "login.*=user" (http sisaldab "parooli") || (pop sisaldab "PASS")

SSL-sisu pealtkuulamine

Võrguliikluse uurija tõeline häda on krüpteerimine. Kuid kui teil on sertifikaadiga väärtuslik fail (muide, peate selle eest hoolitsema nagu oma silmatera), saate hõlpsalt teada, mida selle ressursi kasutajad SSL-i seanssides peidavad. Selleks peate SSL-protokolli sätetes määrama serveri parameetrid ja sertifikaadifaili (menüüs "Redigeerimine" üksus "Eelistused", vasakpoolsest protokollide loendist valige SSL). Toetatud on PKCS12 ja PEM-vormingud. Viimasel juhul peate failist parooli eemaldama, kasutades käske:

Openssl pkcs12 -export -in server.pem -out aa.pfx openssl pkcs12 -in aa.pfx -out serverNoPass.pem -nodes

INFO

Liikluse eraldamine võrguliiklusest jälgimiseks ja silumiseks toimub pakettfiltri abil. Paketifilter on osa operatsioonisüsteemi tuumast ja võtab võrgupaketid vastu võrgukaardi draiverilt.

UNIX-laadsete operatsioonisüsteemide pakettfiltrite näited on BPF (Berkeley paketifilter) ja LSF (Linux Socket Filter). BPF-is rakendatakse filtreerimist tõstutundliku primitiivse masinakeele alusel, mille tõlk on BPF.

Kaughostide liikluse analüüsimine

Windowsi kasutajad saavad töötada mitte ainult selle arvuti liidestega, milles Wireshark töötab, vaid ka hõivata liiklust kaugmasinatest. Selle jaoks on WinPcapi teegis spetsiaalne teenus (Remote Packet Capture Protocol). See tuleb esmalt teenusehalduse lisandmoodulis (services.msc) lubada. Nüüd, kui olete Wiresharki kaugarvutis käivitanud, saate ühenduse luua sõlmega, milles kaugliikluse pealtkuulamise teenus töötab (vaikimisi kasutades porti 2002) ja andmed liiguvad teieni RPCAP-protokolli kaudu.

Samuti annan võimalused liikluse kauganalüüsi jaoks kodu *nix ruuteriga "väljastpoolt" ühendamiseks:

$ssh [e-postiga kaitstud]"tshark -f "port !22" -i any -w -" | wireshark -k -i - $ssh [e-postiga kaitstud] tcpdump -U -s0 -w - "mitte port 22" | wireshark -k -i -

Vajalik tööriist

Wireshark on tuntud tööriist võrguliikluse pealtkuulamiseks ja interaktiivseks analüüsimiseks ning on tööstuse ja hariduse de facto standard. Levitatakse GNU GPLv2 litsentsi alusel. Wireshark töötab enamiku tuntud protokollidega, sellel on GTK+-põhine GUI, võimas liiklusfiltrisüsteem ja sisseehitatud Lua-tõlk dekooderite ja sündmustekäsitlejate loomiseks.

Tooge kasulik koormus

Teatud ringkondades on laialt tuntud spetsiaalsed tööriistad, mis võimaldavad teil liiklusest "välja tõmmata" lõplikud teabeobjektid: failid, pildid, video- ja helisisu jne. Tänu oma võimsale analüütilisele alamsüsteemile katab Wireshark selle funktsiooni enam kui, nii et otsige vastavatest analüüsiakendest nuppu „Save Payload...”.

Järeldus

Selle taustal, et maa-aluses arvutis on võrgurakenduste turvalisus üldiselt võlutud, on madalama taseme monumentaalsed probleemid tasapisi tagaplaanile vajumas. On selge, et võrku ja transpordikihte on uuritud ja uuritud kaugelt. Häda on aga selles, et SQL-i süstide, saidiülese skriptimise ja kaasamise kallal üles kasvanud spetsialistid ei teadvusta jäämäe tipu all peituvat tohutut kihti ning annavad sageli järele näiliselt elementaarsetele probleemidele.

Nuusutaja, nagu silur ja demonteerija, näitab süsteemi toimimise üksikasju väga üksikasjalikult. Kui Wireshark on installitud ja vähe oskusi, näete võrgu suhtlust sellisena, nagu see on – süütul, puutumatul alasti kujul. Ja filtrid aitavad teid!

Wireshark on võimas võrguanalüsaator, mida saab kasutada teie arvuti võrguliidest läbiva liikluse analüüsimiseks. Seda võib vaja minna võrguprobleemide tuvastamiseks ja lahendamiseks, veebirakenduste, võrguprogrammide või saitide silumiseks. Wireshark võimaldab teil täielikult vaadata paketi sisu kõigil tasanditel, et saaksite paremini mõista, kuidas võrk madalal tasemel töötab.

Kõik paketid jäädvustatakse reaalajas ja esitatakse hõlpsasti loetavas vormingus. Programm toetab väga võimsat filtreerimissüsteemi, värvide esiletõstmist ja muid funktsioone, mis aitavad teil õigeid pakette leida. Selles õpetuses vaatleme, kuidas Wiresharki liikluse analüüsimiseks kasutada. Hiljuti alustasid arendajad tööd Wireshark 2.0 teise haruga, mis tõi kaasa palju muudatusi ja täiustusi, eriti liideses. Seda me selles artiklis kasutame.

Wiresharki põhifunktsioonid

Enne liikluse analüüsimise viiside kaalumist peate kaaluma, milliseid funktsioone programm toetab üksikasjalikumalt, milliste protokollidega see töötab ja mida teha. Siin on programmi peamised funktsioonid:

• Jäädvustage pakette reaalajas juhtmega või mis tahes muud tüüpi võrguliidestelt, samuti lugege failist;
• Toetatud on järgmised hõivamisliidesed: Ethernet, IEEE 802.11, PPP ja kohalikud virtuaalsed liidesed;
• Paketid saab filtrite abil paljude parameetrite alusel välja filtreerida;
• Kõik teadaolevad protokollid on loendis erinevate värvidega esile tõstetud, näiteks TCP, HTTP, FTP, DNS, ICMP ja nii edasi;
• VoIP-kõneliikluse hõivamise tugi;
• HTTPS-liikluse dekrüpteerimist toetatakse, kui sertifikaat on saadaval;
• Traadita võrkude WEP-, WPA-liikluse dekrüpteerimine võtme ja käepigistusega;
• Võrgukoormuse statistika kuvamine;
• Vaadake kõigi võrgukihtide paketi sisu;
• Kuvab pakkide saatmise ja vastuvõtmise aja.

Programmil on palju muid funktsioone, kuid need olid peamised, mis võivad teile huvi pakkuda.

Kuidas Wiresharki kasutada

Eeldan, et teil on programm juba installitud, kuid kui mitte, saate selle installida ametlikest hoidlatest. Selleks tippige Ubuntus käsk:

$ sudo apt install wireshark

Pärast installimist leiate programmi levitamise peamenüüst. Peate käivitama Wiresharki superkasutaja õigustega, sest muidu ei saa programm võrgupakette analüüsida. Seda saab teha peamenüüst või terminali kaudu, kasutades KDE käsku:

$ kdesu wireshark

Ja Gnome/Unity jaoks:

$gksu wireshark

Programmi peaaken on jagatud kolmeks osaks, esimene veerg sisaldab analüüsiks saadaolevate võrguliideste loendit, teine ​​veerg sisaldab failide avamise võimalusi ja kolmas veerg sisaldab abi.

Võrguliikluse analüüs

Analüüsi alustamiseks valige võrguliides, näiteks eth0, ja klõpsake nuppu Alusta.

Pärast seda avaneb järgmine aken, kus on juba liidest läbiv pakettide voog. See aken on samuti jagatud mitmeks osaks:

• Ülemine osa- need on erinevate nuppudega menüüd ja paneelid;
• Pakkide nimekiri- seejärel kuvatakse analüüsitavate võrgupakettide voog;
• Pakendi sisu- vahetult allpool on valitud paki sisu, see on jagatud kategooriatesse sõltuvalt transporditasemest;
• Tõeline esitus- päris allosas kuvatakse pakendi sisu nii reaalses kui ka HEX-vormingus.

Saate klõpsata mis tahes pakendil, et selle sisu analüüsida:

Siin näeme DNS-i päringu paketti saidi IP-aadressi saamiseks, domeen saadetakse päringus endas ja vastusepaketis saame oma küsimuse ja vastuse.

Mugavamaks vaatamiseks saad paketi avada uues aknas tehes kirjel topeltklõpsu:

Wiresharki filtrid

Vajalike leidmiseks on väga ebamugav pakette käsitsi sorteerida, eriti aktiivse lõime puhul. Seetõttu on selle ülesande jaoks parem kasutada filtreid. Filtrite sisestamiseks on menüü all spetsiaalne rida. Filtrikujundaja avamiseks võite klõpsata valikul Avaldis, kuid neid on palju, nii et vaatame kõige elementaarsemaid.

• ip.dst- siht IP-aadress;
• ip.src- saatja IP-aadress;
• ip.addr- saatja või saaja ip;
• ip.proto- protokoll;
• tcp.dstport- sihtsadam;
• tcp.srcport- saatja port;
• ip.ttl- TTL filter, määrab võrgu kauguse;
• http.request_uri- taotletud saidi aadress.

Filtris välja ja väärtuse vahelise seose määramiseks saate kasutada järgmisi operaatoreid.

• == - võrdub;
• != - ei ole võrdne;
• < - vähem;
• > - rohkem;
• <= - väiksem või võrdne;
• >= - suurem või võrdne;
• tikud- regulaaravaldis;
• sisaldab- sisaldab.

Mitme väljendi kombineerimiseks võite kasutada:

• && - mõlemad väljendid peavad paketi puhul olema tõesed;
• || - üks väljenditest võib tõene olla.

Nüüd vaatame näidete abil lähemalt mitmeid filtreid ja proovime arvestada kõigi suhtemärkidega.

Kõigepealt filtreerime kõik aadressile 194.67.215.125 (losst.ru) saadetud paketid. Sisestage filtriväljale string ja klõpsake Rakenda. Mugavuse huvides saab wiresharki filtreid salvestada nupuga Salvesta:

ip.dst == 194.67.215.125

Ja selleks, et saada mitte ainult saadetud, vaid ka sellelt sõlmelt vastuseks saadud pakette, saate ühendada kaks tingimust:

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

Samuti saame valida ülekantud suuri faile:

http.content_length > 5000

Pärast sisutüübi filtreerimist saame valida kõik allalaaditud pildid, analüüsime wiresharki liiklust, pakette, mis sisaldavad sõna pilti:

http.content_type sisaldab pilti

Filtri tühjendamiseks võite vajutada nuppu Selge. Juhtub, et te ei tea alati kogu filtreerimiseks vajalikku teavet, vaid soovite lihtsalt võrku uurida. Saate lisada veeruna paketi mis tahes välja ja vaadata selle sisu iga paketi üldaknas.

Näiteks tahan kuvada veeruna paketi TTL-i (time to live). Selleks avage paketi teave, leidke see väli jaotisest IP. Seejärel helistage kontekstimenüüsse ja valige suvand Rakenda veeruna:

Samuti saate filtri ise luua mis tahes soovitud välja põhjal. Valige soovitud väli ja avage kontekstimenüü, seejärel klõpsake nuppu Rakenda filtrina või Valmistage filtrina, seejärel valige Valitud ainult valitud väärtuste kuvamiseks või Pole valitud nende eemaldamiseks:

Määratud väli ja selle väärtus rakendatakse või teisel juhul lisatakse filtriväljale:

Sel viisil saate filtrisse lisada mis tahes paketi või veeru välja. See valik on olemas ka kontekstimenüüs. Protokollide filtreerimiseks võite kasutada lihtsamaid tingimusi. Näiteks analüüsime Wiresharki liiklust HTTP- ja DNS-protokollide jaoks:

Programmi teine ​​huvitav funktsioon on Wiresharki kasutamine konkreetse seansi jälgimiseks kasutaja arvuti ja serveri vahel. Selleks avage paketi kontekstimenüü ja valige Jälgige TCP voogu.

Seejärel avaneb aken, kus leiate kõik serveri ja kliendi vahel edastatud andmed:

Wiresharki probleemide diagnoosimine

Võib tekkida küsimus, kuidas kasutada Wireshark 2 võrguprobleemide tuvastamiseks. Selleks on akna vasakus alanurgas ümmargune nupp, kui sellel klõpsate, avaneb aken Expet Tools. Selles kogub Wireshark kõik võrgu veateated ja probleemid:

Aken on jagatud vahekaartideks, nagu vead, hoiatused, teated, vestlused. Programm suudab filtreerida ja leida palju võrguprobleeme ning siin näete neid väga kiiresti. Siin toetatakse ka Wiresharki filtreid.

Wiresharki liikluse analüüs

Saate väga lihtsalt aru, mida kasutajad täpselt alla laadisid ja milliseid faile vaatasid, kui ühendus polnud krüptitud. Programm teeb sisu väljavõtmisel väga head tööd.

Selleks peate esmalt peatama liikluse jäädvustamise, kasutades paneelil olevat punast ruutu. Seejärel avage menüü Fail -> Ekspordi objekte -> HTTP:

See on väga võimas utiliit, millel on palju funktsioone. Selle kõiki funktsioone on võimatu ühte artiklisse panna, kuid siin pakutavast põhiteabest piisab, et saaksite kõik vajaliku ise omandada.

1. Selles artiklis räägin teile, kuidas pealtkuulada kohaliku võrgu kaudu Internetti edastatud pakette. Saate teada "ip" "Mac" aadressi, kuhu pakett läks, samuti paketi räsikogust ja palju muud kasulikku teavet. Ma ei kirjelda, mida ja miks, ma annan teile nii-öelda esimesed oskused. Kuidas koguda pakette ja filtreerida loendist vajalikud paketid. Laadige alla Wiresharki programm oma süsteemi jaoks sobiva bitisuurusega. Paigaldamisel pole midagi keerulist, seega ma seda ei kirjelda. Ainus asi on see, et ärge unustage märkeruutu "WinPcap", see peab olema installitud, selle abil saate palju teada Mac-aadressist ja mujalt. Programmi installimine ja esmakordne käivitamine:
3. Esimene aken on koht, kus peate valima võrguadapteri, millest paketid püütakse. 1.) Numbri all vali adapter ja natuke kõrgemal numbri all 2.) vajuta "Start"
4. Kõik paketid, mis läbivad valitud adapterit, võetakse kinni ja kuvatakse. Saate seadistada filtri, mis näitab vajalikke pakette IP- või Mac-arvutist. Valige soovitud pakett, paremklõpsake, valige kontekstimenüüst "Rakenda filtrina" ja seejärel "Valitud" järgmises kontekstimenüüs. Näidispilt allpool. Püütud pakettidega aken ja sinise esiletõstetud pakett, millel filter töötab.
5. Pärast filtri seadistamist. Teile näidatakse ainult neid pakette, mis teid huvitavad. Valides vajaliku paketi, on kogu teave allpool saadaval. Kus, kes ja miks, ütleme lühidalt nii.
6. Allpool kirjeldasin ülemist paneeli. Pilt kirjelduse all.
7. 1.) Saate valida erineva adapteri.
8. 2.) Nii-öelda kõik ühes. Saate muuta adapterit, seadistada filtrit, salvestada faili, salvestada olemasolevasse faili (lisa), avada faili.
9. 3.) Käivitage pakettide püüdmine.
10. 4.) Peatage pakettide hõivamine.
11. 5.) Taaskäivitage jäädvustamine.
12. 6.) Avage fail olemasolevate pakettidega.
13. 7.) Salvestage püütud paketid faili.
14. 8.) Sulgege pakettide hõivamise aken, küsige salvestamiseks või salvestamata väljumiseks.
15. 9.) Laadi avatud fail koos pakettidega uuesti.
16. 10.) Otsige üles vajalik pakett.
17. 11.)Tagasi püütud paki juurde, mine pakkidega aknale.
18. 12.) Sama mis 10.) võimalus ainult edasi. Nagu brauseris, lehekülg edasi, tagasi.
19. 13.)Mine määratud paketi juurde paki järjekorranumbri järgi.
20. 14.) Mine pakkidega valdkonna päris tippu, päris esimesse.
21. 15.) Minge kõige uuema paketi juurde, päris alumisse ossa.
22. 16.) Tõstke pakendid esile iga pakendi seadetes määratud värviga.
23. 17.) Liigutage kottidega jooni, kui need on täidetud. Kui uued paketid on saadaval, näidake uusi pakette.
24. 18.) Suurendage ridu pakettidega.
25. 19.)Vähenda jooni, "Suum".
26. 20.) Suurendage jooni 100%.
27. 21.) Kui nihutasite õmbluste veerud üksteisest eemale, muutes need laiemaks või kitsamaks. See valik tagastab kõik vaikeväärtustele.
28. 22.) Filtritega töötades saate valida juba pakutud filtri või kirjutada oma. Lisage oma.
29. 23.) Peaaegu sama mis 21.) lõik.
30. 24.)Siin saad valida igale pakendile värvi eraldi, siis on Sul lihtsam leida vajalik.
31. 25.) Programmi enda seadistamine.
32. 26.) Abi programmi kohta.
33. Nagu näete, pole programm keeruline. Mõnes riigis on see keelatud, kasutage seda seni, kuni see siin Venemaal keelatakse. Kui te hoolikalt mõtlete, saate selle programmi eeliseid palju rõhutada.

Wireshark on üsna tuntud püüdmistööriist ja tegelikult nii hariduse kui ka tõrkeotsingu standard töötab enamiku teadaolevate protokollidega, sellel on selge ja loogiline graafiline liides GTK+ ja võimas filtrisüsteem. Platvormideülene, töötab sellistes OS-ides nagu Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Mac OS X, ja muidugi Windows. Levitatakse litsentsi alusel GNU GPL v2. Tasuta saadaval aadressil wireshark.org.

Windowsi süsteemi installimine on triviaalne – järgmine, järgmine, järgmine. Selle kirjutamise ajal on uusim versioon 1.10.3, mis lisatakse arvustusse.

Milleks meil paketinuusutajaid üldse vaja on?

Selleks, et teha uuringuid võrgurakenduste ja protokollide kohta, samuti leida probleeme võrgu töös ja mis kõige tähtsam, selgitada välja nende probleemide põhjused.

On üsna ilmne, et nuusutajate või liiklusanalüsaatorite maksimaalseks kasutamiseks on vaja vähemalt üldisi teadmisi ja arusaamist võrkude ja võrguprotokollide toimimisest. Tuletan ka meelde, et paljudes riikides peetakse nuusutaja kasutamist ilma selgesõnalise loata kuriteoks.

Hakkame ujuma

Pildistamise alustamiseks valige lihtsalt oma võrguliides ja klõpsake nuppu Start.

Pärast seda algab püüdmisprotsess ja saabuvad paketid ilmuvad reaalajas. Pakettide ülevaatamise ja uurimise käigus tuleb ette olukordi, kus tuleb naasta eelmise paketi juurde. Selleks on kaks nuppu (vt ekraanipilti).

Ja neile järgnev nupp võimaldab kiiresti navigeerida paketi juurde, märkides selle numbri.

Kui veerud kattuvad ja üksteise külge hiilivad, saate sellisel veerul paremklõpsata ja valida "Muuda veeru suurust". Suurused kohandatakse automaatselt vastavalt hetkeolukorrale. Ja peale selle on nupp "Muuda kõigi veergude suurust", mis paneb kõik veerud järjekorda.

Menüü kasutamine Vaade – aja kuvamise vorming, saate näiteks seadistada aja loenduse mitte hõivamise algusest, vaid eelmise paketi vastuvõtmise hetkest ( Alates eelmisest hõivatud paketist ). Kõige olulisem asi igas programmis ( Abi – Wiresharki kohta ) ei näita mitte ainult versiooni ja autorite loendit, vaid sisaldab ka järjehoidjat Kaustad , mis näitab konfiguratsioonikataloogide teid.

Liidese uurimisel saate valida näiteks paketi http, ja vaata seda HTTP sisse kapseldatud TCP (transpordikiht),TCP on kapseldatud IP (võrgukiht), ja IP omakorda on kapseldatud Etherneti (802.1Q isegi vilgub enne seda).

Ja päris ülaosas on midagi nagu väike ülevaade raami kohta kogutud teabest.

Filtritest räägime hiljem, kuid praeguses etapis, kui teil on vaja kiiresti mittevajalikud paketid välja filtreerida, paremklõpsake paketil ja valige menüü Rakenda filtrina – pole valitud ja muudatused jõustuvad kohe. Kui teil on vaja midagi muud eemaldada, valige järgmine kord "ja pole valitud" ja uus reegel lisatakse lihtsalt filtrisse.

Burnide eemaldamine

Üsna sageli tekib Wiresharkiga töötades tõrge IP kontrollsumma mahalaadimine– IP-paketi päise kontrollsumma viga.

Kaasaegsed võrgukaardid on nii targad, et arvutavad ise kontrollsumma välja, milleks seda tarkvaras TCP/IP pinu tasemel teha, kui riistvaraliselt saab. Ja Wireshark püüab loomulikult kinni paketid enne, kui need võrku jõuavad. Ja enne seda summat arvutati ja lisati paketi päisesse. Sellest lähtuvalt on selle probleemi lahendamiseks kaks võimalust - võrgukaardi seadetes või seadetes väljalaadimisfunktsioon välja lülitada nuusutaja näitavad, et ta ei peaks sellele väärtusele tähelepanu pöörama.

Riistvara funktsioonid on sageli paremad kui tarkvara funktsioonid, peamiselt tänu töötlemiskiirusele (tavaliselt riistvaras suurem), seega on parem nuusutaja enda seadeid muuta. Selleks peate minema seadetesse ( Redigeerimine – Eelistused ), siis Protokollid – IPv4- ja eemaldage lipp "Võimaluse korral kinnitage IPv4 kontrollsumma".

Enne liikluse jäädvustamist peate otsustama, mida teil tegelikult vaja on. Liiklusanalüsaatori saate paigutada mitmesse kohta:

• Kohalikult teie hostis;
• Korraldage pöördel liikluse peegeldamine;
• Ühendage otse huvipakkuvate kohtadega;
• või ARP-mürgitus (isegi ebaseaduslikum kui passiivne pealtkuulamine)

Voo filtreerimine

Wireshark sisaldab kahte tüüpi filtreid – püüdmine (Püüdke filtrid) ja kuvada (Kuva filtrid).
Kõigepealt vaatame Püüdke filtrid.
Nagu nimest võib arvata, kasutatakse neid filtreerimiseks isegi liikluse hõivamise etapis. Kuid sel juhul võite muidugi pöördumatult kaotada osa vajalikust liiklusest.

Filter on avaldis, mis koosneb sisseehitatud väärtustest, mida saab vajadusel kombineerida loogiliste funktsioonidega (ja või mitte). Selle kasutamiseks peate minema menüüsse Jäädvusta, siis Valikud , ja põllul Pildistamise filter tüüp, näiteks peremees 8.8.8.8 (või näiteks neto 192.168.0.0./24 )

Loomulikult saate valida ka eelnevalt loodud filtri (selle eest vastutab nupp Pildistamise filter). Mis tahes suvandite puhul kuvatakse liidese lähedal filter, võite vajutada nuppu Start. Liigume nüüd edasi Kuva filtrid. Need filtreerivad ainult juba jäädvustatud liiklust.

Mida saab filtreerida?

Peaaegu kõik – protokollid, aadressid, konkreetsed väljad protokollides.
Toimingud, mida saab filtrite ehitamisel kasutada:

Nagu ilmselt märkasite, olid tabelis näidetena erinevad väljendid, mis olid üsna arusaadavad ja rääkisid sageli iseenda eest. Näiteks ip.dst– See on IP-protokolli väli.

Selle välja nägemiseks võite lihtsalt vaadata paketti ja akna allosas näete selle väärtust, mida saab seejärel rakendada mis tahes filtris. Näiteks huvitab meid, kuidas luua filtrit, kus väärtust kontrollitakse TTL.
Selleks paljastame L3 osa ja seisa vastaval väljal:

Ja me näeme, et filtri loomiseks peate kasutama väljendit ip.ttl. Kui hakkate filtrit tippima, kuvatakse punkti järel automaatselt võimalike väärtuste loend:

Filtri rakendamiseks vajutage lihtsalt sisestusklahvi või nuppu Rakenda. Filtri sisestusväli ise võib muuta värvi olenevalt sellest, mis sisestati.

Roheline tähendab, et kõik on korras. Punane - tehti viga, kollane - saadi ootamatu tulemus, kuna filtri kirjutamiseks on muid võimalusi (näiteks saate kirjutada ip.dst != 8.8.8.8 või !ip.dst == 8.8.8.8 , on eelistatavam teine ​​variant). Filtreid saab hilisemaks kasutamiseks salvestada, klõpsates nuppu Salvesta seejärel sisestage kohandatud nimi

ja peale OK nupu klõpsamist ilmub filter paneelile nupuna.

Ja kui vajutada lähedal asuvale “Expression...” nupule, avaneb üsna võimas väljendikonstruktor, millega saab peaaegu võrguprotokolle uurida. Toetatud protokollide arv kasvab pidevalt.

Nagu varem mainitud, saate valida mis tahes paketi ja valida kontekstimenüüst Rakenda filtrina ja valige alammenüüst režiim - valitud või pole valitud ja vastavalt sellele ilmub kohe filter, mis näitab ainult valitud või, vastupidi, eemaldab valitud ekraanilt. Nii saad paindlikult valida, mida ekraanil näha ja mida mitte. See võib olla kindel ip aadress, ttl, sadam, dns vastus ja palju muud. Lisaks on selliste kiirfiltrite jaoks kaks võimalust - Valmistage filtrina Ja Rakenda filtrina.

Nagu nimest arvata võib, on erinevus selles, et esimesel juhul ilmub see ainult sisestusväljale Kuva filter kuid seda ei rakendata (mugav, kui lisate näiteks niimoodi mitu filtrit ja seejärel rakendate kohe valmis tulemuse) ja teises rakendatakse see kohe.

Filtreid saab kombineerida Boole'i ​​algebrast tuttavate loogiliste operatsioonide abil: (dns) && (http) loogiline ja (dns) || (http) see on loogiline või.

Nii saate luua suuri ja keerukaid filtreid, näiteks: (tcp.flags.syn==1) && (ip.src == 172.16.10.2) && (ip.dst == 172.16.10.1) Siin näeme ainult seda TCP SYN segmendid, ainult konkreetse saatja ja saaja aadressiga. Suurte filtrite koostamisel tuleb meeles pidada, et filter on sisuliselt loogiline avaldis ja kui see on tõene, siis kuvatakse pakett ekraanile, kui see on vale, siis mitte.

Sukeldume sügavamale

See on üsna tavaline olukord, kui kaebused võrgu aeglase toimimise kohta võivad olla palju põhjuseid. Proovime välja mõelda, mis põhjus võib olla, ja kaalume kahte meetodit. Esimene on veeru lisamine TCP delta.

Ava pakk, otsi välja Aeg eelmisest kaadrist selles TCP-kaadris, paremklõpsake ja valige Rakenda veeruna. Ilmub uus veerg. Saate sellel paremklõpsata ja valida sortimisrežiimi, näiteks Sorteeri kahanevalt.

Ja kaalume kohe teist meetodit.

Suhteliselt hiljuti (versioonis 1.10.0) ilmus filter tcp.time_delta, mis tegelikult võtab arvesse aega viimasest päringust.

Kui klient teeb päringu ja saab vastuse 10 millisekundi jooksul ning klient ütleb, et tema jaoks töötab kõik aeglaselt, siis võib-olla on probleem kliendil endal.
Kui klient teeb päringu ja saab vastuse 2-3 sekundi jooksul, siis võib-olla peitub probleem võrgus.

Isegi sügavamale

Kui vaatate TCP-paketti (või täpsemalt segmenti), näete seal Voo indeks , mis tavaliselt algab nullist. Põld ise kutsutakse tcp.stream.

Saate sellel paremklõpsata ja luua filtri.

Nii saate vajalikke ühendusi filtreerida.

Teine võimalus on paremklõpsata paketil endal, valida Vestlusfilter ja luua vastavalt filter l2 l3 l4 tasemele.

Selle tulemusena näeme taas kahe hosti suhtlust.

Ja kolmas võimalus on üks huvitavamaid funktsioone - Jälgige TCP voogu. Selle kasutamiseks peate paketil uuesti paremklõpsama ja valima "Jälgi TCP voogu". Ilmub aken, kus kogu kahe sõlme vaheline vahetus on selgelt näidatud.

Kui lähete menüüsse Statistika – Vestlused, siis järjehoidjaid valides näete selliste "vestluste" ja erinevate seansside statistikat ning saate neid sorteerida erinevate veergude kaupa, näiteks edastatud andmemahu järgi.

Ja otse selles aknas saate paremklõpsata kontekstimenüül ja rakendada seda uuesti filtrina.

Ajaga tuleb kogemus

Mõne aja möödudes erineva liikluse jäädvustamisel võib vasakus alanurgas märgata mingit kerakujulist nuppu, mis kohati värvi muudab.

Sellel nupul klõpsates avaneb aken Ekspertteave . Sama tulemuse saab ka menüüsse minnes A analüüsida – eksperditeave .

See aken sisaldab teavet leitud pakettide kohta, mis on jagatud rühmadesse Vead, Hoiatused, Märkused ja Vestlused. Nende rühmade värviskeem on järgmine:
Vead- punane värv
Hoiatused - kollane
Märkmed- sinakasroheline (tsüaan)
Vestlus- hall

Wireshark sisaldab võimsat analüsaatorit ja suudab automaatselt tuvastada suure hulga võrgus tekkivaid probleeme. Nagu olete ehk juba märganud, saate filtreid kasutada sõna otseses mõttes kõikjal ja Ekspertinfo ei ole erand. Sellise filtri loomiseks peate kasutama konstruktsiooni ekspert.raskus. Näiteks ekspert.raskus==viga.

Röövime liiklust!

Kas on võimalik kasutada Wiresharki, et teada saada, mida oli alla laaditud?

Jah, saate. Ja nüüd me näeme seda. Esiteks võtame HTTP-liikluse. Paremklõpsame HTTP-paketil - Protokolli eelistused– ja me näeme siin palju võimalusi, mis mõjutavad otseselt failide ekstraheerimist veebiliiklusest. Selleks, et näha, mida praegusest prügimäest saab ekstraheerida, peate minema menüüsse Fail – Ekspordi objekte – HTTP.

Ilmub aken, mis näitab kõiki jäädvustatud http-objekte – tekstifaile, pilte jne. Faili sellest loendist ekstraktimiseks valige see lihtsalt ja klõpsake nuppu Salvesta nimega.

Nagu näete, saadi joonis ilma probleemideta välja tõmmata.

Samamoodi saate välja võtta voogesituse video/heli.

Kuid Wiresharki võimalused ei piirdu sellega!

Samuti saab see FTP-protokollist faile ekstraktida. Selleks saab kasutada juba tuttavat Follow TCP Streami. Selle tulemusena kuvatakse ainult FTP-vahetus, milles peate leidma RETR-i rea, mis tegelikult tähendab failiedastust.

VoIP

Wiresharkil on selle tehnoloogiaga töötamiseks mitu sisseehitatud funktsiooni. See toetab paljusid kõneprotokolle - SIP, SDP, RTSP, H.323, RTCP, SRTP ja teised. Ja loomulikult võib see kõneliiklust pealt kuulata ja salvestada hilisemaks kuulamiseks.

See funktsioon on ideaalne tõrkeotsinguks Voice over IP võrkudes. Menüü Statistika – voograafik näitab selget pilti sellest, kuidas kogu paketivahetus toimus.

Üldiselt terve menüü Telefoniteenus reserveeritud kõneliiklusega töötamiseks. Näiteks Telefon - RTP - Kuva kõik vood näitab üksikasjalikult, mis RTP-ga toimus, eriti värinat (parameeter, mis on hääles ilmselt kõige olulisem), mis mõnikord näitab kohe probleemide olemasolu.

Klõpsates nuppu "Analüüsi", saate akna avada RTP voo analüüs – ja valides sealt voo, saate seda isegi mängija nupu abil mängida. Esmalt avaneb mängija aken, kus tuleb esmalt määrata sobiv värina väärtus ja kasutada dekodeerimisnuppu.

Ilmub midagi spektrianalüsaatoriga sarnast, milles saate soovitud vestluse märkida ja seejärel aktiveerub nupp Esita.

Häälkõnede kuulamiseks on ka teine ​​võimalus - saate minna menüüsse Telefoniteenused – VoIP-kõned.

Avaneb aken lõpetatud kõnede loendiga, kus saate uuesti vajutada mängija nuppu, tühistada soovitud vestlused märkeruutudega ja vajutada esitusklahvi. Vastuvõetava helikvaliteedi saavutamiseks peate mängima värinapuhvri väärtusega, muutes selle väärtust.

Väike taganemine

Mõni aeg tagasi ilmus veebisait CloudShark.org.

See on sama Wiresharki nuusutaja, kuid seda on rakendatud võrguteenusena. Ilmselgelt pole selle abiga võimalik võrguliiklust jäädvustada, kuid liiklustrüki analüüsi on täiesti võimalik. Laadides sinna analüüsimiseks vormi kaudu PCAP-faili, saate selge pakettide jada, milles kõik andmed jagatakse olenevalt protokollist arusaadavateks väljadeks. Üldiselt sama Wireshark, aga veidi kergem ja ligipääsetav igast brauserist.

Lõplik lahing

Lõpuks vaatame, kuidas pordi skaneerimine välja näeb. Vaatame prügikasti ja näeme, et esmalt esitatakse ARP-päring ja seejärel algab otse skannimine. Meie ruuteri aadress on 192.168.10.11, skannimine pärineb aadressilt 192.168.10.101

See on niinimetatud SYN-i skannimine, kui SYN-i paketid saadetakse kindlaksmääratud portide vahemikku. Kuna enamik porte on suletud, vastab ruuter RST ja ACK pakettidega. Natuke alla kerides näeme, et see on lahti telnet (tcp 23).

Sellele viitab asjaolu, et ruuter vastas SYN, ACK paketiga. Muide, nuusutaja portide filtreerimiseks võite kasutada selliseid konstruktsioone nagu: tcp.srcport, tcp.dstport ja tcp.port. UDP-protokolli jaoks on kõik sarnane - udp.srcport, udp.dstport, udp.port.

Tulemused

Oleme läbi vaadanud parima pakettnuusutaja funktsiooni kõige elementaarsemad osad. See osutus mõnevõrra kaootiliseks, ilmselt seetõttu, et tahtsin puudutada võimalikult palju selle võimalusi ja mitte millestki olulisest ilma jääda. Selgus, et paketianalüsaator, nagu silur ja lahtimonteerija, demonstreerib võrgu ja võrguprotokollide toimimise väikseimaid üksikasju.
Kasutades Wiresharki ja omades vajalikke teadmisi, saate üsna tõhusalt leida ja diagnoosida mitmesuguseid võrgus tekkivaid probleeme.

Kirjutamise käigus kasutati materjale saidilt wiki.wireshark.org/ Liiklusprügi võeti erinevatest allikatest, kõige enam saidilt

Wiresharki liiklusseire programm on tõeline õnnistus inimesele, kes mõistab võrguprotokolle ja soovib rohkem teada saada oma koduvõrgus toimuvate tegevuste kohta. Pole saladus, et mõned programmid, mida isegi pahatahtlikeks ei peeta, võivad Interneti-liikluse lihtsalt varastada. Siin tekivad viivitused ja madal Interneti-kiirus. Kui teie kiirus äkki langeb, on mõttekas proovida Wiresharki programmi, kuid ilma vähimagi võrguprotokollide tundmiseta on seda keeruline teha. Sellest artiklist leiate lisateavet Wiresharki kasutamise ja selle toimimise kohta.

Kust ja kuidas Wiresharki alla laadida

Wireshark on tasuta tarkvara ja seda levitatakse täiesti tasuta. Arendaja ametlikul veebisaidil https://www.wireshark.org saate mitte ainult utiliidi alla laadida, vaid ka vabatahtlikult annetada raha projekti arendamiseks.

• Saidi liides on üsna lihtne: esmalt klõpsake nuppu "Laadi alla".

• Seejärel valige oma süsteemi tüüp: Windows või MacOS, 32-bitine või 64. Teie versiooni allalaadimine algab kohe. Kui te pole oma süsteemis kindel, vaadake lähemalt juhtpaneeli jaotist Süsteemi sätted.

• Programmi installimine on lihtne, peate lihtsalt klõpsama nuppu "Järgmine" ja mõnikord järgima ekraanil kuvatavaid juhiseid, kuid mõned punktid nõuavad täpsustamist.
• Kui teil palutakse valida utiliidi installikomplekt, märkige kõik ruudud. Nii saate kasutada kõiki Wiresharki tööriistu.

• Selles aknas peate parameetrid ise konfigureerima vastavalt oma eelistustele. See näitab otsetee loomist, nuppu Start menüüs ja failitüüpide seost. Kui te pole oma otsuses kindel, on parem kanda kõik linnukesed ekraanipildilt oma aknasse.

Kuidas Wiresharkis liikluse jälgimist lubada

Kui teie arvuti on pärast programmi installimist taaskäivitatud, on see kasutamiseks valmis. Samal ajal soovitab programm Wireshark installida spetsiaalse draiveri, mida on tarkvara töötamiseks vaja.

• Akna keskel näete nuppu "Värskenda liideseid" või "Liideseid ei leitud". Liideste laadimiseks klõpsake sellel. Saate ühendada ruuteri, otse kaabli, Wi-Fi-võrkude või LTE-modemi kaudu.
• Kui teil on traadita WiFi-ühendus, minge vahekaardile "Traadita ühendus".

• Klõpsake "WLAN-i liiklus".

• Kui ühendus toimub modemi kaudu, pöörake tähelepanu vahekaardile "Telefoonia", klõpsake real "LTE".

• Ükskõik, mille valite, ilmub liiklus teie ette midagi sellist. Ülaosas reale "Filter" saate sisestada filtri, et filtreerida välja teave, mida te ei vaja, ja näha võrguprotokolle ainult teatud kriteeriumi järgi.
• Ühel neist klõpsates näete alumises aknas rohkem teavet. Peamine kriteerium võib olla rida hostiga: päringu vastu võtnud või saatnud sait. Sellised andmed on märgitud pärast sõnu "Võõrustaja" ja "Nõustu".
• Nagu varem öeldud, on protokollidega töötamine ilma nende toimimisest vähimagi arusaamata peaaegu võimatu. Sa ei saa aru, milline pakk millal ja kuhu läks. Kui aga see teema on sulle vähegi tuttav, muutub kõik intuitiivseks.

Kuidas lubada Wiresharki liidesed, kui need pole saadaval

Kui käivitate programmi, võite näha sellist teadet. See tähendab, et programm ei näe ühtegi teie ühendust: ei kaabli ega traadita ühenduse kaudu.

Esimene asi, mida teha, on arvuti taaskäivitamine. Programm hakkab tööle alles pärast taaskäivitamist.
Teine võimalik ja levinum põhjus on see, et te pole WinPcapi alla laadinud. Need on tasuta Windowsi teegid, mida Wireshark vajab. Laadige need Internetist alla, taaskäivitage arvuti ja proovige uuesti.

Artikli alt leiate pika video, mis räägib teile programmi sügavamast liidesest.