We hebben interessante en nuttige artikelen nodig om op ons forum te publiceren. We hebben een proeflezer en een redacteur, zodat u zich geen zorgen hoeft te maken over spelling en tekstontwerp. Wij controleren alles en regelen het mooi.

Voordat we gaan leren hoe we andere netwerken kunnen hacken, moeten we ons netwerk kunnen beheersen en begrijpen wat dit netwerkverkeer is en hoe we dit kunnen filteren. Wireshark is hiervoor ideaal omdat er nog niets krachtigers is uitgevonden, en zoals je misschien wel raadt, zullen we erover praten. Wireshark is het perfecte wapen voor het in realtime analyseren en vastleggen van netwerkpakketten. Maar het belangrijkste is dat het ze in een zeer handig leesformaat weergeeft.

Wireshark wordt geleverd met een verscheidenheid aan filters, kleurcodering en vele andere functies waarmee u in het netwerkverkeer kunt duiken en individuele pakketten kunt inspecteren.

Gebruik je fantasie!

Ik geef een voorbeeld:

Stel dat u verbinding heeft gemaakt met het netwerk van iemand anders en dat u moet weten wat zij gebruiken, wat en hoe er door het netwerk gaat? Wireshark is de perfecte oplossing. Nadat u de pakketten heeft bestudeerd, kunt u eenvoudig alle benodigde gegevens achterhalen. Maar dit was slechts een voorbeeld, iedereen is vrij om het te gebruiken volgens zijn behoeften!

Toepassingen >>Internet >>Wireshark

Zoals je kunt zien heeft hij een mooie menukaart en lijkt alles duidelijk. Maar in werkelijkheid is dit een zeer complex attribuut. Laten we eerst de basisfuncties doornemen.

Selecteer het verbonden netwerk en klik op start. Zoals u kunt zien, zijn er pakketten vastgelegd en wordt al het verkeer van uw netwerk weergegeven.

Om het vastleggen van verkeer te stoppen, klikt u op de “ Stop de lopende live-opname «

Wij presenteren onder uw aandacht een nieuwe cursus van het team De Codeby- "Penetratietesten van webapplicaties vanaf nul." Algemene theorie, voorbereiding van de werkomgeving, passief fuzzen en vingerafdrukken, actief fuzzen, kwetsbaarheden, post-uitbuiting, tools, sociale techniek en nog veel meer.

Zoals je al hebt gemerkt, zijn de verkeerskleuren anders en het is heel interessant wat ze betekenen. Wireshark gebruikt verschillende kleuren om ons te helpen verschillende soorten verkeer te herkennen.

We kunnen het verkeer invoeren dat we nodig hebben om te filteren in de “ Filter:" en Wireshark zelf zal ons hints geven of we kunnen selecteren door op " te klikken Uitdrukking "

We kunnen ook ons ​​eigen filter maken door op te klikken Analyseren >>Filters weergeven

Als u het pakket ziet dat u nodig heeft, kunt u de inhoud ervan bekijken.

Ook kunt u de volledige inhoud van het pakket bekijken, evenals alle gegevens daarover.

Zoals je al begrijpt, is dit een zeer krachtig middel om verkeer te bekijken. Het wordt door veel professionals op grote schaal gebruikt voor het oplossen van netwerkproblemen en netwerkontwikkeling.

Dit is nog maar het begin. Houd ons in de gaten voor meer artikelen, want we zullen dit kenmerk stuk voor stuk volledig uitleggen en opsplitsen.

Wireshark is een redelijk bekende capture-tool en is in feite een standaard voor zowel educatie als probleemoplossing. Wireshark werkt met de overgrote meerderheid van bekende protocollen en heeft een duidelijke en logische grafische interface GTK+ en een krachtig filtersysteem. Cross-platform, werkt in besturingssystemen als Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Mac OS X, en natuurlijk Windows. Gedistribueerd onder licentie GNU GPL v2. Gratis verkrijgbaar op wireshark.org.

Installatie op een Windows-systeem is triviaal: volgende, volgende, volgende. De nieuwste versie op het moment van schrijven is 1.10.3, deze zal in de review worden meegenomen.

Waarom hebben we überhaupt pakketsniffers nodig?

Om onderzoek te doen naar netwerktoepassingen en protocollen, maar ook om problemen in de werking van het netwerk te vinden, en, belangrijker nog, om de oorzaken van deze problemen te achterhalen.

Het is overduidelijk dat je, om optimaal gebruik te kunnen maken van sniffers of verkeersanalyzers, op zijn minst algemene kennis en begrip nodig hebt van hoe netwerken en netwerkprotocollen werken. Ik wil u er ook aan herinneren dat in veel landen het gebruik van een sniffer zonder expliciete toestemming als een misdaad wordt beschouwd.

Laten we beginnen met zwemmen

Om te beginnen met vastleggen, selecteert u gewoon uw netwerkinterface en klikt u op Start.

Hierna begint het opnameproces en verschijnen de binnenkomende pakketten in realtime. Tijdens het beoordelen en bestuderen van pakketten zijn er situaties waarin u moet terugkeren naar het vorige pakket. Hiervoor zijn twee knoppen (zie screenshot).

En met de knop die daarop volgt, kunt u snel naar het pakket navigeren door het nummer ervan aan te geven.

Als de kolommen elkaar overlappen en naar elkaar toe kruipen, kunt u met de rechtermuisknop op zo'n kolom klikken en selecteren “Formaat van kolom wijzigen”. De maten worden automatisch aangepast aan de actuele situatie. En bovendien is er een knop “Het formaat van alle kolommen wijzigen”, waardoor alle kolommen op volgorde worden gezet.

Het menu gebruiken Weergave – Tijdweergaveformaat, u kunt bijvoorbeeld het aftellen van de tijd niet vanaf het begin van de opname configureren, maar vanaf het moment dat het vorige pakket werd ontvangen ( Sinds vorig vastgelegd pakket ). Het belangrijkste in elk programma ( Hulp – Over Wireshark ) toont niet alleen de versie en de lijst met auteurs, maar bevat ook een bladwijzer Mappen , die de paden naar de configuratiemappen toont.

Terwijl je de interface bestudeert, kun je bijvoorbeeld een pakket selecteren http, en zie dat HTTP ingekapseld TCP (transportlaag),TCP is ingekapseld IP (netwerklaag), en IP is op zijn beurt ingekapseld in Ethernet (802.1Q knippert zelfs daarvoor).

En helemaal bovenaan staat zoiets als een klein overzicht van de verzamelde informatie over het frame.

We zullen het later over filters hebben, maar als u in dit stadium snel onnodige pakketten wilt filteren, klikt u met de rechtermuisknop op het pakket en selecteert u het menu Toepassen als filter – Niet geselecteerd en de wijzigingen worden onmiddellijk van kracht. Als je iets anders wilt verwijderen, kies dan de volgende keer “en niet geselecteerd” en de nieuwe regel wordt eenvoudigweg aan het filter toegevoegd.

Bramen verwijderen

Heel vaak treedt er een fout op bij het werken met Wireshark IP-checksum-offload– Controlesomfout IP-pakketheader.

Moderne netwerkkaarten zijn zo slim dat ze de checksum zelf berekenen. Waarom zou je dit op TCP/IP-stackniveau in software doen, als je het ook in hardware kunt doen? En Wireshark onderschept op natuurlijke wijze pakketten voordat ze het netwerk bereiken. En voordat dit bedrag werd berekend en toegevoegd aan de pakketkop. Er zijn dus twee manieren om dit probleem op te lossen: schakel de offload-functie uit in de netwerkkaartinstellingen of in de instellingen snuffelen geven aan dat hij geen aandacht moet besteden aan deze waarde.

Hardwarefuncties zijn vaak beter dan softwarefuncties, voornamelijk vanwege de verwerkingssnelheid (meestal hoger bij hardware), dus het is beter om de instellingen van de sniffer zelf te wijzigen. Om dit te doen moet je naar instellingen gaan ( Bewerken - Voorkeuren ), Dan Protocollen – IPv4- en verwijder de vlag van “Valideren IPv4-checksum indien mogelijk”.

Voordat u verkeer vastlegt, moet u beslissen wat u daadwerkelijk wilt vastleggen. U kunt de verkeersanalysator op verschillende plaatsen plaatsen:

• Lokaal op uw host;
• Organiseer verkeersspiegeling op de schakelaar;
• Maak rechtstreeks verbinding met bezienswaardigheden;
• of ARP-vergiftiging (nog illegaaler dan passief afluisteren)

De stroom filteren

Wireshark bevat twee soorten filters: vastleggen (Filters vastleggen) en weergeven (Weergavefilters).
Laten we eerst eens kijken Filters vastleggen.
Zoals je uit de naam kunt raden, dienen ze voor filtering, zelfs in de fase van het vastleggen van verkeer. Maar in dit geval kunt u natuurlijk een deel van het noodzakelijke verkeer onomkeerbaar verliezen.

Een filter is een expressie die bestaat uit ingebouwde waarden die indien nodig kunnen worden gecombineerd met logische functies (en, of, niet). Om het te gebruiken, moet je naar het menu gaan Vastlegging, Dan Opties , en in het veld Vangfilter typ bijvoorbeeld gastheer 8.8.8.8 (of bijvoorbeeld netto 192.168.0.0./24 )

Je kunt uiteraard ook een vooraf gemaakt filter selecteren (de knop is hiervoor verantwoordelijk). Vangfilter). In elk van de opties verschijnt het filter in de buurt van de interface, u kunt op Start drukken. Laten we nu verder gaan Weergavefilters. Ze filteren uitsluitend reeds vastgelegd verkeer.

Wat kun je filteren?

Bijna alles - protocollen, adressen, specifieke velden in protocollen.
Bewerkingen die kunnen worden gebruikt bij het samenstellen van filters:

Zoals je waarschijnlijk hebt gemerkt, stonden er in de tabel verschillende uitdrukkingen als voorbeeld, die heel begrijpelijk waren en vaak voor zichzelf spraken. Bijvoorbeeld ip.dst– Dit is een IP-protocolveld.

Om dit veld te zien, kunt u eenvoudig naar het pakket kijken en onderaan het venster ziet u de waarde ervan, die vervolgens in elk filter kan worden toegepast. We zijn bijvoorbeeld geïnteresseerd in hoe we een filter kunnen maken waarin de waarde wordt gecontroleerd TTL.
Om dit te doen, onthullen we L3 deel en ga op het bijbehorende veld staan:

En we zien dat je, om een ​​filter te bouwen, de expressie moet gebruiken ip.ttl. Als je een filter begint te typen, verschijnt er automatisch een lijst met mogelijke waarden na de punt:

Om een ​​filter toe te passen, drukt u gewoon op Enter of op de knop Toepassen. Het filterinvoerveld zelf kan van kleur veranderen, afhankelijk van wat er is getypt.

Groen betekent dat alles in orde is. Rood - er is een fout gemaakt, geel - er is een onverwacht resultaat verkregen, omdat er andere opties zijn voor het schrijven van een filter (u kunt bijvoorbeeld schrijven ip.dst != 8.8.8.8 of !ip.dst == 8.8.8.8 (het is de tweede optie die meer de voorkeur verdient). Filters kunnen worden opgeslagen voor later gebruik door op de knop te klikken Redden voer vervolgens een aangepaste naam in

en nadat u op de knop OK hebt geklikt, verschijnt het filter als een knop op het paneel.

En als u op de nabijgelegen knop "Expressie..." klikt, wordt een redelijk krachtige expressieconstructor geopend, waarmee u bijna netwerkprotocollen kunt bestuderen. Het aantal ondersteunde protocollen neemt voortdurend toe.

Zoals eerder vermeld, kunt u elk pakket selecteren en selecteren in het contextmenu Toepassen als filter en selecteer de modus in het submenu - gekozen of niet geselecteerd en dienovereenkomstig zal er onmiddellijk een filter verschijnen dat alleen de geselecteerde filter toont of, integendeel, de geselecteerde van het scherm verwijdert. Zo kun je flexibel kiezen wat je op het scherm ziet en wat niet. Dit kan zeker zijn ip-adres, ttl, haven, dns antwoord en nog veel meer. Bovendien zijn er twee opties voor dergelijke snelle filters: Bereid als filter En Toepassen als filter.

Zoals je uit de naam kunt raden, is het verschil dat het in het eerste geval alleen in het invoerveld verschijnt Weergavefilter maar wordt niet toegepast (handig als u bijvoorbeeld op deze manier meerdere filters toevoegt en vervolgens onmiddellijk het eindresultaat toepast), en in de tweede wordt het onmiddellijk toegepast.

Filters kunnen worden gecombineerd met behulp van logische bewerkingen die bekend zijn uit de Booleaanse algebra: (dns) && (http) logisch en (dns) || (http) het is logisch of.

Op deze manier kun je grote en complexe filters bouwen, zoals: (tcp.flags.syn==1) && (ip.src == 172.16.10.2) && (ip.dst == 172.16.10.1) Hier zien we dat alleen TCP-SYN segmenten, alleen met een specifiek afzender- en ontvangeradres. Bij het samenstellen van grote filters moet u onthouden dat een filter in wezen een logische uitdrukking is, en als het waar is, wordt het pakket op het scherm weergegeven; als het onwaar is, niet.

Laten we dieper duiken

Het is een vrij veel voorkomende situatie waarin klachten ontstaan ​​over een trage werking van het netwerk. Hiervoor kunnen vele redenen zijn. Laten we proberen erachter te komen wat de reden zou kunnen zijn en twee methoden overwegen. De eerste is het toevoegen van een kolom TCP-delta.

Open het pakket, zoek het veld Tijd sinds het vorige frame in dit TCP-frame, klik met de rechtermuisknop en selecteer Toepassen als kolom. Er verschijnt een nieuwe kolom. U kunt er met de rechtermuisknop op klikken en een sorteermodus selecteren, bijvoorbeeld Sorteer aflopend.

En laten we meteen de tweede methode overwegen.

Relatief recent (in versie 1.10.0) verscheen er een filter tcp.time_delta, die in feite rekening houdt met de tijd sinds het laatste verzoek.

Als een klant een verzoek doet en binnen 10 milliseconden een reactie ontvangt, en de klant zegt dat alles bij hem langzaam gaat, dan heeft de klant misschien zelf een probleem.
Als de client een verzoek indient en binnen 2-3 seconden een antwoord ontvangt, ligt het probleem wellicht in het netwerk.

Nog dieper

Als je naar het TCP-pakket (of segment om precies te zijn) kijkt, kun je het daar zien Stream-index , die meestal helemaal opnieuw begint. Het veld zelf wordt gebeld tcp.stream.

U kunt er met de rechtermuisknop op klikken en een filter maken.

Zo kun je de verbindingen filteren die je nodig hebt.

Een andere manier is om met de rechtermuisknop op het pakket zelf te klikken en te selecteren Gesprekfilter en maak dienovereenkomstig een filter voor l2 l3 l4-niveau.

Als gevolg hiervan zullen we opnieuw de interactie van de twee hosts zien.

En de derde optie is een van de meest interessante kenmerken: Volg TCP-stream. Om het te gebruiken, moet u opnieuw met de rechtermuisknop op het pakket klikken en selecteren “Volg TCP-stream”. Er verschijnt een venster waarin de volledige uitwisseling tussen de twee knooppunten duidelijk wordt gedemonstreerd.

Als je naar het menu gaat Statistieken – Gesprekken, en door bladwijzers te selecteren, kunt u statistieken bekijken over dergelijke “gesprekken” en verschillende sessies, en kunt u ze sorteren op verschillende kolommen, bijvoorbeeld op basis van de hoeveelheid overgedragen gegevens.

En precies in dit venster kunt u met de rechtermuisknop op het contextmenu klikken en het opnieuw als filter toepassen.

Met de tijd komt ervaring

Nadat je enige tijd hebt besteed aan het vastleggen van verschillende soorten verkeer, kun je in de linkerbenedenhoek een soort bolvormige knop opmerken, die soms van kleur verandert.

Als u op deze knop klikt, wordt een venster geopend Deskundige informatie . Hetzelfde resultaat kan worden bereikt door naar het menu te gaan A analyseren – deskundige informatie .

Dit venster bevat informatie over de gevonden pakketten, onderverdeeld in de groepen Fouten, Waarschuwingen, Opmerkingen en Chats. Het kleurenschema voor deze groepen is als volgt:
Fouten- rode kleur
Waarschuwingen - geel
Opmerkingen- blauwgroen (cyaan)
Chatten- grijs

Wireshark bevat een krachtige analysator en kan automatisch een groot aantal problemen detecteren die zich op het netwerk voordoen. Zoals je misschien al gemerkt hebt, kun je letterlijk overal en altijd filters gebruiken Deskundige informatie is geen uitzondering. Om zo'n filter te maken, moet je de constructie gebruiken deskundige.ernst. Bijvoorbeeld, expert.severity==fout.

Wij beroven het verkeer!

Is het mogelijk om Wireshark te gebruiken om erachter te komen wat was gedownload?

Ja, dat kan. En nu zullen we het zien. Laten we eerst het HTTP-verkeer nemen. Laten we met de rechtermuisknop op het HTTP-pakket klikken - Protocolvoorkeuren– en we zien hier veel opties die rechtstreeks van invloed zijn op het extraheren van bestanden uit het webverkeer. Om te zien wat er uit de huidige dump kan worden gehaald, moet je naar het menu gaan Bestand - Objecten exporteren - HTTP.

Er verschijnt een venster waarin alle vastgelegde http-objecten worden weergegeven: tekstbestanden, afbeeldingen, enz. Om een ​​bestand uit deze lijst te extraheren, selecteert u het eenvoudigweg en klikt u op Opslaan als.

Zoals u kunt zien, is de tekening zonder problemen uitgepakt.

Op dezelfde manier kunt u streaming video/audio extraheren.

Maar daar houden de mogelijkheden van Wireshark niet op!

Het kan ook bestanden uit het FTP-protocol extraheren. Om dit te doen, kunt u de reeds bekende Follow TCP Stream gebruiken. Als gevolg hiervan wordt alleen de FTP-uitwisseling weergegeven, waarin u de RETR-regel moet vinden, wat feitelijk bestandsoverdracht betekent.

VoIP

Wireshark heeft verschillende ingebouwde functies om met deze technologie te werken. Het ondersteunt veel spraakprotocollen - SIP, SDP, RTSP, H.323, RTCP, SRTP en andere. En natuurlijk kan het spraakverkeer onderscheppen en opslaan om later te beluisteren.

Deze functionaliteit is ideaal voor het oplossen van problemen in Voice over IP-netwerken. Menu Statistieken - Stroomgrafiek zal een duidelijk beeld geven van hoe de gehele pakketuitwisseling plaatsvond.

Over het algemeen een heel menu Telefonie gereserveerd voor het werken met spraakverkeer. Bijvoorbeeld, Telefonie – RTP – Toon alle streams zal in detail laten zien wat er met RTP gebeurde, met name jitter (een parameter die waarschijnlijk de belangrijkste is in de stem), wat soms onmiddellijk op de aanwezigheid van problemen duidt.

Klikken op de knop "Analyseren", je kunt het raam openen RTP-streamanalyse – en door daar een stream te selecteren, kun je deze zelfs afspelen met de spelerknop. Eerst wordt een spelervenster geopend, waarin u eerst de juiste jitterwaarde moet instellen en de decodeerknop moet gebruiken.

Er verschijnt iets dat lijkt op een spectrumanalysator, waarin u het gewenste gesprek kunt markeren, en vervolgens wordt de knop Afspelen actief.

Er is ook een andere manier om naar spraakoproepen te luisteren: u kunt naar het menu gaan Telefonie – VoIP-gesprekken.

Er wordt een venster geopend met een lijst met voltooide oproepen, waar u opnieuw op de spelerknop kunt drukken, de gewenste gesprekken kunt annuleren met de selectievakjes en op play kunt drukken. Om een ​​acceptabele geluidskwaliteit te bereiken, moet u spelen met de waarde van het jitterbufferveld en de waarde ervan veranderen.

Een klein toevluchtsoord

Enige tijd geleden verscheen de website CloudShark.org.

Dit is dezelfde Wireshark-sniffer, maar geïmplementeerd als een online service. Het is duidelijk dat het niet mogelijk zal zijn om netwerkverkeer met zijn hulp vast te leggen, maar het is heel goed mogelijk om een ​​verkeersdump te analyseren. Door daar via het formulier een PCAP-bestand te uploaden voor analyse, kunt u een duidelijke reeks pakketten krijgen waarin alle gegevens worden verdeeld in begrijpelijke velden, afhankelijk van het protocol. Over het algemeen dezelfde Wireshark, maar iets lichter en toegankelijk vanuit elke browser.

Laatste gevecht

Laten we tot slot eens kijken hoe poortscannen eruit ziet. We kijken naar de dump en zien dat er eerst een ARP-verzoek plaatsvindt en dat vervolgens het scannen direct begint. Ons routeradres is 192.168.10.11, het scannen komt van het adres 192.168.10.101

Dit is het zogenaamde SYN-scannen, waarbij SYN-pakketten naar een gespecificeerd bereik van poorten worden verzonden. Omdat de meeste poorten gesloten zijn, reageert de router met RST- en ACK-pakketten. Als we iets lager scrollen, zien we dat deze open is telnet (tcp23).

Dit wordt aangegeven door het feit dat de router reageerde met een SYN, ACK-pakket. Om poorten in een sniffer te filteren, kun je trouwens constructies gebruiken als: tcp.srcport, tcp.dstport en tcp.port. Voor het UDP-protocol is alles vergelijkbaar: udp.srcport, udp.dstport, udp.port.

Resultaten

We hebben de meest elementaire onderdelen van de beste packet sniffer-functionaliteit besproken. Het bleek enigszins chaotisch, waarschijnlijk omdat ik zoveel mogelijk van de mogelijkheden ervan wilde bespreken en niets belangrijks wilde missen. Het bleek dat de pakketanalysator, net als een debugger en disassembler, de kleinste details van de werking van het netwerk en netwerkprotocollen demonstreert.
Door Wireshark te gebruiken en over de nodige kennis te beschikken, kunt u heel effectief verschillende problemen die zich op het netwerk voordoen, opsporen en diagnosticeren.

Tijdens het schrijfproces werd materiaal van de site wiki.wireshark.org gebruikt/verkeersdumps werden uit verschillende bronnen gehaald, vooral van de site

Het Wireshark-verkeersmonitoringprogramma zal een echte zegen zijn voor iemand die netwerkprotocollen begrijpt en meer wil weten over de activiteiten binnen zijn thuisnetwerk. Het is geen geheim dat sommige programma's die niet eens als kwaadaardig worden beschouwd, eenvoudigweg internetverkeer kunnen stelen. Dit is waar vertragingen en lage internetsnelheden optreden. Als je snelheid plotseling daalt, is het logisch om het Wireshark-programma te proberen, maar zonder de minste kennis van netwerkprotocollen zal het moeilijk zijn om dit te doen. Lees in dit artikel meer over het gebruik van Wireshark en wat het doet.

Waar en hoe Wireshark te downloaden

Wireshark is gratis software en wordt geheel gratis verspreid. Op de officiële website van de ontwikkelaar https://www.wireshark.org kun je niet alleen het hulpprogramma downloaden, maar ook vrijwillig geld doneren voor de ontwikkeling van het project.

• De site-interface is vrij eenvoudig: klik eerst op de knop “Downloaden”.

• Selecteer vervolgens uw systeemtype: Windows of MacOS, 32-bit of 64. Het downloaden van uw versie begint onmiddellijk. Als u niet zeker bent over uw systeem, kijk dan eens goed naar de Systeeminstellingen in het Configuratiescherm.

• Het installeren van het programma is eenvoudig, u hoeft alleen maar op de knop "Volgende" te klikken en soms de instructies op het scherm te volgen, maar sommige punten vereisen verduidelijking.
• Wanneer u wordt gevraagd een installatiekit voor hulpprogramma's te selecteren, vinkt u alle vakjes aan. Zo kun je gebruik maken van de volledige set Wireshark-tools.

• In dit venster moet u de parameters zelf configureren volgens uw voorkeuren. Dit duidt op de creatie van een snelkoppeling, een knop in het Start-menu en een associatie van bestandstypen. Als u niet zeker bent van uw beslissing, is het beter om alle vinkjes van de schermafbeelding naar uw venster over te brengen.

Verkeersmonitoring inschakelen in Wireshark

Zodra uw computer opnieuw is opgestart nadat u het programma hebt geïnstalleerd, is deze klaar voor gebruik. Tegelijkertijd zal het Wireshark-programma u aanbevelen een speciaal stuurprogramma te installeren dat nodig is om de software te laten werken.

• In het midden van het venster ziet u een knop “Interfaces vernieuwen” of “Geen interfaces gevonden”. Klik erop om de interfaces te laden. U kunt verbinding maken via een router, rechtstreeks via een kabel, via Wi-Fi-netwerken of via een LTE-modem.
• Als u over een draadloze Wi-Fi-verbinding beschikt, gaat u naar het tabblad ‘Draadloos’.

• Klik op ‘WLAN-verkeer’.

• Indien de verbinding via een modem verloopt, let dan op het tabblad “Telefonie”, klik op de regel “LTE”.

• Wat u ook kiest, het verkeer zal ongeveer zo voor u verschijnen. Bovenaan, in de regel "Filter", kunt u een filter invoeren om informatie die u niet nodig heeft eruit te filteren en netwerkprotocollen alleen op basis van een bepaald criterium te bekijken.
• Door op één ervan te klikken, krijgt u in het onderste venster meer informatie te zien. Het belangrijkste criterium kan een lijn zijn met de host: de site die het verzoek heeft geaccepteerd of verzonden. Dergelijke gegevens worden aangegeven na de woorden “Host” en “Accepteren”.
• Zoals eerder gezegd is het vrijwel onmogelijk om met protocollen te werken zonder enig begrip van hoe ze werken. Je zult niet begrijpen welk pakket wanneer en waar naartoe is gegaan. Als dit onderwerp u echter ook maar een beetje bekend voorkomt, wordt alles intuïtief.

Hoe u Wireshark-interfaces kunt inschakelen als deze niet beschikbaar zijn

Wanneer u het programma start, ziet u mogelijk een dergelijke melding. Dit betekent dat het programma uw verbindingen niet ziet: noch via de kabel, noch via een draadloze verbinding.

Het eerste dat u moet doen, is uw computer opnieuw opstarten. Het programma begint pas te functioneren na een herstart.
De tweede mogelijke en meest voorkomende reden is dat u WinPcap niet hebt gedownload. Dit zijn gratis Windows-bibliotheken die Wireshark nodig heeft. Download ze van internet, start uw computer opnieuw op en probeer het opnieuw.

Onder het artikel vindt u een lange video die u vertelt over een diepere interface van het programma.

Soms doen zich bij het gebruik van internet situaties voor waarin verkeerslekken of onverwacht verbruik van systeembronnen optreden. Om de oorzaak van het probleem snel te analyseren en op te sporen, worden speciale netwerktools gebruikt. Een van hen, WireShark, zal in het artikel worden besproken.

Algemene informatie

Voordat u WireShark gebruikt, moet u vertrouwd raken met de reikwijdte, functionaliteit en mogelijkheden ervan. Kortom: met het programma kunt u in realtime pakketten vastleggen in bekabelde en draadloze netwerkverbindingen. Gebruikt in Ethernet, IEEE 802.11, PPP en soortgelijke protocollen. U kunt ook gebruik maken van het onderscheppen van VoIP-gespreksverkeer.

Het programma wordt gedistribueerd onder de GNU GPL-licentie, wat betekent dat het gratis en open source is. Je kunt het op veel Linux-distributies draaien, MacOS, en er is ook een versie voor het Windows-besturingssysteem.

Hoe WireShark gebruiken?

Ten eerste moet u het eerst op het systeem installeren. Omdat Ubuntu een van de meest gebruikte Linux-distributies is, worden alle voorbeelden daarin getoond.

Om te installeren typt u gewoon de opdracht in de console:

sudo apt-get install wireshark

Hierna verschijnt het programma in het hoofdmenu. Je kunt het vanaf daar starten. Maar het is beter om dit vanaf de terminal te doen, omdat ze superuser-rechten nodig heeft. Dit kan als volgt worden gedaan:

Verschijning

Het programma heeft een handige grafische interface. De gebruiker ziet een vriendelijk venster dat in 3 delen is verdeeld. De eerste houdt rechtstreeks verband met vastleggen, de tweede heeft betrekking op het openen van bestanden en voorbeelden, en de derde is hulp en ondersteuning.

Het Capture-blok bevat een lijst met netwerkinterfaces die beschikbaar zijn voor capture. Wanneer u bijvoorbeeld eth0 selecteert en op de Start-knop klikt, start het onderscheppingsproces.

Ook het venster met onderschepte gegevens is logisch opgedeeld in verschillende delen. Bovenaan bevindt zich een bedieningspaneel met verschillende elementen. Hierna volgt een lijst met pakketten. Het wordt gepresenteerd in de vorm van een tabel. Hier ziet u het volgnummer van het pakket, het tijdstip waarop het is onderschept, het verzend- en ontvangstadres. Ook kunt u gegevens verwijderen over de gebruikte protocollen, lengte en andere nuttige informatie.

Onder de lijst bevindt zich een venster met de inhoud van de technische gegevens van het geselecteerde pakket. En nog lager is er een weergave in hexadecimale vorm.

Elke weergave kan worden uitgebreid tot een groter venster, zodat de gegevens gemakkelijker kunnen worden gelezen.

Filters toepassen

Terwijl het programma draait, zullen er altijd tientallen of zelfs honderden pakketten voor de gebruiker passeren. Het handmatig verwijderen ervan is behoorlijk moeilijk en tijdrovend. Daarom raden de officiële WireShark-instructies het gebruik van filters aan.

Er is een speciaal veld voor hen in het programmavenster: Filter. Om het filter nauwkeuriger te configureren, is er een knop Expressie.

Maar in de meeste gevallen is een standaardset filters voldoende:

• ip.dst — IP-adres van pakketbestemming;
• ip.src — afzenderadres;
• ip.addr - gewoon elk ip;
• ip.proto - protocol.

Filters gebruiken in WireShark - instructies

Om te proberen hoe het programma met filters werkt, moet u een bepaald commando invoeren. Een dergelijke set - ip.dst == 172.217.23.131 - toont bijvoorbeeld alle vliegende pakketten naar de Google-website. Om al het verkeer te bekijken - zowel inkomend als uitgaand - kunt u twee formules combineren: ip.dst == 172.217.23.131 || ip.src == 172.217.23.131. Het bleek dus twee voorwaarden tegelijk op één regel te gebruiken.

U kunt andere voorwaarden gebruiken, bijvoorbeeld ip.ttl< 10. Данная команда выведет все пакеты с длительностью жизни меньше 10. Чтобы выбрать данные по их размеру, можно применить такой подход — http.content_length > 5000.

Extra functies

Voor het gemak heeft WireShark een manier om snel pakketparameters te selecteren als het te analyseren veld. In een veld met technische gegevens kunt u bijvoorbeeld met de rechtermuisknop op het gewenste object klikken en Toepassen als kolom selecteren. Wat betekent het om het als kolom naar het veldgebied over te brengen?

Op dezelfde manier kunt u elke parameter als filter selecteren. Om dit te doen, is er een item Toepassen als filter in het contextmenu.

Aparte sessie

U kunt WireShark gebruiken als monitor tussen twee netwerkknooppunten, bijvoorbeeld een gebruiker en een server. Selecteer hiervoor het pakket waarin u geïnteresseerd bent, roep het contextmenu op en klik op TCP Stream volgen. Een nieuw venster toont het volledige logboek van de uitwisseling tussen de twee knooppunten.

Diagnostiek

WireShark heeft een aparte tool voor het analyseren van netwerkproblemen. Het heet Expert Tools. Je vindt het in de linkerbenedenhoek, in de vorm van een rond pictogram. Als u erop klikt, wordt een nieuw venster geopend met verschillende tabbladen: Fouten, Waarschuwingen en andere. Met hun hulp kunt u analyseren in welke knooppunten fouten optreden, pakketten niet aankomen en andere problemen met het netwerk detecteren.

Spraakverkeer

Zoals reeds vermeld kan WireShark ook spraakverkeer onderscheppen. Een heel Telefonie-menu is hieraan gewijd. Hiermee kunt u problemen in VoIP opsporen en snel oplossen.

Via het item VoIP-oproepen in het menu Telefonie kunt u voltooide oproepen bekijken en beluisteren.

Objecten exporteren

Dit is waarschijnlijk de meest interessante functionaliteit van het programma. Hiermee kunt u WireShark gebruiken als onderschepper van bestanden die via het netwerk worden verzonden. Om dit te doen, moet u het onderscheppingsproces stoppen en HTTP-objecten exporteren naar het menu Bestand. Het geopende venster toont een lijst met alle bestanden die tijdens de sessie zijn overgedragen en die op een handige locatie kunnen worden opgeslagen.

Tot slot

Helaas zal het moeilijk zijn om de huidige versie van WireShark in het Russisch op internet te vinden. De meest toegankelijke en meest gebruikte is in het Engels.

Hetzelfde geldt voor gedetailleerde instructies voor WireShark in het Russisch. De officiële versie van de ontwikkelaar wordt in het Engels gepresenteerd. Er zijn veel korte, korte WireShark-tutorials online voor beginners.

Voor degenen die al heel lang op IT-gebied werken, zal het begrijpen van het programma echter geen bijzondere problemen opleveren. En geweldige kansen en rijke functionaliteit zullen alle moeilijkheden bij het leren opvrolijken.

Het is vermeldenswaard dat het gebruik van een sniffer als WireShark in sommige landen illegaal kan zijn.

1. In dit artikel zal ik u vertellen hoe u pakketten kunt onderscheppen die via een lokaal netwerk naar internet worden verzonden. U kent het “ip” “Mac”-adres waar het pakket naartoe is gegaan, evenals de hash-hoeveelheid van het pakket en nog veel meer nuttige informatie. Ik zal niet beschrijven wat en waarom, ik geef je alleen de eerste vaardigheden, om zo te zeggen. Hoe pakketten vast te leggen en de pakketten die we nodig hebben uit de lijst te filteren. Download het Wireshark-programma met de bitgrootte voor uw systeem. Er is niets moeilijks aan de installatie, dus ik zal het niet beschrijven. Het enige dat u hoeft te doen, is het selectievakje "WinPcap" niet te missen; het moet worden geïnstalleerd, met behulp hiervan kunt u veel te weten komen over het mac-adres en meer. Het programma voor de eerste keer geïnstalleerd en gestart:
3. In het eerste venster moet u uw netwerkadapter selecteren waarvan de pakketten zullen worden vastgelegd. 1.) Selecteer onder het nummer de adapter en iets hoger, onder het nummer 2.) klik op “Start”
4. Alle pakketten die door de geselecteerde adapter gaan, worden onderschept en weergegeven. U kunt een filter instellen dat de pakketten toont die u nodig heeft van het "IP" of "Mac" dat u nodig heeft. Selecteer het gewenste pakket, klik met de rechtermuisknop, selecteer “Toepassen als filter” in het contextmenu en vervolgens “Geselecteerd” in het volgende contextmenu. Voorbeeld foto hieronder. Een venster met vastgelegde pakketten en een blauw gemarkeerd pakket waarop het filter zal werken.
5. Nadat u het filter hebt geconfigureerd. U krijgt alleen de pakketten te zien die u interesseren. Nadat u het gewenste pakket heeft geselecteerd, vindt u hieronder alle informatie. Waar, wie en waarom, laten we het kort gezegd zo zeggen.
6. Hieronder heb ik een beschrijving van het bovenpaneel gemaakt. Afbeelding onder beschrijving.
7. 1.) U kunt een andere adapter kiezen.
8. 2.) Om het zo te zeggen, alles in één. U kunt de adapter wijzigen, een filter instellen, opslaan in een bestand, opslaan in een bestaand bestand (toevoegen), een bestand openen.
9. 3.) Start het vastleggen van pakketten.
10. 4.)Stop het vastleggen van pakketten.
11. 5.) Start het vastleggen opnieuw.
12. 6.) Open een bestand met bestaande pakketten.
13. 7.)Sla vastgelegde pakketten op in een bestand.
14. 8.)Sluit het venster voor het vastleggen van pakketten, vraag om op te slaan of sluit af zonder op te slaan.
15. 9.) Laad het geopende bestand met pakketten opnieuw.
16. 10.) Zoek het pakket dat u nodig heeft.
17. 11.) Terug naar het vastgelegde pakket, ga naar het venster met pakketten.
18. 12.) Hetzelfde als 10.) optie alleen vooruit. Net als in een browser: de pagina vooruit, terug.
19. 13.)Ga naar het opgegeven pakket op basis van het pakketvolgnummer.
20. 14.) Ga naar de top in het veld met pakketten, naar de allereerste.
21. 15.) Ga naar het meest recente pakket, helemaal onderaan.
22. 16.) Markeer pakketten met kleur zoals gespecificeerd in de instellingen voor elk pakket.
23. 17.) Verplaats de lijnen met de zakken terwijl ze gevuld zijn. Als er nieuwe pakketten beschikbaar komen, laat dan nieuwe pakketten zien.
24. 18.) Vergroot de lijnen met pakketten.
25. 19.)Lijnen verkleinen, "Zoom".
26. 20.) Zorg ervoor dat de lijnen 100% toenemen.
27. 21.) Als u de kolommen met steken uit elkaar hebt verplaatst, waardoor ze breder of smaller zijn geworden. Met deze optie wordt alles teruggezet naar de standaardinstellingen.
28. 22.)Als u met filters werkt, kunt u een reeds aangeboden filter selecteren of uw eigen filter schrijven. Voeg de jouwe toe.
29. 23.) Bijna hetzelfde als 21.) paragraaf.
30. 24.)Hier kunt u voor elk pakket afzonderlijk de kleur selecteren; in de lijnen kunt u gemakkelijker de kleur vinden die u nodig heeft.
31. 25.) Het programma zelf instellen.
32. 26.) Hulp bij het programma.
33. Zoals u kunt zien, is het programma niet ingewikkeld. In sommige landen is het verboden, gebruik het totdat het hier in Rusland verboden is. Als je goed nadenkt, kunnen de voordelen van dit programma sterk worden benadrukt.