Wat ass Wireshark?

Wireshark ass e mächtegt Netzwierkanalysinstrument dat Dir benotze kënnt fir den Netzverkéier ze iwwerwaachen an z'ënnerhuelen. Et erfaasst Paketniveauverkéier. Dëst bedeit datt Dir all Informatioun gesitt, déi an Ärem Netzwierk iwwerdroe gëtt, wat et enthält a wou et higeet.

Mat dësem Tool kënnt Dir de Flux vum Traffic an engem Netzwierk visualiséieren a verstoen. Ze gesinn wat Daten iwwerdroe ginn, gëtt Iech och Abléck an potenziell Sécherheetsbedenken an potenziell ongewollten Traffic, sou wéi den Traffic. B. Malware, Programmer déi d'Bandbreedung iwwerwannen, an och ongewollte Gäscht an Ärem WiFi.

Wireshark ass och e wichtegt Instrument well Dir kënnt genau gesinn wéi Daten déi Ärem Netz verlassen op de méi groussen Internet geschéckt ginn. Zum Beispill kënnt Dir HTTP-Ufroe kucken a liesen fir ze bestëmmen déi Donnéeën verschlësselt verschéckt ginn. Dat kéint e ganz groussen Deal sinn, besonnesch wann dës Donnéeën eppes wéi e Bankpasswuert sinn.

Wireshark installéieren

Wireshark ass Open Source a Cross-Plattform. Et ass gratis a verfügbar fir all allgemeng Betribssystemer. D'Kontrollen am Programm sinn op all Plattformen identesch, dofir musst Dir Iech keng Suergen maachen. D'Biller an dësem Artikel sinn aus Linux, awer alles wat Dir gesitt funktionnéiert op Windows a Mac.

Windows

Gitt op d'Wireshark Download Säit a luet déi lescht Versioun fir Är Versioun vu Windows erof. Run déi resultéierend .exe. Den Installateur ass zimlech Standard. Dir kënnt dat meescht vun et klickt an d'Default-Astellunge benotzen.

Wireshark Windows Installateur

Allerdéngs ass et eng Saach op déi Dir oppassen wëllt. Dir wäert gefrot ginn ob Dir WinPcap installéiere wëllt. WinPcap ass eng zousätzlech Nëtzlechkeet fir Wireshark op Windows déi all Traffic an engem Netzwierk erfaasse kann, net nëmmen Äre Computer am Traffic. Kontrolléiert d'Këscht fir WinPcap z'installéieren. Dir wäert och fir d'USB Versioun gefrot ginn. Dëst ass net néideg, awer Dir kënnt et enthalen.

Wireshark Windows Pcap

D'Installatioun ass dann ofgeschloss. Eng nei Installatioun ass fir WinPcap gestart. D'Standardastellunge sinn och do akzeptabel.

Mac

Gitt op d'Wireshark Download Säit a luet déi lescht .dmg Datei erof. Wann den Download fäerdeg ass, dubbelklickt op der Datei fir opzemaachen. Dragéiert déi oppen Applikatioun an Ären / Applikatioun Dossier fir Wireshark z'installéieren.

Linux

Déi meescht Linux Distributiounen hunn Wireshark an hire Repositories. Installéiert et mat Ärem Package Manager.

$ sudo apt installéiert wireshark-gtk

Ofhängeg vun Ärer Verdeelung, kënnt Dir gefrot gi wann Dir e regelméissege Benotzer erlaabt Packagen unzefänken. Dir sollt "Jo" soen. Nodeems Dir de Package installéiert hutt, füügt de Wireshark Grupp un Äre Benotzer. Mellt Iech weg a mellt Iech zréck wann Dir fäerdeg sidd.

$ sudo gpasswd -a User wireshark

D'Interface

Wireshark Heembildschierm

Wann Dir Wireshark fir déi éischte Kéier opmaacht, gesitt Dir e Schirm ähnlech wéi deen hei uewen. Et sinn e puer Knäppercher uewen op de Toolbarren déi iwwerwältegend ausgesinn kënnen awer sinn vill méi einfach wéi Dir mengt.

Wireshark Layout

Déi Standard Entrée-Interface ass e bësse schwéier. Dir kënnt de Layout änneren fir et méi bequem ze maachen. Klickt op "Änneren". Fannt de Menu "Astellungen" an op. Den "Layout" Tab gëtt ugewisen ënner den Astellungen op der lénker. Wielt et. Verschidde Symboler mat verschiddenen Layoutoptiounen ginn ugewisen. Wielt déi déi Dir am beschte gefält. Déi éischt Optioun mam stackéierte Layout funktionnéiert normalerweis gutt.

Maacht Iech keng Suergen ze vill iwwer d'Toolbars. Déi éischt fënnef Symboler sinn déi wichtegst. Et erlaabt Iech en Interface fir d'Acquisitioun ze wielen, d'Acquisitiounsastellungen z'änneren, eng Acquisitioun ufänken, eng Acquisitioun stoppen a weidergoen. D'Symboler selwer sinn zimlech intuitiv.

Opname Optiounen

Ier Dir mam Traffic ufänken, sollt Dir d'Captureoptiounen ënnersichen fir ze kucken wat Wireshark kann. Klickt op d'Ewechhuele Optiounen Ikon. Et soll wéi e Gang ausgesinn.

Wireshark Opnamoptiounen

Déi éischt Saach déi Dir uewen an der Fënster gesäit ass eng Tabell déi all Är Netzwierk-Schnëttplazen oplëscht. Kuckt d'Këscht niewent dem Interface op deen Dir wëllt ophuelen. An deene meeschte Fäll, benotzt den Interface deen Dir mam Netz verbonne wëllt. Dëst ass deen dee mat Ärem Ethernet Hafen oder Wifi Apparat entsprécht.

Drënner sinn e puer Schecken. Dir wäert gefrot ginn ob Dir de promiskue Modus wëllt benotzen. Am promiskuen Modus kënnt Dir den Austausch tëscht all Geräter an engem Netzwierk gesinn, an net nëmmen tëscht Ärem eegene Computer. Dir wëllt dëst aktivéiert wëllen. Awer virsiichteg. Promisku Modus benotzen an engem Netzwierk dat Dir net hutt oder net erlaabt ass ze testen ass illegal.

Déi nächst Sektioun handelt mat Capture Dateien. Mat Wireshark kënnt Dir Är Daten späicheren. Am éischte Feld kënnt Dir en eenzegt Zil fir Är Entrée aginn. Ënnert dësem kënnt Dir d'Kontrollbox aktivéieren sou datt Wireshark de Acquisitiounsprotokoll deelt. Protokoller kënne ganz grouss ginn, besonnesch a méi grousse Netzwierker. Mat dëser Funktioun kënnt Dir automatesch Är Donnéeën no der Zäit oder der Dateigréisst opdeelen. A béide Fäll ass et eng praktesch Feature wann Dir mat langfristeg Scans oder e beschäftegt Netzwierk schafft.

Hei ënnen kënnt Dir d'Dauer vun Ärem Opname kontrolléieren. Erëm, d'Fangen kënnen ganz grouss ginn, sou datt Dir eng maximal Gréisst festleet. Dir kënnt och e Timeout astellen, wat ganz hëllefräich ass, well et Iech erlaabt e Snapshot vun engem spezifeschen Zäitframe op Ärem Netzwierk ze huelen.

Fang Traffic

Wann Dir Är Astellunge an Uerdnung gemaach hutt, sidd Dir prett fir den Traffic op Ärem Netzwierk z'erfaassen. Wann Dir nach ni eppes wéi dëst gemaach hutt, sidd prett iwwerrascht ze sinn. Et ass vill méi Traffic an Ärem Netzwierk wéi Dir wësst. Fir mat der Opnam unzefänken, klickt entweder op de "Start" Knäppchen um ënnen vun der Konfiguratiounsfenster oder klickt op de Shark Fin Ikon. Egal wéi et funktionnéiert.

Wireshark Fang

Wann Dir ufänkt mat Enregistréiere ze maachen, hänkt de uewe gewisen Verkéier of wéi Geräter op Ärem Netz sinn. Während déi meescht Leit net fäeg sinn mat der Trafficbelaaschtung ze halen, déi se gesinn, ass et relativ méiglech datt Dir niewendlech näischt wäert gesinn. Wann jo, öffnet e Webbrowser a navigéiert wann Är Capture séier fëllt.

Nodeems Är Capture esou laang leeft wéi Dir wëllt testen, klickt op den Stop-Button op der Toolbar. Wat Dir hutt sollt eppes ausgesinn wéi d'Bild hei uewen.

Liest Daten

Klickt op eng vun de gefaange Packagen. Probéiert eng HTTP-Ufro ze fannen. Si si normalerweis méi einfach ze liesen. Wann Dir e Package wielt, ginn déi aner zwee Beräicher vum Écran mat Informatioun iwwer déi gewielte populéiert.

Wireshark Packet Info

D'Sektioun fir nozekucken ass zesummeklappbar Tabs. Dës Tabs verfollegen den OSI Modell a si arrangéiert vum niddregsten bis héchsten Niveau, mat der niddregsten Informatioun uewen ugewisen. Dëst bedeit datt d'Informatioun déi Iech am meeschte relevant ass, ka wahrscheinlech an de Tabs hei drënner fonnt ginn.

All Tab enthält verschidde Informatioun iwwer de Package. HTTP-Pakete weisen Informatioun iwwer d'HTTP-Ufro, ënner anerem d'Äntwert, den Header, an eventuell souguer e puer HTML Informatioun. Aner Packetypen kënnen Informatioun enthalen iwwer wéi Ports benotzt ginn, wéi eng Verschlësselung benotzt gëtt, wéi eng Protokoller gi benotzt a wéi eng MAC Adresse benotzt ginn.

Filter Packagen

Et kann schwéier sinn duerch verschidde Sammlungsdaten ze duerchsichen fir genau ze fannen wat Dir sicht. Et ass net effizient an e groussen Offall vun Zäit. Wireshark huet eng Filterfunktioun déi Iech erlaabt séier Packagen ze sortéieren fir genau ze fannen wat op engem bestëmmten Zäitpunkt relevant ass.

Wireshark bitt e puer Basis Weeër fir Resultater ze filteren. Als éischt huet et vill agebaute Filteren. Wann Dir an ee vun de Filterfelder klickt, weist Wireshark se als Suggestiounen fir automatesch Fäerdegstellung. Wann ee vun deenen ass wat Dir sicht, super! Filteren wäerten ganz einfach sinn.

Wireshark benotzt och sougenannte Boolschen Opérateuren. Boolschen Opérateuren gi benotzt fir ze bewäerten ob eng Ausso richteg ass oder net. Zum Beispill, wann Dir wëllt datt zwou Bedéngungen erfëllt sinn, benotzt den "an" Bedreiwer tëscht, well Konditioun 1 a Konditioun 2 allebéid richteg sinn. De Bedreiwer "oder" ass ähnlech, ausser datt ee vun Äre Konditioune muss erfëllt ginn. Dir kënnt sécher denken datt de Bedreiwer "net" sicht eng Konditioun déi et net gëtt.

Zousätzlech zu de Boolschen Bedreiwer, ënnerstëtzt Wireshark Verglachoperateuren. Wéi de Numm scho seet, vergläicht Verglachoperateuren zwou oder méi Konditioune. Si bewäerten d'Gläichheet vun de Konditioune méi grouss, manner wéi oder gläich.

Filter beim Opname

Wireshark Fondplaz

Filteren Är Resultater während der Opnam ass ganz einfach. Öffnen d'Opnamoptiounen. Kuckt fir de "Capture Options" Knäppchen an der Mëtt vun der Fënster. Do sollt och e grousst Textfeld hannendru sinn.

Dir kënnt Äre Filter aus Schrummen an dësem Feld erstellen oder op de Knäppchen klickt an d'Filters a Wireshark benotzen. Probéiert de Knäppchen ze klicken. Eng nei Fënster mat enger Lëscht vu Filteren gëtt op. Wann Dir op dës Filtere klickt, ginn déi folgend Felder ausgefëllt. Dat ënnescht Feld ass de Filter deen am Moment benotzt gëtt. Dir kënnt dëse Filter änneren als Basis fir Är eege personaliséiert Filteren. Wann Dir fäerdeg sidd, klickt op OK. Da fuert Är Scan wéi gewinnt. Amplaz alles opzehuelen, erfaasst Wireshark nëmmen Päckchen, déi de Bedéngungen vun Ärem Filter entspriechen. Dëst mécht et vill méi einfach Är Package Daten ze sortéieren an ze kategoriséieren. Dir musst net duerch vill zousätzlech Informatioune sichen fir ze fannen wat Dir braucht.

Filter Resultater

Wireshark Filter Resultater

Wann Dir eng komplett Opnam gemaach oder eng méi robust Opname gemaach hutt, awer se spéider filtere wëllt, kënnt Dir et maachen. Nodeems Dir eng Foto gemaach hutt, gëtt eng zousätzlech Toolbar ënner de Kontrollsymboler ugewisen. Dës Toolbar enthält e "Filters" Feld. Dir kënnt Ausdréck an dësem Feld aginn fir ze filteren wéi eng Resultater Wireshark affichéiert.

Wéi beim Filteren beim Opname gëtt et en einfache Wee. Klickt op de "Expression" Knäppchen fir eng Fenster opzemaachen an där Dir Är Filterausdréck kënnt zesummestellen. Déi lénks Kolonn enthält eng Lëscht vu Felder. An dëse Felder kënnt Dir wielen wéi eng Informatioun Dir zielt wëllen. Déi nächst Kolonn enthält eng Lëscht vu méigleche Relatiounen. Déi meescht si Symboler fir manner wéi, méi grouss wéi, d'selwecht, a Kombinatioune dovun. Déi lescht Kolonn enthält Wäerter. Dëst sinn d'Wäerter mat deenen Dir vergläicht. Ofhängeg vun Ärem Feld, kënnt Dir de Wäert auswielen oder aginn, mat deem Dir vergläiche wëllt.

Dës kënne méi komplex ginn an Dir kënnt méi Ausdrock derbäi. Dëst ass wéinst de Boolschen Bedreiwer. Wéi och ëmmer, dës Booleans sinn anescht. D'Symboler fir an oder an ginn net benotzt amplaz vun de Wierder selwer an dësem Ausdrockfeld. || steet fir "oder" && ist "an". Een einfache! ass net. "

Zum Beispill, wann Dir alles ausser UDP wëllt, benotzt! Udp. Wann Dir HTTP oder TCP wëllt, probéiert http || tcp. Dir kënnt se och a méi komplex Ausdréck kombinéieren. Wat méi komplex Ären Ausdrock gëtt, dest méi raffinéiert gëtt Äre Filter.

Folgend Paketstroum

Wann Dir e Package oder Packagen hutt deen Iech interesséiert, kënnt Dir e fantastescht inbuilt Tool am Wireshark benotzen fir all "Ënnerhalung" tëscht deenen zwee Computeren ze verfollegen déi dës Packagen austauschen. Duerch de Packetflows ze verfolgen, kann Wirshark alles zesummefaassen an e gréissert Resultat erreechen. Fir HTTP Packagen kompiléiert Wireshark méiglecherweis d'HML Quell vun enger Websäit. Mat bestëmmten onverschlësselten VOIP Programmer kann Wireshark iwwerhaapt den austauschten Audio zréck halen. Jo, et kann tatsächlech VoIP-Uruff iwwerhéiert ginn.

Wireshark Follow Packet

Riets-klickt op e Package deen Dir wëllt verfollegen. Wielt "Follow ... Stream", d'Punkte ginn duerch de Protokoll vum Package ersat. De Wireshark dauert e puer Sekonnen fir alles zesummen ze stellen. Wann de Prozess ofgeschloss ass, weist Wireshark Iech dat fäerdeg Resultat. Dës Feature mécht et vill méi einfach fir Iech genau ze gesinn wat iwwer Ärem Netz austauscht gëtt. Et weist och wéi wichteg Netzverschlësselung ass, well dës Funktioun nëmmen déi absolut Nonsense fir verschlësselte Päckchen resüméiert.

Finale Gedanken

Wireshark ass en absolut fantastescht Tool fir Netzwierk Analyse. Et gëtt Iech Zougang zu alles wat an Ärem Netzwierk leeft. Mam Wireshark kënnt Dir besser verstoen wou d'Problemer vun Ärem Netzwierk sinn, souwuel wat d'Vitesse wéi och d'Sécherheet ugeet. Denkt drun Wireshark ëmmer mat Vorsicht ze benotzen an ze verstoen datt et ganz opdrénglech ass. Spot net Spioun an erënnert wir Wireshark konform ze halen.