Как да използвате Wireshark? Анализ на трафика
Понякога при използване на интернет има ситуации, при които има изтичане на трафик или непредвидени разходи за системните ресурси. За да анализирате бързо и да определите източника на проблема, използвайте специални мрежови инструменти. Един от тях, WireShark, ще бъде разгледан в статията.
съдържание
Обща информация
Преди да използвате WireShark, трябва да се запознаете с обхвата на приложението, функционалността и възможностите му. Накратко: програмата ви позволява да преглеждате пакети в реално време в кабелни и безжични мрежови връзки. Използва се в Ethernet, IEEE 802.11, PPP и подобни протоколи. Можете също да използвате прихващане на трафик на VoIP.
Програмата се разпространява под лиценз GNU GPL, което означава - безплатен и с отворен код. Можете да го стартирате на много Linux дистрибуции, MacOS, а има и версия за операционната система Windows.
Как да използвате WireShark?
Първо, първо трябва да го инсталирате в системата. Тъй като една от най-често използваните Linux дистрибуции е Ubuntu, всички примери ще бъдат показани в него.
За да инсталирате, просто въведете командата в конзолата:
sudo apt-get инсталирате wireshark
След това програмата ще се появи в главното меню. Можете да го пуснете оттам. Но е по-добре да направите това от терминала, тъй като се нуждае от суперпотребителски права. Това може да се направи по следния начин:
sudo wireshark
вид
Програмата има удобен графичен интерфейс. Преди потребителят да се появи приятелски прозорец, разделен на 3 части. Директно със заснемането е свързан първият, вторият се отнася до отварянето на файлове и мостри, а третият - помощ и поддръжка.
Блокът Capture съдържа списък с мрежови интерфейси, които са достъпни за улавяне. Ако изберете например eth0 и натиснете бутона Старт, процесът на прихващане ще започне.
Прозорецът с прихванати данни също се разделя логически на няколко части. Нагоре е контролен панел с различни елементи. До него има списък с пакети. Представя се под формата на таблица. Тук можете да видите серийния номер на пакета, времето на прихващане, адреса на изпращача и получателя. Можете също така да изтриете данни за използваните протоколи, дължина и друга полезна информация.
Под списъка има прозорец със съдържанието на техническите данни на избрания пакет. И още по-надолу има дисплей в шестнадесетичен вид.
Всеки изглед може да се използва в голям прозорец за по-лесно четене на данни.
Прилагане на филтри
В процеса на програмата, десетки или стотици пакети винаги ще се изпълняват пред потребителя. Посяването им на ръка е доста трудно и дълго. Ето защо официалната инструкция WireShark препоръчва използването на филтри.
За тях има специално поле в прозореца на програмата - Филтър. За да конфигурирате по-точно филтъра, има бутон за изразяване.
Но в повечето случаи ще има достатъчно и стандартен набор от филтри:
- ip.dst - IP адрес на пакета за местоназначение;
- ip.src - адреса на подателя;
- ip.addr е просто всяко IP;
- ip.proto - протокол.
Използване на филтри в WireShark - инструкция
За да изпробвате как работи програма с филтри, трябва да въведете конкретна команда в полето Филтър. Например такъв набор - ip.dst == 172.217.23.131 - ще покаже всички летящи пакети на сайта "Google". За да видите целия трафик - входящ и изходящ - можете да комбинирате две формули - ip.dst == 172.217.23.131 || ip.src == 172.217.23.131. По този начин се оказа, че се използват две условия в един ред наведнъж.
Можете да използвате други условия, например ip.ttl < 10. Тази команда ще изведе всички пакети с живот по-малък от 10. За да изберете данни по техния размер, можете да приложите този подход - http.content_length> 5000.
Допълнителни функции
За удобство WireShark има възможност бързо да избере параметрите на пакета като анализирано поле. Например в полето с технически данни можете да щракнете с десния бутон на мишката върху желания обект и да изберете Прилагане като колона. Какво означава това да се превърне в областта на полето като колона.
По същия начин можете да изберете който и да е параметър като филтър. За да направите това, кликнете върху Прилагане като филтър в контекстното меню.
Отделна сесия
Можете да използвате WireShark като монитор между два възела на мрежата, например потребител и сървър. За да направите това, изберете пакета от интерес, извикайте контекстното меню и кликнете върху Следвайте TCP потока. В новия прозорец ще се покаже целият дневник за обмен между двата възела.
диагностика
WireShark има отделен инструмент за анализ на мрежовите проблеми. Нарича се Експертни инструменти. Можете да го намерите в долния ляв ъгъл под формата на кръгла икона. Кликването върху него ще отвори нов прозорец с няколко раздели - Грешки, Предупреждения и други. С тяхна помощ можете да анализирате кои възли са неуспешни, да не достигнете пакетите и да намерите други проблеми с мрежата.
Гласов трафик
Както вече беше споменато, WireShark е в състояние да прихване и да гласува трафик. За тази цел е посветено цялото меню на телефония. Това може да се използва за намиране на проблеми във VoIP и тяхното бързо премахване.
Елементът за VoIP повиквания в менюто Телефония ви позволява да прегледате перфектните разговори и да ги слушате.
Експортни обекти
Това е може би най-интересната функция на програмата. Той ви позволява да използвате WireShark като прехващач на файлове, които се предават по мрежата. За да направите това, спрете процеса на прихващане и експортирайте HTTP обектите в менюто Файл. В прозореца, който ще се отвори, ще видите списък с всички файлове, прехвърлени по време на сесията, които могат да бъдат запазени на удобно място.
В заключение
За съжаление, текущата версия на WireShark на руски в мрежата ще бъде трудно да се намери. Най-достъпният и често използван е на английски език.
Също така ситуацията е с подробните инструкции за WireShark на руски език. Служител на разработчика е представен на английски език. Мрежата има много малки и кратки ръководства за WireShark за начинаещи.
Обаче тези, които отдавна са работили в сферата на ИТ, за да се справят с програмата, няма да имат особени затруднения. И големите възможности и богата функционалност ще озаряват всички трудности в ученето.
Струва си да се отбележи, че в някои страни използването на ловджийство, което е WireShark, може да е незаконно.
Подробности за това, как да разопаковате TAR
Програми с разширение tar.gz: как да инсталирате инструкции и препоръки стъпка по стъпка
Описание на командата NETSTAT (статистика на активните TCP връзки)
Мрежови операционни системи, техните характеристики и критерии за подбор
IGMP snooping: концепция и използване
Контрол на трафика - необходимостта от работа с ограничен интернет
Командата tracert ще помогне при диагностицирането на комуникационни проблеми
Как да научите трафик на мегафон? Увеличете трафика "мегафон"
Разпространение: какво е това? Примери за разпространение и програми за OS
Какви програми съществуват за разпространение на WiFi от лаптоп? Анализ на техните плюсове и минуси
Клиенти на Windows SSH: Общ преглед на продукти на трети страни
WinPcap - каква е тази програма?- Ние ускоряваме посредния компютър. Как да използвате прокси сървър
Програми за мониторинг на интернет трафика и техните функции
Bonjour: каква е тази програма, за какво е тя, как работи и дали може да бъде изтрита?
Как да инсталирате DirectX 11 на Windows 7: Инструкция- Linux операционна система: предимства и недостатъци
Командите на Tcpdump (примери)
Интернет порталът е надежден спътник към World Wide Web
Как да премахнете NET Framework: Инструкция
Linux. Как да инсталирате себе си?