Czasami podczas korzystania z Internetu zdarzają się sytuacje, w których dochodzi do wycieku ruchu lub nieoczekiwanych wydatków zasobów systemowych. Aby szybko przeanalizować i zidentyfikować źródło problemu, użyj specjalnych narzędzi sieciowych. O jednym z nich, WireShark, zostaną omówione w artykule.

Informacje ogólne

Przed rozpoczęciem korzystania z WireSharka należy zapoznać się z obszarem zastosowania, funkcjonalnością i możliwościami. Krótki: Program umożliwia przechwytywanie pakietów w czasie rzeczywistym w połączeniach sieci przewodowych i bezprzewodowych. Dotyczy Ethernet, IEEE 80211 PPP i podobnych protokołów. Możesz używać i przechwytywać połączenia VoIP.


Program jest licencjonowany na licencji GNU GPL, co oznacza - bezpłatne i otwarte źródło. Możesz go uruchomić na wielu dystrybucjach Linuksa, MacOS, i jest też wersja dla systemu operacyjnego Windows.

Jak korzystać z WireShark?

Po pierwsze, konieczne jest najpierw zainstalowanie go w systemie. Ponieważ jedną z najczęściej używanych dystrybucji systemu Linux jest Ubuntu, wszystkie przykłady zostaną w niej wyświetlone. Aby go zainstalować, wystarczy wpisać w konsoli poleceń: sudo apt-get install wireshark Po tym program pojawi się w menu głównym. Możesz uruchomić go stamtąd. Ale lepiej zrobić to z terminala, ponieważ potrzebuje uprawnień administratora. Można to zrobić w następujący sposób: sudo wireshark

Wygląd

Program ma wygodny interfejs graficzny. Przyjazne dla użytkownika okno pojawi się przed użytkownikiem, podzielone na 3 części.Natychmiast z entuzjazmem związanym z pierwszym, drugi odnosi się do otwarcia plików i próbek, a trzeci - pomocy i wsparcia.


Blok przechwytywania zawiera listę dostępnych przechwyceń interfejsu sieciowego. Wybierając na przykład eth0, a naciśnięcie Start rozpocznie proces przechwytywania. Okno z przechwyconymi danymi jest również logicznie podzielone na kilka części. Powyżej znajduje się panel kontrolny z różnymi elementami. Poniżej znajduje się lista pakietów. Jest on przedstawiony jako tabela. Tutaj możesz zobaczyć numer seryjny paczki, czas jej przechwycenia, adres wysłania i odbioru. Można również usuwać dane o protokołach, długościach i innych przydatnych informacjach. Poniżej znajduje się lista z zawartością danych technicznych wybranego pakietu. Poniżej znajduje się mapowanie w systemie szesnastkowym. Każde zgłoszenie można wdrożyć w dużym oknie, aby uzyskać bardziej wygodny odczyt danych.

Stosowanie filtrów

Podczas działania programu użytkownik zawsze będzie uruchamiał dziesiątki lub nawet setki pakietów. Przesiewanie ich ręcznie jest trudne i długie. Dlatego oficjalna instrukcja WireShark zaleca korzystanie z filtrów. Mają specjalne pole w oknie programu - Filtr. Aby filtr był dokładniejszy, dostępny jest przycisk Wyrażenie. Jednak w większości przypadków dostępny jest również standardowy zestaw filtrów:

ip.dst - ip-destination destination;

ip.src - adres nadawcy;

ip.addr - tylko dowolne ip;

ip.proto - protokół.

Korzystanie z filtrów w WireShark - Instrukcja

Aby spróbować jakouruchamiając program z filtrami, musisz wpisać określone polecenie w polu Filtr. Na przykład taki zestaw - ip.dst == 17221723.131 - pokaże wszystkie latające pakiety do witryny Google. Aby wyświetlić cały ruch - zarówno przychodzący, jak i wychodzący - możesz łączyć dwa formuły - ip.dst == 17221723.131 || ip.src == 17221723.131. Dzięki temu można było stosować dwa warunki w jednym wierszu na raz.
Możesz także użyć innych warunków, takich jak ip.ttl 5000.

Dodatkowe funkcje

Dla wygody, WireShark ma szybki sposób na wybranie parametrów pakietu jako pola analizy. Na przykład w polu danych technicznych można kliknąć prawym przyciskiem myszy żądany obiekt i wybrać Zastosuj jako kolumnę. Co to znaczy przetłumaczyć w polu jako kolumny. Podobnie, możesz wybrać dowolny parametr i filtr. W tym celu w menu kontekstowym znajduje się element Zastosuj jako filtr.

Oddzielna sesja

Możesz używać WireSharka jako monitora pomiędzy dwoma węzłami sieci, takimi jak użytkownik i serwer. Aby to zrobić, wybierz pakiet, wywołaj menu kontekstowe i kliknij Follow TCP-Stream. Nowe okno wyświetli całą wymianę dziennika między dwoma węzłami.

Diagnostyka

WireShark ma osobne narzędzie do analizy problemów sieciowych. Nazywa się Expert Tools. Możesz go znaleźć w lewym dolnym rogu, w postaci okrągłej ikony. Po kliknięciu otworzy się nowe okno z kilkoma zakładkami - Błędy, Ostrzeżenia i inne. Za ich pomocą można analizować, które węzły nie działają, nie docierać do pakietów i identyfikować innych problemów sieciowych.

Ruch głosowy

Jak już wspomniano, WireShark jest w stanie przechwycić iruch głosowy W tym celu przypisane jest całe menu Telefonia. Może to zostać wykorzystane do znalezienia problemów w VoIP i szybkiego ich rozwiązania. Połączenia VoIP w menu Telefonia umożliwiają przeglądanie i słuchanie nawiązywanych połączeń.

Eksportuj obiekty

Jest to prawdopodobnie najciekawsza funkcja programu. Umożliwia korzystanie z WireSharka jako przechwytywacza plików przesyłanych przez sieć. Aby to zrobić, należy zatrzymać proces przechwytywania i wyeksportować obiekty HTTP z menu Plik. Okno wyświetli listę wszystkich przesłanych sesji plików, które można przechowywać w wygodnym miejscu.

Podsumowując

Niestety, obecna wersja WireSharka w języku rosyjskim będzie trudna do znalezienia w sieci. Najczęściej używanym i często używanym językiem jest angielski. Istnieją również przypadki ze szczegółowymi instrukcjami na WireShark w języku rosyjskim. Oficjalny programista jest prezentowany w języku angielskim. W sieci dostępnych jest wiele małych i krótkich porad dla początkujących WireShark. Jednak ci, którzy od dawna pracują w dziedzinie IT, aby poradzić sobie z programem, nie napotykają szczególnych trudności. Świetna okazja i bogata funkcjonalność rozjaśnią wszystkie trudności w nauce. Warto zauważyć, że w niektórych krajach użycie snajpera, jakim jest WireShark, może być nielegalne.