Используйте Wireshark для отслеживания поведения вашей сети

by Опубликовано

Каждый раз, когда мне нужен сетевой анализ, я обращаюсь к Wireshark. На мой взгляд, Wireshark является стандартом де-факто для анализаторов сетевых протоколов. Он не только невероятно мощный, полезный и удобный, но и БЕСПЛАТНЫЙ! Но что такое Wireshark?

Просто: Wireshark — это анализатор сетевых протоколов, который отслеживает и регистрирует весь входящий и исходящий трафик в соответствии с вашими потребностями. Этот инструмент может не только читать трафик в реальном времени, но и читать трафик из предыдущего дампа. И он может читать файлы из других приложений, таких как tcpdump и Microsoft Network Analyzer.

Wireshark также предлагает несколько действительно отличных инструментов, которые помогают значительно упростить анализ сети. Два из этих инструментов (фильтры и экспертная информация) я выделю в этом уроке.

Получение и установка

Wireshark можно найти в репозиториях вашего дистрибутива. Чтобы установить его, выполните следующие действия:

  1. Откройте инструмент «Установка и удаление программного обеспечения».
  2. Найдите «wirehark» (без кавычек).
  3. Отметьте Wireshark для установки.
  4. Нажмите Применить, чтобы установить.

После установки вы найдете Wireshark в своем подменю Интернета в приложениях или меню «Пуск». Вы заметите, что для Wireshark есть две записи: «Wireshark» и «Wireshark (как root)». Проблема с версией без полномочий root заключается в том, что обычный пользователь может не иметь доступа к сетевому интерфейсу. По этой причине у вас есть два варианта: предоставить стандартному пользователю доступ к интерфейсу или запустить корневую версию Wireshark. Обычно я использую только корневую версию Wireshark.

Запуск захвата

фигура 1фигура 1

Когда вы впервые откроете Wireshark, вас встретит главное окно (см. Рисунок 1).

В этом главном окне вы найдете все необходимое для начала захвата. Взгляните на ряд значков под панелью инструментов меню. Второй значок слева — это значок, который вы хотите щелкнуть, чтобы настроить захват. При нажатии на эту кнопку

фигура 2фигура 2

откройте окно параметров захвата (см. рисунок 2). В окне «Параметры захвата» вы должны настроить как минимум интерфейс, который будет использоваться для захвата. Все доступные интерфейсы будут перечислены в раскрывающемся списке Интерфейс.

После того, как вы выбрали интерфейс, вы можете просмотреть остальную часть окна параметров и настроить захват в соответствии с вашими потребностями. После того, как вы позаботитесь о своей конфигурации, нажмите кнопку «Пуск», и начнется захват.

Отфильтруйте свой захват

Рисунок 3Рисунок 3

Как вы можете видеть на рисунке 3, для некоторых людей захваченная информация может быть немного подавляющей. Идет много потоковой передачи данных.

Но предположим, что вы хотите только отслеживать трафик, идущий к вашему внутреннему шлюзу и от него. Для этого нажмите кнопку «Фильтр», чтобы открыть диалоговое окно фильтра. В этом диалоге вы

Рисунок 4Рисунок 4

собираются настроить фильтр, который будет отфильтровывать весь трафик, кроме трафика, который видит ваш шлюз (см. рисунок 4). Что вам нужно сделать, так это дать фильтру имя, а затем установить строку. Лучший способ определить используемое выражение — это посмотреть на некоторые из примеров. Таким образом, для просмотра только шлюза с IP-адресом 192.168.1.254 строка фильтра будет такой:

ip.addr == 192.168.1.254

Установив конфигурацию, нажмите кнопку «ОК», и фильтр сразу же встанет на место.

Информация об экспертах

Рисунок 5Рисунок 5

Во время захвата вы, возможно, не сможете понять, что происходит в вашей сети. Это нормально. Есть инструмент, который поможет вам в этом. Если во время захвата вы щелкните меню «Анализ» и выберите пункт «Информация для экспертов», откроется новое окно. Это новое окно (см. Рисунок 5) даст вам более ясную картину того, что происходит в вашей сети.

Если это окно не помогает, вы также можете перейти в Композитор экспертной информации, который организует ошибки, предупреждения, чаты и подробности на отдельных вкладках.

Вывод

Wireshark должен быть вашим инструментом. И после использования этого анализатора вы, скорее всего, обнаружите, что он станет вашим «анализатором» для повседневных нужд. Wireshark прост, мощный и бесплатный.

Опубликовано admin

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *