วิธีใช้ Wireshark เพื่อจับภาพกรองและตรวจสอบแพ็คเก็ต
Wireshark เครื่องมือวิเคราะห์เครือข่ายที่รู้จักกันในชื่อ Ethereal รวบรวมแพ็กเก็ตตามเวลาจริงและแสดงในรูปแบบที่มนุษย์อ่านได้ Wireshark มีตัวกรองการเข้ารหัสสีและคุณสมบัติอื่น ๆ ที่ให้คุณขุดลึกลงไปในการรับส่งข้อมูลเครือข่ายและตรวจสอบแต่ละแพ็กเก็ต.
บทช่วยสอนนี้จะช่วยให้คุณเพิ่มความเร็วด้วยพื้นฐานของการจับแพ็คเก็ตกรองและตรวจสอบพวกเขา คุณสามารถใช้ Wireshark เพื่อตรวจสอบการรับส่งข้อมูลเครือข่ายของโปรแกรมที่น่าสงสัยวิเคราะห์การไหลเวียนของข้อมูลบนเครือข่ายของคุณหรือแก้ไขปัญหาเครือข่าย.
รับ Wireshark
คุณสามารถดาวน์โหลด Wireshark สำหรับ Windows หรือ macOS ได้จากเว็บไซต์ทางการ หากคุณใช้ Linux หรือระบบคล้าย UNIX อื่น ๆ คุณอาจพบ Wireshark ในที่เก็บแพ็กเกจ ตัวอย่างเช่นหากคุณใช้ Ubuntu คุณจะพบ Wireshark ในศูนย์ซอฟต์แวร์ Ubuntu.
เป็นคำเตือนที่รวดเร็ว: หลายองค์กรไม่อนุญาต Wireshark และเครื่องมือที่คล้ายกันในเครือข่ายของพวกเขา อย่าใช้เครื่องมือนี้ในที่ทำงานเว้นแต่คุณจะได้รับอนุญาต.
การจับแพ็คเก็ต
หลังจากดาวน์โหลดและติดตั้ง Wireshark คุณสามารถเปิดใช้งานและดับเบิลคลิกที่ชื่อของอินเทอร์เฟซเครือข่ายภายใต้การจับภาพเพื่อเริ่มการจับแพ็คเก็ตบนอินเทอร์เฟซนั้น ตัวอย่างเช่นหากคุณต้องการบันทึกปริมาณการใช้งานบนเครือข่ายไร้สายให้คลิกส่วนต่อประสานไร้สาย คุณสามารถกำหนดค่าคุณสมบัติขั้นสูงได้โดยคลิกที่จับภาพ> ตัวเลือก แต่ตอนนี้ไม่จำเป็น.
ทันทีที่คุณคลิกที่ชื่อของอินเทอร์เฟซคุณจะเห็นแพ็กเก็ตเริ่มปรากฏตามเวลาจริง Wireshark จับแต่ละแพ็คเก็ตที่ส่งไปยังหรือจากระบบของคุณ.
หากคุณเปิดใช้งานโหมด promiscuous - จะเปิดใช้งานตามค่าเริ่มต้น - คุณจะเห็นแพ็กเก็ตอื่น ๆ ทั้งหมดในเครือข่ายแทนแพ็กเก็ตที่ส่งไปยังอะแดปเตอร์เครือข่ายของคุณเท่านั้น ในการตรวจสอบว่าเปิดใช้งานโหมด promiscuous หรือไม่ให้คลิกที่ Capture> ตัวเลือกและตรวจสอบช่องทำเครื่องหมาย“ Enable promiscuous mode บนทุกอินเตอร์เฟส” ที่ด้านล่างของหน้าต่างนี้.
คลิกปุ่ม "หยุด" สีแดงใกล้กับมุมบนซ้ายของหน้าต่างเมื่อคุณต้องการหยุดการจับภาพการจราจร.
รหัสสี
คุณอาจเห็นแพ็คเก็ตที่เน้นด้วยสีที่แตกต่างหลากหลาย Wireshark ใช้สีเพื่อช่วยคุณระบุประเภทการรับส่งข้อมูลได้อย่างรวดเร็ว โดยค่าเริ่มต้นสีม่วงอ่อนคือปริมาณการใช้ TCP, สีฟ้าอ่อนคือปริมาณการใช้งาน UDP และสีดำระบุแพ็คเก็ตที่มีข้อผิดพลาด - ตัวอย่างเช่นพวกเขาอาจได้รับการจัดส่งออกจากคำสั่ง.
หากต้องการดูความหมายของรหัสสีให้คลิกดู> กฎการระบายสี คุณสามารถปรับแต่งและปรับเปลี่ยนกฎการระบายสีได้จากที่นี่หากต้องการ.
ตัวอย่างการจับ
หากไม่มีสิ่งใดที่น่าสนใจในเครือข่ายของคุณในการตรวจสอบ Wiki ของ Wireshark ก็ได้ครอบคลุม วิกิมีหน้าของไฟล์ตัวอย่างที่คุณสามารถโหลดและตรวจสอบได้ คลิกไฟล์> เปิดใน Wireshark และเรียกดูไฟล์ที่คุณดาวน์โหลดเพื่อเปิดหนึ่งไฟล์.
คุณสามารถบันทึกการจับกุมของคุณเองใน Wireshark และเปิดในภายหลัง คลิกไฟล์> บันทึกเพื่อบันทึกแพ็กเก็ตที่จับของคุณ.
กรองแพ็คเก็ต
หากคุณกำลังพยายามตรวจสอบบางอย่างที่เฉพาะเจาะจงเช่นการรับส่งข้อมูลที่โปรแกรมส่งมาเมื่อทำการโทรกลับบ้านมันจะช่วยปิดแอปพลิเคชันอื่น ๆ ทั้งหมดที่ใช้เครือข่ายเพื่อให้คุณสามารถ จำกัด ปริมาณการเข้าชมได้ ถึงกระนั้นคุณอาจมีแพ็คเก็ตจำนวนมากในการกรอง นั่นคือสิ่งที่ฟิลเตอร์ของ Wireshark เข้ามา.
วิธีพื้นฐานที่สุดในการใช้ตัวกรองคือการพิมพ์ลงในกล่องตัวกรองที่ด้านบนของหน้าต่างแล้วคลิกนำไปใช้ (หรือกด Enter) ตัวอย่างเช่นพิมพ์“ dns” แล้วคุณจะเห็นเฉพาะแพ็กเก็ต DNS เมื่อคุณเริ่มพิมพ์ Wireshark จะช่วยให้คุณเติมข้อมูลตัวกรองของคุณโดยอัตโนมัติ.
คุณยังสามารถคลิกวิเคราะห์> แสดงตัวกรองเพื่อเลือกตัวกรองจากตัวกรองเริ่มต้นที่รวมอยู่ใน Wireshark จากที่นี่คุณสามารถเพิ่มตัวกรองที่กำหนดเองของคุณเองและบันทึกเพื่อเข้าถึงตัวกรองเหล่านี้ได้อย่างง่ายดายในอนาคต.
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับภาษาตัวกรองการแสดงผลของ Wireshark อ่านหน้านิพจน์ตัวกรองการแสดงผลอาคารในเอกสารทางการของ Wireshark.
อีกสิ่งที่น่าสนใจที่คุณสามารถทำได้คือคลิกขวาที่แพ็คเก็ตแล้วเลือกติดตาม> สตรีม TCP.
คุณจะเห็นการสนทนา TCP เต็มรูปแบบระหว่างไคลเอนต์และเซิร์ฟเวอร์ คุณยังสามารถคลิกโปรโตคอลอื่น ๆ ในเมนูติดตามเพื่อดูการสนทนาแบบเต็มสำหรับโปรโตคอลอื่น ๆ หากมี.
ปิดหน้าต่างแล้วคุณจะพบว่ามีการใช้งานตัวกรองโดยอัตโนมัติ Wireshark กำลังแสดงแพ็กเก็ตที่ทำขึ้นเพื่อการสนทนา.
ตรวจสอบแพ็คเก็ต
คลิกที่แพ็คเก็ตเพื่อเลือกมันและคุณสามารถขุดลงไปเพื่อดูรายละเอียด.
คุณยังสามารถสร้างตัวกรองได้จากที่นี่เพียงคลิกขวาที่หนึ่งในรายละเอียดและใช้เมนูย่อยใช้เป็นตัวกรองเพื่อสร้างตัวกรองตาม.
Wireshark เป็นเครื่องมือที่ทรงพลังอย่างยิ่งและบทช่วยสอนนี้เป็นเพียงการเกาพื้นผิวของสิ่งที่คุณสามารถทำได้ด้วย ผู้เชี่ยวชาญใช้เพื่อตรวจแก้จุดบกพร่องการใช้โปรโตคอลเครือข่ายตรวจสอบปัญหาความปลอดภัยและตรวจสอบภายในโปรโตคอลเครือข่าย.
คุณสามารถค้นหาข้อมูลรายละเอียดเพิ่มเติมได้ในคู่มือผู้ใช้ Wireshark อย่างเป็นทางการและหน้าเอกสารอื่น ๆ บนเว็บไซต์ของ Wireshark.