โฮมเพจ » ทำอย่างไร » วิธีใช้ Wireshark เพื่อจับภาพกรองและตรวจสอบแพ็คเก็ต

    วิธีใช้ Wireshark เพื่อจับภาพกรองและตรวจสอบแพ็คเก็ต

    Wireshark เครื่องมือวิเคราะห์เครือข่ายที่รู้จักกันในชื่อ Ethereal รวบรวมแพ็กเก็ตตามเวลาจริงและแสดงในรูปแบบที่มนุษย์อ่านได้ Wireshark มีตัวกรองการเข้ารหัสสีและคุณสมบัติอื่น ๆ ที่ให้คุณขุดลึกลงไปในการรับส่งข้อมูลเครือข่ายและตรวจสอบแต่ละแพ็กเก็ต.

    บทช่วยสอนนี้จะช่วยให้คุณเพิ่มความเร็วด้วยพื้นฐานของการจับแพ็คเก็ตกรองและตรวจสอบพวกเขา คุณสามารถใช้ Wireshark เพื่อตรวจสอบการรับส่งข้อมูลเครือข่ายของโปรแกรมที่น่าสงสัยวิเคราะห์การไหลเวียนของข้อมูลบนเครือข่ายของคุณหรือแก้ไขปัญหาเครือข่าย.

    รับ Wireshark

    คุณสามารถดาวน์โหลด Wireshark สำหรับ Windows หรือ macOS ได้จากเว็บไซต์ทางการ หากคุณใช้ Linux หรือระบบคล้าย UNIX อื่น ๆ คุณอาจพบ Wireshark ในที่เก็บแพ็กเกจ ตัวอย่างเช่นหากคุณใช้ Ubuntu คุณจะพบ Wireshark ในศูนย์ซอฟต์แวร์ Ubuntu.

    เป็นคำเตือนที่รวดเร็ว: หลายองค์กรไม่อนุญาต Wireshark และเครื่องมือที่คล้ายกันในเครือข่ายของพวกเขา อย่าใช้เครื่องมือนี้ในที่ทำงานเว้นแต่คุณจะได้รับอนุญาต.

    การจับแพ็คเก็ต

    หลังจากดาวน์โหลดและติดตั้ง Wireshark คุณสามารถเปิดใช้งานและดับเบิลคลิกที่ชื่อของอินเทอร์เฟซเครือข่ายภายใต้การจับภาพเพื่อเริ่มการจับแพ็คเก็ตบนอินเทอร์เฟซนั้น ตัวอย่างเช่นหากคุณต้องการบันทึกปริมาณการใช้งานบนเครือข่ายไร้สายให้คลิกส่วนต่อประสานไร้สาย คุณสามารถกำหนดค่าคุณสมบัติขั้นสูงได้โดยคลิกที่จับภาพ> ตัวเลือก แต่ตอนนี้ไม่จำเป็น.

    ทันทีที่คุณคลิกที่ชื่อของอินเทอร์เฟซคุณจะเห็นแพ็กเก็ตเริ่มปรากฏตามเวลาจริง Wireshark จับแต่ละแพ็คเก็ตที่ส่งไปยังหรือจากระบบของคุณ.

    หากคุณเปิดใช้งานโหมด promiscuous - จะเปิดใช้งานตามค่าเริ่มต้น - คุณจะเห็นแพ็กเก็ตอื่น ๆ ทั้งหมดในเครือข่ายแทนแพ็กเก็ตที่ส่งไปยังอะแดปเตอร์เครือข่ายของคุณเท่านั้น ในการตรวจสอบว่าเปิดใช้งานโหมด promiscuous หรือไม่ให้คลิกที่ Capture> ตัวเลือกและตรวจสอบช่องทำเครื่องหมาย“ Enable promiscuous mode บนทุกอินเตอร์เฟส” ที่ด้านล่างของหน้าต่างนี้.

    คลิกปุ่ม "หยุด" สีแดงใกล้กับมุมบนซ้ายของหน้าต่างเมื่อคุณต้องการหยุดการจับภาพการจราจร.

    รหัสสี

    คุณอาจเห็นแพ็คเก็ตที่เน้นด้วยสีที่แตกต่างหลากหลาย Wireshark ใช้สีเพื่อช่วยคุณระบุประเภทการรับส่งข้อมูลได้อย่างรวดเร็ว โดยค่าเริ่มต้นสีม่วงอ่อนคือปริมาณการใช้ TCP, สีฟ้าอ่อนคือปริมาณการใช้งาน UDP และสีดำระบุแพ็คเก็ตที่มีข้อผิดพลาด - ตัวอย่างเช่นพวกเขาอาจได้รับการจัดส่งออกจากคำสั่ง.

    หากต้องการดูความหมายของรหัสสีให้คลิกดู> กฎการระบายสี คุณสามารถปรับแต่งและปรับเปลี่ยนกฎการระบายสีได้จากที่นี่หากต้องการ.

    ตัวอย่างการจับ

    หากไม่มีสิ่งใดที่น่าสนใจในเครือข่ายของคุณในการตรวจสอบ Wiki ของ Wireshark ก็ได้ครอบคลุม วิกิมีหน้าของไฟล์ตัวอย่างที่คุณสามารถโหลดและตรวจสอบได้ คลิกไฟล์> เปิดใน Wireshark และเรียกดูไฟล์ที่คุณดาวน์โหลดเพื่อเปิดหนึ่งไฟล์.

    คุณสามารถบันทึกการจับกุมของคุณเองใน Wireshark และเปิดในภายหลัง คลิกไฟล์> บันทึกเพื่อบันทึกแพ็กเก็ตที่จับของคุณ.

    กรองแพ็คเก็ต

    หากคุณกำลังพยายามตรวจสอบบางอย่างที่เฉพาะเจาะจงเช่นการรับส่งข้อมูลที่โปรแกรมส่งมาเมื่อทำการโทรกลับบ้านมันจะช่วยปิดแอปพลิเคชันอื่น ๆ ทั้งหมดที่ใช้เครือข่ายเพื่อให้คุณสามารถ จำกัด ปริมาณการเข้าชมได้ ถึงกระนั้นคุณอาจมีแพ็คเก็ตจำนวนมากในการกรอง นั่นคือสิ่งที่ฟิลเตอร์ของ Wireshark เข้ามา.

    วิธีพื้นฐานที่สุดในการใช้ตัวกรองคือการพิมพ์ลงในกล่องตัวกรองที่ด้านบนของหน้าต่างแล้วคลิกนำไปใช้ (หรือกด Enter) ตัวอย่างเช่นพิมพ์“ dns” แล้วคุณจะเห็นเฉพาะแพ็กเก็ต DNS เมื่อคุณเริ่มพิมพ์ Wireshark จะช่วยให้คุณเติมข้อมูลตัวกรองของคุณโดยอัตโนมัติ.

    คุณยังสามารถคลิกวิเคราะห์> แสดงตัวกรองเพื่อเลือกตัวกรองจากตัวกรองเริ่มต้นที่รวมอยู่ใน Wireshark จากที่นี่คุณสามารถเพิ่มตัวกรองที่กำหนดเองของคุณเองและบันทึกเพื่อเข้าถึงตัวกรองเหล่านี้ได้อย่างง่ายดายในอนาคต.

    สำหรับข้อมูลเพิ่มเติมเกี่ยวกับภาษาตัวกรองการแสดงผลของ Wireshark อ่านหน้านิพจน์ตัวกรองการแสดงผลอาคารในเอกสารทางการของ Wireshark.

    อีกสิ่งที่น่าสนใจที่คุณสามารถทำได้คือคลิกขวาที่แพ็คเก็ตแล้วเลือกติดตาม> สตรีม TCP.

    คุณจะเห็นการสนทนา TCP เต็มรูปแบบระหว่างไคลเอนต์และเซิร์ฟเวอร์ คุณยังสามารถคลิกโปรโตคอลอื่น ๆ ในเมนูติดตามเพื่อดูการสนทนาแบบเต็มสำหรับโปรโตคอลอื่น ๆ หากมี.

    ปิดหน้าต่างแล้วคุณจะพบว่ามีการใช้งานตัวกรองโดยอัตโนมัติ Wireshark กำลังแสดงแพ็กเก็ตที่ทำขึ้นเพื่อการสนทนา.

    ตรวจสอบแพ็คเก็ต

    คลิกที่แพ็คเก็ตเพื่อเลือกมันและคุณสามารถขุดลงไปเพื่อดูรายละเอียด.

    คุณยังสามารถสร้างตัวกรองได้จากที่นี่เพียงคลิกขวาที่หนึ่งในรายละเอียดและใช้เมนูย่อยใช้เป็นตัวกรองเพื่อสร้างตัวกรองตาม.


    Wireshark เป็นเครื่องมือที่ทรงพลังอย่างยิ่งและบทช่วยสอนนี้เป็นเพียงการเกาพื้นผิวของสิ่งที่คุณสามารถทำได้ด้วย ผู้เชี่ยวชาญใช้เพื่อตรวจแก้จุดบกพร่องการใช้โปรโตคอลเครือข่ายตรวจสอบปัญหาความปลอดภัยและตรวจสอบภายในโปรโตคอลเครือข่าย.

    คุณสามารถค้นหาข้อมูลรายละเอียดเพิ่มเติมได้ในคู่มือผู้ใช้ Wireshark อย่างเป็นทางการและหน้าเอกสารอื่น ๆ บนเว็บไซต์ของ Wireshark.