Kuinka lukea paketteja Wiresharkissa

Monille IT-asiantuntijoille Wireshark on verkkopakettianalyysin työkalu. Avoimen lähdekoodin ohjelmiston avulla voit tutkia tarkasti kerättyjä tietoja ja määrittää ongelman juuren parannetulla tarkkuudella. Lisäksi Wireshark toimii reaaliajassa ja käyttää värikoodausta kaapattujen pakettien näyttämiseen muiden hienojen mekanismien joukossa.

Tässä opetusohjelmassa selitämme kuinka kaapata, lukea ja suodattaa paketteja Wiresharkin avulla. Alta löydät vaiheittaiset ohjeet ja erittelyt verkkoanalyysin perustoiminnoista. Kun hallitset nämä perusvaiheet, voit tarkastaa verkkosi liikennevirran ja tehdä vianmäärityksiä tehokkaammin.

Analysoi paketteja

Kun paketit on kaapattu, Wireshark järjestää ne yksityiskohtaiseen pakettiluetteloruutuun, jota on uskomattoman helppo lukea. Jos haluat käyttää yksittäistä pakettia koskevia tietoja, sinun tarvitsee vain etsiä se luettelosta ja napsauttaa. Voit myös laajentaa puuta edelleen nähdäksesi kunkin paketin sisältämän protokollan tiedot.

Saat kattavamman yleiskatsauksen näyttämällä jokaisen kaapatun paketin erillisessä ikkunassa. Näin:

youtube-videot katkaistiin ennen loppua

1. Valitse paketti luettelosta osoittimella ja napsauta hiiren kakkospainikkeella.
   
2. Avaa Näytä-välilehti yllä olevasta työkalupalkista.
   
3. Valitse avattavasta valikosta Näytä paketti uudessa ikkunassa.
   

Huomautus: Siepattujen pakettien vertailu on paljon helpompaa, jos tuot ne erillisiin ikkunoihin.

Kuten mainittiin, Wireshark käyttää värikoodausjärjestelmää tietojen visualisointiin. Jokainen paketti on merkitty eri värillä, joka edustaa erityyppistä liikennettä. Esimerkiksi TCP-liikenne on yleensä korostettu sinisellä, kun taas mustaa käytetään ilmaisemaan virheitä sisältävät paketit.

Tietenkään sinun ei tarvitse muistaa jokaisen värin merkitystä. Sen sijaan voit tarkistaa paikan päällä:

1. Napsauta hiiren kakkospainikkeella pakettia, jota haluat tarkastella.
   
2. Valitse Näytä-välilehti näytön yläreunan työkalupalkista.
   
3. Valitse pudotusvalikosta Värityssäännöt.
   

Näet vaihtoehdon muokata väritystä mielesi mukaan. Jos kuitenkin haluat muuttaa värityssääntöjä vain väliaikaisesti, toimi seuraavasti:

1. Napsauta hiiren kakkospainikkeella pakettia pakettiluetteloruudussa.
2. Valitse vaihtoehtoluettelosta Väritä suodattimella.
   
3. Valitse väri, jolla haluat merkitä sen.
   

Määrä

Pakettiluetteloruudussa näkyy kaapattujen databittien tarkka määrä. Koska paketit on järjestetty useisiin sarakkeisiin, se on melko helppo tulkita. Oletusluokat ovat:

• Nro (Numero): Kuten mainittiin, voit löytää kaapattujen pakettien tarkan määrän tästä sarakkeesta. Numerot pysyvät samoina tietojen suodattamisen jälkeenkin.
• Aika: Kuten ehkä arvasit, paketin aikaleima näkyy tässä.
• Lähde: Näyttää, mistä paketti on peräisin.
• Kohde: Näyttää paikan, jossa pakettia säilytetään.
• Protokolla: Se näyttää protokollan nimen, tyypillisesti lyhenteenä.
• Pituus: Näyttää kaapatun paketin sisältämien tavujen määrän.
• Info: Sarake sisältää kaikki lisätiedot tietystä paketista.

Aika

Kun Wireshark analysoi verkkoliikennettä, jokainen siepattu paketti on aikaleimattu. Aikaleimat sisällytetään sitten pakettiluetteloruutuun ja ovat käytettävissä myöhempää tarkastelua varten.

Wireshark ei luo aikaleimoja itse. Sen sijaan analysaattorityökalu hakee ne Npcap-kirjastosta. Aikaleiman lähde on kuitenkin itse asiassa ydin. Tästä syystä aikaleiman tarkkuus voi vaihdella tiedostoittain.

Voit valita muodon, jossa aikaleimat näytetään pakettiluettelossa. Lisäksi voit määrittää halutun tarkkuuden tai näytettävien desimaalien lukumäärän. Oletustarkkuusasetuksen lisäksi siellä on myös:

• Sekuntia
• sekunnin kymmenesosat
• Sekunnin sadasosat
• Millisekuntia
• Mikrosekuntia
• nanosekuntia

Lähde

Kuten nimestä voi päätellä, paketin lähde on alkuperäpaikka. Jos haluat hankkia Wireshark-arkiston lähdekoodin, voit ladata sen Git-asiakasohjelman avulla. Menetelmä edellyttää kuitenkin, että sinulla on GitLab-tili. On mahdollista tehdä se ilmankin, mutta on parempi rekisteröityä varmuuden vuoksi.

Kun olet rekisteröinyt tilin, toimi seuraavasti:

1. Varmista, että Git toimii tällä komennolla: |_+_|
   
2. Tarkista, että sähköpostiosoitteesi ja käyttäjänimesi on määritetty.
3. Tee seuraavaksi klooni Workshark-lähteestä. Käytä |_+_| SSH-osoite kopion tekemiseen.
4. Jos sinulla ei ole GitLab-tiliä, kokeile HTTPS-URL-osoitetta: |_+_|
   

Kaikki lähteet kopioidaan myöhemmin laitteellesi. Muista, että kloonaus saattaa kestää hetken, varsinkin jos verkkoyhteys on hidas.

Kohde

Jos haluat tietää tietyn paketin määränpään IP-osoitteen, voit paikantaa sen näyttösuodattimen avulla. Näin:

1. Kirjoita |_+_| Wireshark-suodatinlaatikkoon. Napsauta sitten Enter.
   
2. Pakettiluetteloruutu konfiguroidaan uudelleen vain näyttämään paketin kohde. Löydä sinua kiinnostava IP-osoite selaamalla luetteloa.
   
3. Kun olet valmis, valitse työkalupalkista Tyhjennä määrittääksesi pakettiluetteloruudun uudelleen.

pöytäkirja

Protokolla on ohje, joka määrittää tiedonsiirron eri laitteiden välillä, jotka on kytketty samaan verkkoon. Jokainen Wireshark-paketti sisältää protokollan, ja voit tuoda sen esiin näyttösuodattimen avulla. Näin:

1. Napsauta Wireshark-ikkunan yläreunassa Suodatin-valintaikkunaa.
2. Anna sen protokollan nimi, jota haluat tutkia. Tyypillisesti protokollien otsikot kirjoitetaan pienillä kirjaimilla.
3. Ota näyttösuodatin käyttöön napsauttamalla Enter tai Käytä.

Pituus

Wireshark-paketin pituus määräytyy kyseiseen verkkokatkelmaan tallennettujen tavujen lukumäärän mukaan. Tämä numero vastaa yleensä Wireshark-ikkunan alareunassa lueteltujen raakadatatavujen määrää.

Jos haluat tarkastella pituuksien jakautumista, avaa Pakettien pituudet -ikkuna. Kaikki tiedot on jaettu seuraaviin sarakkeisiin:

• Pakettien pituudet
• Kreivi
• Keskiverto
• Min Val / Max Val
• Rate
• Prosenttia
• Pursketaajuus
• Purskeen aloitus

Tiedot

Jos tietyssä siepatussa paketissa on poikkeavuuksia tai vastaavia kohteita, Wireshark huomaa sen. Tiedot näkyvät sitten pakettiluetteloruudussa lisätutkimuksia varten. Näin saat selkeän kuvan epätyypillisestä verkkokäyttäytymisestä, mikä johtaa nopeampiin reaktioihin.

Muita usein kysyttyjä kysymyksiä

Kuinka voin suodattaa pakettidataa?

Suodatus on tehokas ominaisuus, jonka avulla voit tarkastella tietyn tietosekvenssin erityispiirteitä. Wireshark-suodattimia on kahdenlaisia: sieppaus ja näyttö. Sieppaussuodattimet ovat olemassa rajoittamaan pakettien sieppausta vastaamaan tiettyjä vaatimuksia. Toisin sanoen voit selata erityyppistä liikennettä käyttämällä sieppaussuodatinta. Kuten nimestä voi päätellä, näyttösuodattimien avulla voit hioa tiettyä paketin elementtiä paketin pituudesta protokollaan.

Suodattimen käyttäminen on melko yksinkertainen prosessi. Voit kirjoittaa suodattimen otsikon Wireshark-ikkunan yläosassa olevaan valintaikkunaan. Lisäksi ohjelmisto yleensä täydentää suodattimen nimen automaattisesti.

Vaihtoehtoisesti, jos haluat käydä läpi Wireshark-oletussuodattimet, toimi seuraavasti:

1. Avaa Analysoi-välilehti Wireshark-ikkunan yläreunassa olevasta työkalupalkista.

kuinka estää erimielisyydet matkapuhelimessa

2. Valitse avattavasta luettelosta Näyttösuodatin.

3. Selaa luetteloa ja napsauta sitä, jota haluat hakea.

Lopuksi tässä on joitain yleisiä Wireshark-suodattimia, joista voi olla hyötyä:

• Jos haluat tarkastella vain lähteen ja kohteen IP-osoitetta, käytä: |_+_|

• Jos haluat tarkastella vain SMTP-liikennettä, kirjoita: |_+_|

• Jos haluat kaapata kaiken aliverkon liikenteen, käytä: |_+_|

• Voit kaapata kaiken paitsi ARP- ja DNS-liikenteen käyttämällä: |_+_|

Kuinka kaapaan pakettidatan Wiresharkissa?

Kun olet ladannut Wiresharkin laitteellesi, voit alkaa valvoa verkkoyhteyttäsi. Jos haluat kaapata datapaketteja kattavaa analyysiä varten, sinun on tehtävä seuraavat:

1. Käynnistä Wireshark. Näet luettelon käytettävissä olevista verkoista, joten napsauta sitä, jota haluat tarkastella. Voit myös käyttää sieppaussuodatinta, jos haluat määrittää liikenteen tyypin.

2. Jos haluat tarkastella useita verkkoja, käytä vaihto + vasen painike -säädintä.

3. Napsauta seuraavaksi äärivasemmalla olevaa haineväkuvaketta yllä olevassa työkalupalkissa.

4. Voit myös aloittaa kaappauksen napsauttamalla Capture-välilehteä ja valitsemalla avattavasta luettelosta Aloita.

5. Toinen tapa tehdä se on käyttää Control – E -näppäintä.

Kun ohjelmisto nappaa tiedot, näet sen näkyvän pakettiluetteloruudussa reaaliajassa.

Shark Byte

Vaikka Wireshark on erittäin edistynyt verkkoanalysaattori, se on yllättävän helppo tulkita. Pakettiluetteloruutu on erittäin kattava ja hyvin järjestetty. Kaikki tiedot on jaettu seitsemään eri väriin ja merkitty selkeillä värikoodeilla.

Lisäksi avoimen lähdekoodin ohjelmistossa on joukko helposti sovellettavia suodattimia, jotka helpottavat valvontaa. Ottamalla talteenottosuodattimen käyttöön voit määrittää, millaista liikennettä haluat Wiresharkin analysoivan. Ja kun tiedot on napattu, voit käyttää useita näyttösuodattimia tietyissä hauissa. Kaiken kaikkiaan se on erittäin tehokas mekanismi, jota ei ole liian vaikea hallita.

Käytätkö Wiresharkia verkkoanalyysiin? Mitä mieltä olet suodatustoiminnosta? Kerro meille alla olevissa kommenteissa, jos ohitimme hyödyllisen pakettianalyysiominaisuuden.