Wireshark คืออะไร
ลิงค์ด่วน
- Wireshark คืออะไร
- การติดตั้ง Wireshark
- ของ windows
- Mac
- ลินุกซ์
- ส่วนต่อประสาน
- ตัวเลือกการจับภาพ
- จับภาพการจราจร
- กำลังอ่านข้อมูล
- กรองแพ็คเก็ต
- การกรองระหว่างการดักจับ
- กรองผลลัพธ์
- ติดตาม Packet Streams
- การปิดความคิด
Wireshark เป็นเครื่องมือวิเคราะห์เครือข่ายที่มีประสิทธิภาพที่ช่วยให้คุณสามารถตรวจสอบและจับภาพการรับส่งข้อมูลเครือข่าย มันจับปริมาณข้อมูลที่ระดับแพ็คเก็ตซึ่งหมายความว่าคุณสามารถดูข้อมูลแต่ละบิตที่ผ่านรอบเครือข่ายของคุณสิ่งที่มีอยู่และที่ที่มันกำลังไป
เครื่องมือนี้ช่วยให้คุณเห็นภาพและเข้าใจการไหลของการรับส่งข้อมูลภายในเครือข่าย ด้วยการดูว่ามีการส่งข้อมูลใดคุณสามารถเข้าใจถึงปัญหาด้านความปลอดภัยที่คุณอาจเผชิญรวมถึงทราฟฟิกที่ไม่พึงประสงค์เช่นมัลแวร์โปรแกรมที่ใช้แบนด์วิดท์และแม้แต่แขกที่ไม่ต้องการบน WiFi
Wireshark เป็นเครื่องมือสำคัญเนื่องจากช่วยให้คุณเห็นได้อย่างชัดเจนว่าข้อมูลที่ออกจากเครือข่ายของคุณได้รับการส่งไปยังอินเทอร์เน็ตที่ดีขึ้นได้อย่างไร ตัวอย่างเช่นคุณสามารถดูและอ่านคำขอ HTTP ช่วยให้คุณเห็นว่าข้อมูลใดที่ถูกส่งออกมาโดยไม่ได้เข้ารหัส นั่นอาจเป็นเรื่องใหญ่โดยเฉพาะถ้าข้อมูลนั้นเป็นรหัสผ่านธนาคาร
การติดตั้ง Wireshark
Wireshark เป็นโอเพ่นซอร์สและข้ามแพลตฟอร์ม มันมีให้บริการฟรีและสำหรับระบบปฏิบัติการทุกระบบ การควบคุมภายในโปรแกรมเหมือนกันทุกแพลตฟอร์มดังนั้นไม่จำเป็นต้องกังวล ภาพนั้นมาจาก Linux แต่ทุกอย่างที่คุณเห็นจะทำงานบน Windows และ Mac ด้วย
ของ windows
ไปที่หน้าดาวน์โหลด Wireshark และดาวน์โหลดรุ่นล่าสุดสำหรับ Windows เวอร์ชั่นของคุณ เรียกใช้. exe ที่ได้ ตัวติดตั้งนั้นค่อนข้างมาตรฐาน คุณสามารถคลิกผ่านส่วนใหญ่แล้วใช้ค่าเริ่มต้น
มีสิ่งหนึ่งที่คุณต้องการระวังคือ หน้าจอจะปรากฏขึ้นถามคุณว่าคุณต้องการติดตั้ง WinPcap หรือไม่ WinPcap เป็นยูทิลิตี้เพิ่มเติมสำหรับ Wireshark บน Windows ที่ช่วยให้สามารถดักจับทราฟฟิกทั้งหมดบนเครือข่ายไม่ใช่แค่ปริมาณข้อมูลของคอมพิวเตอร์ ทำเครื่องหมายที่ช่องเพื่อติดตั้ง WinPcap มันจะถามคุณเกี่ยวกับเวอร์ชัน USB ไม่จำเป็น แต่คุณก็สามารถใส่ได้เช่นกัน
หลังจากนั้นการติดตั้งจะเสร็จสมบูรณ์ การติดตั้งใหม่จะเริ่มต้นขึ้นสำหรับ WinPcap ค่าเริ่มต้นก็เป็นที่ยอมรับเช่นกัน
Mac
ไปที่หน้าดาวน์โหลด Wireshark และหยิบไฟล์. dmg ล่าสุด เมื่อดาวน์โหลดเสร็จสิ้นให้ดับเบิลคลิกที่ไฟล์เพื่อเปิด ลากแอปพลิเคชันที่เปิดอยู่ในโฟลเดอร์ / Applications ของคุณเพื่อติดตั้ง Wireshark
ลินุกซ์
ลีนุกซ์ส่วนใหญ่มี Wireshark ที่มีอยู่ในที่เก็บของพวกเขา ติดตั้งกับผู้จัดการแพ็คเกจของคุณ
$ sudo apt ติดตั้ง wireshark-gtk
คุณจะได้รับแจ้งว่าคุณต้องการให้ผู้ใช้ทั่วไปสามารถจับแพ็คเก็ตหรือไม่ขึ้นอยู่กับการกระจายของคุณ คุณควรพูดว่า“ ใช่” หลังจากติดตั้งแพคเกจเพิ่มผู้ใช้ของคุณในกลุ่ม Wireshark ออกจากระบบและกลับเข้าสู่ระบบเมื่อคุณทำเสร็จแล้ว
$ sudo gpasswd -a ผู้ใช้ wireshark
ส่วนต่อประสาน
เมื่อคุณเปิด Wireshark เป็นครั้งแรกคุณจะเห็นหน้าจอคล้ายกับด้านบน แถบเครื่องมือมีปุ่มอยู่สองสามปุ่มด้านบนและมันอาจดูล้นหลาม แต่มันง่ายกว่าที่คุณคิด
อินเตอร์เฟสการจับภาพเริ่มต้นนั้นค่อนข้างอึดอัด คุณสามารถเปลี่ยนเค้าโครงเพื่อให้สะดวกยิ่งขึ้นคลิกที่ "แก้ไข" ค้นหาเมนู "การตั้งค่า" และด้านล่างแล้วเปิด ใต้ค่ากำหนดคุณจะเห็นแท็บ“ เลย์เอาต์” ทางด้านซ้าย เลือกมัน คุณจะเห็นไอคอนหลายไอคอนแสดงตัวเลือกเค้าโครงที่แตกต่างกัน เลือกหนึ่งที่ดูดีที่สุดสำหรับคุณ ตัวเลือกแรกที่มีเค้าโครงซ้อนกันมักจะทำงานได้ดี
ไม่ต้องกังวลเกี่ยวกับแถบเครื่องมือมากเกินไป ไอคอนห้าไอคอนแรกนั้นสำคัญที่สุด ตามลำดับพวกเขาให้คุณเลือกอินเทอร์เฟซเพื่อดักจับเปลี่ยนการตั้งค่าการจับภาพเริ่มการดักจับหยุดการจับภาพและเริ่มใหม่ ไอคอนเหล่านี้ค่อนข้างใช้งานง่าย
ตัวเลือกการจับภาพ
ก่อนที่คุณจะเริ่มจับภาพทราฟฟิกคุณควรสำรวจตัวเลือกการจับภาพเพื่อดูว่า Wireshark ทำอะไรได้บ้าง คลิกที่ไอคอนตัวเลือกการจับภาพ ควรมีลักษณะเหมือนเกียร์
สิ่งแรกที่คุณจะเห็นที่ด้านบนของหน้าต่างคือตารางที่แสดงรายการอินเทอร์เฟซเครือข่ายทั้งหมดของคุณ ทำเครื่องหมายที่ช่องถัดจากอินเทอร์เฟซที่คุณต้องการดักจับ ในกรณีส่วนใหญ่อินเทอร์เฟซที่คุณต้องการคืออินเทอร์เฟซที่คุณใช้เพื่อเชื่อมต่อกับเครือข่าย มันจะเป็นสิ่งที่สอดคล้องกับพอร์ต Ethernet หรืออุปกรณ์ WiFi ของคุณ
ด้านล่างนั้นคุณจะเห็นช่องทำเครื่องหมายสองสามกล่อง หนึ่งจะถามว่าคุณต้องการใช้โหมดสำส่อน โหมดที่หลากหลายคือสิ่งที่ช่วยให้คุณเห็นการแลกเปลี่ยนระหว่างอุปกรณ์ทั้งหมดในเครือข่ายไม่ใช่แค่คอมพิวเตอร์ของคุณเอง โอกาสที่คุณต้องการเปิดใช้งานสิ่งนี้ ระวังตัว ด้วย การใช้โหมดที่หลากหลายในเครือข่ายที่คุณไม่ได้เป็นเจ้าของหรือได้รับอนุญาตให้ทดสอบนั้น ผิดกฎหมาย
ส่วนถัดไปด้านล่างครอบคลุมไฟล์จับภาพ Wireshark ช่วยให้คุณสามารถบันทึกข้อมูลที่คุณจับได้ ฟิลด์แรกที่มีให้คุณระบุปลายทางเดียวสำหรับการจับภาพของคุณ ด้านล่างคุณสามารถทำเครื่องหมายในช่องเพื่อเปิดใช้งาน Wireshark เพื่อแยกบันทึกการจับภาพ บันทึกอาจมีขนาดใหญ่มากโดยเฉพาะในเครือข่ายที่ใหญ่กว่า คุณสมบัตินี้ช่วยให้คุณสามารถแยกข้อมูลการจับภาพของคุณโดยอัตโนมัติตามเวลาหรือขนาดไฟล์ ไม่ว่าจะด้วยวิธีใดมันเป็นคุณสมบัติที่สะดวกสบายเมื่อคุณต้องเผชิญกับการสแกนในระยะยาวหรือเครือข่ายที่วุ่นวาย
ด้านล่างคุณสามารถควบคุมระยะเวลาการจับภาพของคุณได้ อีกครั้งการถ่ายอาจมีขนาดใหญ่เพื่อให้คุณสามารถกำหนดขนาดสูงสุด นอกจากนี้คุณยังสามารถหมดเวลาใช้งานซึ่งเป็นสิ่งที่ดีเพราะช่วยให้คุณสามารถจับภาพของกรอบเวลาที่เฉพาะเจาะจงบนเครือข่ายของคุณ
จับภาพการจราจร
เมื่อคุณมีการตั้งค่าตามลำดับคุณสามารถเริ่มจับภาพการจราจรบนเครือข่ายของคุณ หากคุณไม่เคยทำสิ่งนี้มาก่อนจงเตรียมพร้อมที่จะประหลาดใจ มีทราฟฟิกมากกว่าที่คุณรู้รอบ ๆ เครือข่ายของคุณ ในการเริ่มต้นการจับภาพให้คลิกที่ปุ่ม "เริ่ม" ที่ด้านล่างของหน้าต่างการตั้งค่าหรือไอคอนหูฉลาม ทั้งสองวิธีใช้งานได้
เมื่อคุณเริ่มบันทึกจำนวนการรับส่งข้อมูลที่คุณเห็นจะขึ้นอยู่กับอุปกรณ์ที่อยู่ในเครือข่ายของคุณ ในขณะที่คนส่วนใหญ่ไม่สามารถติดตามปริมาณการรับส่งข้อมูลที่พวกเขาเห็นได้ แต่เป็นไปได้ทั้งหมดที่คุณไม่เห็นอะไรเลย หากเป็นกรณีนี้ให้เปิดเว็บเบราว์เซอร์แล้วเริ่มนำทางไปรอบ ๆ การจับภาพของคุณจะเริ่มเติมอย่างรวดเร็ว
หลังจากที่การจับภาพของคุณทำงานนานเท่าที่คุณต้องการทดสอบให้คลิกที่ปุ่มหยุดในแถบเครื่องมือ สิ่งที่คุณควรมีลักษณะคล้ายภาพด้านบน
กำลังอ่านข้อมูล
คลิกที่หนึ่งในแพ็คเก็ตที่คุณจับ ลองค้นหาคำขอ HTTP พวกเขามักจะอ่านง่ายขึ้น เมื่อคุณเลือกแพ็คเก็ตอีกสองส่วนของหน้าจอจะเติมข้อมูลเกี่ยวกับส่วนที่คุณเลือก
ส่วนที่คุณต้องให้ความสนใจเพื่อให้มีแท็บที่ยุบได้ซ้อนกัน แท็บเหล่านั้นเป็นไปตามรุ่น OSI และเรียงลำดับจากระดับต่ำสุดไปสูงสุดสูงสุดพร้อมข้อมูลระดับต่ำสุดที่ด้านบน ซึ่งหมายความว่าข้อมูลที่เกี่ยวข้องกับคุณมากที่สุดน่าจะอยู่ในแท็บด้านล่าง
แต่ละแท็บมีข้อมูลต่าง ๆ เกี่ยวกับแพ็คเก็ต ในแพ็กเก็ต HTTP คุณจะเห็นข้อมูลเกี่ยวกับคำขอ HTTP รวมถึงการตอบสนองส่วนหัวและอาจเป็น HTML บางส่วน แพ็กเก็ตประเภทอื่นอาจมีข้อมูลเกี่ยวกับพอร์ตที่ใช้งานอยู่การเข้ารหัสที่ใช้โพรโทคอลและที่อยู่ MAC
กรองแพ็คเก็ต
อาจเป็นเรื่องยากที่จะขุดผ่านข้อมูลการบันทึกจำนวนมากเพื่อค้นหาสิ่งที่คุณต้องการ มันไม่มีประสิทธิภาพและเสียเวลามาก Wireshark มีฟังก์ชันการกรองที่ช่วยให้คุณเรียงลำดับแพ็คเก็ตได้อย่างรวดเร็วเพื่อค้นหาสิ่งที่เกี่ยวข้องในเวลาที่กำหนด
มีวิธีการพื้นฐานเล็กน้อยที่ Wireshark ช่วยให้คุณสามารถกรองผลลัพธ์ได้ อย่างแรกคือมันมีฟิลเตอร์ในตัวมากมาย เมื่อคุณเริ่มพิมพ์ในหนึ่งในฟิลด์ตัวกรอง Wireshark จะแสดงเป็นคำแนะนำสำหรับการเติมข้อความอัตโนมัติ หากสิ่งเหล่านี้คือสิ่งที่คุณกำลังมองหาดีมาก! การกรองจะง่ายมาก
Wireshark ยังใช้สิ่งที่เรียกว่าตัวดำเนินการบูลีน ตัวดำเนินการบูลีนถูกใช้เพื่อประเมินว่าคำสั่งนั้นเป็นจริงหรือไม่ ตัวอย่างเช่นเมื่อคุณต้องการให้ตรงตามเงื่อนไขสองข้อคุณจะต้องใช้ตัวดำเนินการ“ และ” ระหว่างกันเพราะเงื่อนไข 1 และ เงื่อนไข 2 ทั้งคู่ต้องเป็นจริง ตัวดำเนินการ“ หรือ” จะคล้ายกันเพียงแค่ต้องการเงื่อนไขใด ๆ ของคุณเป็นจริง คุณอาจเดาได้ว่าตัวดำเนินการ“ ไม่” ค้นหาเมื่อไม่มีเงื่อนไข
นอกจากตัวดำเนินการบูลีน Wireshark ยังสนับสนุนตัวดำเนินการเปรียบเทียบ ตามชื่อที่แนะนำผู้ประกอบการเปรียบเทียบจะเปรียบเทียบเงื่อนไขตั้งแต่สองเงื่อนไขขึ้นไป พวกเขาประเมินความเท่าเทียมกันของเงื่อนไขที่มากกว่าน้อยกว่าหรือเท่ากับ
การกรองระหว่างการดักจับ
การกรองผลลัพธ์ระหว่างการจับภาพนั้นง่ายมาก เปิดแบ็คอัพตัวเลือกการจับภาพ มองหาปุ่ม“ ตัวเลือกการจับภาพ” ที่อยู่ตรงกลางหน้าต่าง ควรมีฟิลด์ข้อความขนาดใหญ่อยู่ถัดจากช่อง
คุณสามารถสร้างตัวกรองของคุณได้ตั้งแต่เริ่มต้นในเขตข้อมูลนั้นหรือคุณสามารถคลิกปุ่มและใช้ตัวกรองในตัวของ Wireshark ลองคลิกที่ปุ่ม หน้าต่างใหม่จะเปิดขึ้นพร้อมรายการตัวกรอง การคลิกที่ตัวกรองเหล่านั้นจะเติมฟิลด์ด้านล่าง ฟิลด์ด้านล่างเป็นตัวกรองจริงที่ใช้งานอยู่ คุณสามารถแก้ไขตัวกรองนั้นตามพื้นฐานของตัวกรองที่กำหนดเองเพิ่มเติมของคุณเอง เมื่อคุณพร้อมแล้วให้คลิก“ ตกลง” จากนั้นเรียกใช้การสแกนเหมือนปกติ แทนที่จะจับทุกอย่าง Wireshark จะจับเฉพาะแพ็กเก็ตที่รำลึกถึงเงื่อนไขของตัวกรองของคุณ ทำให้การเรียงลำดับและจัดประเภทข้อมูลแพ็คเก็ตของคุณง่ายขึ้นมาก คุณไม่จำเป็นต้องขุดข้อมูลเพิ่มเติมจำนวนมากเพื่อค้นหาสิ่งที่คุณต้องการ
กรองผลลัพธ์
หากคุณทำการจับภาพแบบเต็มหรือการจับภาพที่มีประสิทธิภาพมากขึ้น แต่คุณต้องการที่จะกรองมันหลังจากข้อเท็จจริงแล้วคุณสามารถทำได้เช่นกัน หลังจากที่คุณทำการจับคุณจะเห็นแถบเครื่องมือเพิ่มเติมด้านล่างไอคอนควบคุม แถบเครื่องมือนั้นมีฟิลด์“ ตัวกรอง” คุณสามารถพิมพ์นิพจน์ลงในไฟล์เพื่อกรองผลลัพธ์ที่ Wireshark แสดง
เช่นเดียวกับการกรองระหว่างการจับมีวิธีที่ง่าย คลิกที่ปุ่ม“ นิพจน์” เพื่อเปิดหน้าต่างที่ช่วยให้คุณรวบรวมนิพจน์ตัวกรองของคุณเข้าด้วยกัน คอลัมน์ด้านซ้ายมีรายการเขตข้อมูล ฟิลด์เหล่านั้นให้คุณเลือกข้อมูลที่คุณจะกำหนดเป้าหมาย คอลัมน์ถัดไปมีรายการความสัมพันธ์ที่เป็นไปได้ ส่วนใหญ่เป็นสัญลักษณ์สำหรับน้อยกว่ามากกว่าเท่ากับและการรวมกันของเหล่านั้น คอลัมน์สุดท้ายมีไว้สำหรับค่า นี่คือค่าที่คุณกำลังเปรียบเทียบ คุณสามารถเลือกหรือเขียนในค่าที่คุณต้องการเปรียบเทียบทั้งนี้ขึ้นอยู่กับฟิลด์ของคุณ
สิ่งเหล่านี้อาจซับซ้อนมากขึ้นและคุณสามารถเพิ่มนิพจน์ร่วมกันได้มากขึ้น ที่ตรงกับตัวดำเนินการบูลีน แม้ว่าบูลีนเหล่านี้จะแตกต่างกัน ฟิลด์นิพจน์นี้ใช้สัญลักษณ์สำหรับและหรือหรือและไม่ใช่แทนคำด้วยตนเอง || ย่อมาจาก“ หรือ.” && คือ“ และ.” ง่าย! ไม่ใช่."
ตัวอย่างเช่นหากคุณต้องการทุกอย่างยกเว้น UDP ให้ใช้! udp ถ้าคุณต้องการ HTTP หรือ TCP ลอง http || TCP คุณสามารถรวมเข้าด้วยกันเป็นนิพจน์ที่ซับซ้อนยิ่งขึ้น ยิ่งการแสดงออกของคุณซับซ้อนมากเท่าไหร่ตัวกรองของคุณก็จะละเอียดมากขึ้นเท่านั้น
ติดตาม Packet Streams
เมื่อคุณมีแพ็คเก็ตหรือแพ็คเก็ตที่คุณสนใจคุณสามารถใช้เครื่องมือที่ยอดเยี่ยมใน Wireshark เพื่อติดตาม "การสนทนา" ทั้งหมดระหว่างคอมพิวเตอร์สองเครื่องที่แลกเปลี่ยนแพ็คเก็ตเหล่านั้น กระแสข้อมูลแพ็คเก็ตต่อไปนี้ช่วยให้ Wirshark รวมเข้าด้วยกันและสร้างภาพที่มีขนาดใหญ่ขึ้น ในกรณีของแพ็กเก็ต HTTP นั้น Wireshark มีแนวโน้มที่จะรวบรวมแหล่งที่มา HTML ของหน้าเว็บไว้ด้วยกัน ด้วยโปรแกรม VOIP ที่ไม่ได้เข้ารหัสบาง Wireshark สามารถเรียกคืนการแลกเปลี่ยนเสียงได้ ใช่มันสามารถฟังการสนทนา VOIP ได้จริง
คลิกขวาที่แพ็คเก็ตที่คุณต้องการติดตาม เลือก“ ติดตาม…สตรีม” ด้วยจุดที่ถูกแทนที่ด้วยโปรโตคอลของแพ็คเก็ต Wireshark ใช้เวลาไม่กี่วินาทีในการต่อมันเข้าด้วยกัน หลังจากเสร็จสิ้น Wireshark จะนำเสนอคุณด้วยผลลัพธ์ที่สมบูรณ์ คุณสมบัตินี้ทำให้ง่ายขึ้นมากในการดูว่ามีการแลกเปลี่ยนอะไรกันบนเครือข่ายของคุณ นอกจากนี้ยังแสดงให้เห็นถึงความสำคัญของการเข้ารหัสเครือข่ายเนื่องจากคุณสมบัตินี้จะรวมเรื่องไร้สาระทั้งหมดเข้าด้วยกันเท่านั้น
การปิดความคิด
Wireshark เป็นเครื่องมือที่ยอดเยี่ยมในการวิเคราะห์เครือข่าย มันช่วยให้คุณเข้าถึงเพื่อดูทุกสิ่งที่เกิดขึ้นในเครือข่ายของคุณ ด้วย Wireshark คุณสามารถเข้าใจถึงปัญหาของเครือข่ายของคุณได้มากขึ้นทั้งในแง่ของความเร็วและความปลอดภัย อย่าลืมใช้ Wireshark ด้วยความระมัดระวังและเข้าใจว่ามันน่ารำคาญมาก อย่าสอดแนมผู้คนและอย่าลืมใช้ Wireshark ของคุณตามกฎหมาย
