Hoe Wireshark te gebruiken: een complete zelfstudie

Inhoudsopgave:

Hoe Wireshark te gebruiken: een complete zelfstudie
Hoe Wireshark te gebruiken: een complete zelfstudie
Anonim

Wat te weten

  • Wireshark is een open-source applicatie die gegevens vastlegt en weergeeft die heen en weer reizen op een netwerk.
  • Omdat het de inhoud van elk pakket kan analyseren en lezen, wordt het gebruikt om netwerkproblemen op te lossen en software te testen.

Instructies in dit artikel zijn van toepassing op Wireshark 3.0.3 voor Windows en Mac.

Bottom Line

Oorspronkelijk bekend als Ethereal, geeft Wireshark gegevens weer van honderden verschillende protocollen op alle belangrijke netwerktypen. Datapakketten kunnen in re altime worden bekeken of offline worden geanalyseerd. Wireshark ondersteunt tientallen capture/trace-bestandsindelingen, waaronder CAP en ERF. Geïntegreerde decoderingstools geven de gecodeerde pakketten weer voor verschillende veelgebruikte protocollen, waaronder WEP en WPA/WPA2.

Wireshark downloaden en installeren

Wireshark kan gratis worden gedownload van de Wireshark Foundation-website voor zowel macOS als Windows. U ziet de nieuwste stabiele release en de huidige ontwikkelingsrelease. Tenzij u een gevorderde gebruiker bent, downloadt u de stabiele versie.

Image
Image

Kies tijdens het installatieproces van Windows om WinPcap of Npcap te installeren als daarom wordt gevraagd, aangezien deze bibliotheken bevatten die nodig zijn voor het live vastleggen van gegevens.

Image
Image

U moet als beheerder op het apparaat zijn aangemeld om Wireshark te gebruiken. Zoek in Windows 10 naar Wireshark en selecteer Als administrator uitvoeren Klik in macOS met de rechtermuisknop op het app-pictogram en selecteer Get InfoGeef in de Sharing & Permissions instellingen de beheerder Read & Write privileges.

Image
Image

De applicatie is ook beschikbaar voor Linux en andere UNIX-achtige platforms, waaronder Red Hat, Solaris en FreeBSD. De binaire bestanden die nodig zijn voor deze besturingssystemen vindt u onderaan de Wireshark-downloadpagina onder de sectie Third-Party Packages. Je kunt ook de broncode van Wireshark downloaden van deze pagina.

Hoe datapakketten vast te leggen met Wireshark

Wanneer u Wireshark start, wordt in een welkomstscherm de beschikbare netwerkverbindingen op uw huidige apparaat weergegeven. Rechts van elk wordt een lijngrafiek in ECG-stijl weergegeven die live verkeer op dat netwerk weergeeft.

Om te beginnen met het vastleggen van pakketten met Wireshark:

  1. Selecteer een of meer netwerken, ga naar de menubalk en selecteer vervolgens Capture.

    Om meerdere netwerken te selecteren, houdt u de Shift-toets ingedrukt terwijl u uw keuze maakt.

    Image
    Image

  2. In het Wireshark Capture Interfaces venster, selecteer Start.

    Er zijn andere manieren om het vastleggen van pakketten te starten. Selecteer de shark fin aan de linkerkant van de Wireshark-werkbalk, druk op Ctrl+E of dubbelklik op het netwerk.

    Image
    Image

  3. Selecteer File > Save As of kies een Export optie om de opname op te nemen.

    Image
    Image

  4. Om het vastleggen te stoppen, drukt u op Ctrl+E. Of ga naar de Wireshark-werkbalk en selecteer de rode Stop-knop naast de haaienvin.

    Image
    Image

Pakketinhoud bekijken en analyseren

De interface voor vastgelegde gegevens bevat drie hoofdsecties:

  • Het deelvenster met de pakketlijst (het bovenste gedeelte)
  • Het deelvenster met pakketdetails (het middelste gedeelte)
  • Het deelvenster met pakketbytes (het onderste gedeelte)
Image
Image

Pakketlijst

Het deelvenster met de pakketlijst, dat zich bovenaan het venster bevindt, toont alle pakketten die in het actieve opnamebestand zijn gevonden. Aan elk pakket is zijn eigen rij en bijbehorend nummer toegewezen, samen met elk van deze gegevenspunten:

  • No: Dit veld geeft aan welke pakketten deel uitmaken van hetzelfde gesprek. Het blijft leeg totdat u een pakket selecteert.
  • Time: Het tijdstempel van wanneer het pakket werd vastgelegd, wordt in deze kolom weergegeven. De standaardnotatie is het aantal seconden of gedeeltelijke seconden sinds dit specifieke opnamebestand voor het eerst is gemaakt.
  • Bron: Deze kolom bevat het adres (IP of ander) waar het pakket vandaan kwam.
  • Bestemming: Deze kolom bevat het adres waarnaar het pakket wordt verzonden.
  • Protocol: De protocolnaam van het pakket, zoals TCP, vindt u in deze kolom.
  • Length: De pakketlengte, in bytes, wordt in deze kolom weergegeven.
  • Info: Aanvullende details over het pakket worden hier gepresenteerd. De inhoud van deze kolom kan sterk variëren, afhankelijk van de pakketinhoud.

Als u de tijdnotatie wilt wijzigen in iets nuttigers (zoals de werkelijke tijd van de dag), selecteert u View > Time Display Format.

Image
Image

Wanneer een pakket is geselecteerd in het bovenste deelvenster, ziet u mogelijk een of meer symbolen verschijnen in de Nee. kolom. Open of gesloten haakjes en een rechte horizontale lijn geven aan of een pakket of een groep pakketten deel uitmaakt van hetzelfde heen en weer gesprek op het netwerk. Een onderbroken horizontale lijn geeft aan dat een pakket geen deel uitmaakt van het gesprek.

Image
Image

Pakketdetails

Het detailvenster, in het midden, presenteert de protocollen en protocolvelden van het geselecteerde pakket in een opvouwbaar formaat. Naast het uitbreiden van elke selectie, kunt u individuele Wireshark-filters toepassen op basis van specifieke details en gegevensstromen volgen op basis van het protocoltype door met de rechtermuisknop op het gewenste item te klikken.

Image
Image

Pakketbytes

Onderaan bevindt zich het deelvenster met pakketbytes, dat de onbewerkte gegevens van het geselecteerde pakket in een hexadecimale weergave weergeeft. Deze hex-dump bevat 16 hexadecimale bytes en 16 ASCII-bytes naast de data-offset.

Als u een specifiek deel van deze gegevens selecteert, wordt automatisch de bijbehorende sectie in het deelvenster met pakketdetails gemarkeerd en vice versa. Alle bytes die niet kunnen worden afgedrukt, worden weergegeven met een punt.

Image
Image

Om deze gegevens in bitformaat weer te geven in plaats van hexadecimaal, klikt u met de rechtermuisknop ergens in het deelvenster en selecteert u as bits.

Image
Image

Wireshark-filters gebruiken

Capture-filters instrueren Wireshark om alleen pakketten op te nemen die aan gespecificeerde criteria voldoen. Filters kunnen ook worden toegepast op een opnamebestand dat zo is gemaakt dat alleen bepaalde pakketten worden weergegeven. Deze worden weergavefilters genoemd.

Wireshark biedt standaard een groot aantal vooraf gedefinieerde filters. Om een van deze bestaande filters te gebruiken, typt u de naam in het Pas een weergavefilter toe invoerveld onder de Wireshark-werkbalk of in het Voer een opnamefilter inveld in het midden van het welkomstscherm.

Als u bijvoorbeeld TCP-pakketten wilt weergeven, typt u tcp. De functie voor automatisch aanvullen van Wireshark toont voorgestelde namen terwijl u begint te typen, zodat u gemakkelijker de juiste naam kunt vinden voor het filter dat u zoekt.

Image
Image

Een andere manier om een filter te kiezen is door de bookmark aan de linkerkant van het invoerveld te selecteren. Kies Beheer filteruitdrukkingen of Beheer weergavefilters om filters toe te voegen, te verwijderen of te bewerken.

Image
Image

Je hebt ook toegang tot eerder gebruikte filters door de pijl-omlaag aan de rechterkant van het invoerveld te selecteren om een vervolgkeuzelijst met geschiedenis weer te geven.

Image
Image

Capture-filters worden toegepast zodra u begint met het opnemen van netwerkverkeer. Om een weergavefilter toe te passen, selecteert u de rechterpijl aan de rechterkant van het invoerveld.

Wireshark-kleurregels

Hoewel Wireshark's opname- en weergavefilters beperken welke pakketten worden opgenomen of weergegeven op het scherm, gaat de kleurfunctie ervan nog een stap verder: het kan onderscheid maken tussen verschillende pakkettypes op basis van hun individuele tint. Dit lokaliseert snel bepaalde pakketten binnen een opgeslagen set op basis van hun rijkleur in het pakketlijstpaneel.

Image
Image

Wireshark wordt geleverd met ongeveer 20 standaard kleurregels, elk kan worden bewerkt, uitgeschakeld of verwijderd. Selecteer View > Coloring Rules voor een overzicht van wat elke kleur betekent. U kunt ook uw eigen op kleuren gebaseerde filters toevoegen.

Image
Image

Select View > Pakketlijst inkleuren om pakketkleuring in en uit te schakelen.

Statistieken in Wireshark

Andere nuttige statistieken zijn beschikbaar via het Statistics drop-down menu. Deze omvatten informatie over de grootte en timing van het opnamebestand, samen met tientallen grafieken en diagrammen, variërend in onderwerp van uitsplitsingen van pakketgesprekken tot laaddistributie van

Image
Image

Weergavefilters kunnen worden toegepast op veel van deze statistieken via hun interfaces, en de resultaten kunnen worden geëxporteerd naar algemene bestandsindelingen, waaronder CSV, XML en TXT.

Wireshark geavanceerde functies

Wireshark ondersteunt ook geavanceerde functies, waaronder de mogelijkheid om protocoldissectoren te schrijven in de Lua-programmeertaal.

Aanbevolen:

Krijg Twitter-volgers: een zelfstudie

Krijg Twitter-volgers: een zelfstudie

Dit zijn de twee belangrijkste manieren om Twitter-volgers te krijgen: volg andere mensen en schrijf regelmatig interessante tweets

Maak een boxplot: Excel-zelfstudie

Maak een boxplot: Excel-zelfstudie

Boxplots zijn handig voor het weergeven van gegevensdistributie, maar Microsoft Excel heeft geen maker van boxplots. Leer echter hoe u een boxplot maakt en u heeft nooit meer een sjabloon nodig

Een virtuele machine maken: Windows 7-zelfstudie

Een virtuele machine maken: Windows 7-zelfstudie

Een virtuele Windows-machine is een virtuele installatie van het besturingssysteem die ideaal kan zijn voor het testen en oplossen van problemen met een verscheidenheid aan software en applicaties. Zo maakt u een Windows 7 vm

Een zwart-witfoto maken met kleureffect - GIMP-zelfstudie

Een zwart-witfoto maken met kleureffect - GIMP-zelfstudie

Je kunt op veel manieren een zwart-witfoto maken met een vleugje kleur. Hier is een niet-destructieve methode met behulp van de gratis foto-editor GIMP

IPad-zelfstudie: instellen zonder een computer te gebruiken

IPad-zelfstudie: instellen zonder een computer te gebruiken

Wilt u uw nieuwe iPad instellen zonder dat u verbinding hoeft te maken met een computer? Hier is het overzicht over hoe je het moet doen