Использование Wireshark для исследования сетей

Содержание

Wireshark: краткое руководство

Назначение, возможности и устройство Wireshark

Программа Wireshark предназначена для захвата, записи и анализа сетевого трафика, то есть является сниффером (sniffer) и анализатором. Wireshark позволяет:

  • захватывать сетевой трафик на машине и обмениваться захваченными пакетами;
  • просматривать содержимое пакетов в структурированном виде и «как есть»;
  • отбирать сетевые пакеты по гибким критериям;
  • анализировать отдельные пакеты, сеансы и статистику на множестве пакетов;
  • восстанавливать потоки данных, содержащиеся в наборах пакетов.

Ядром Wireshark служит библиотека или её версия для ОС Windows — . Эти библиотеки, Wireshark и сопутствующие программы разрабатываются в плотном взаимодействии. Все они бесплатны и кроссплатформенны, код открыт.

Wireshark перехватывает входящие пакеты, которые драйвер передает ОС, и исходящие пакеты, которые ОС передает драйверу. Следовательно, если сетевая карта преобразует или отбрасывает некоторые пакеты, это не отражается в Wireshark.

Добыча пакетов

Захват трафика (live capture)

Перед захватом трафика необходимо выбрать сетевые интерфейсы, пакеты с которых будут захвачены:

В дальнейшем можно выбрать другие интерфейсы, нажав кнопку List the available capture interfaces.

Захват начинается по нажатию кнопки Start и прекращается нажатием кнопки Stop.

Предупреждение. При большом количестве и скорости поступления пакетов Wireshark работает медленно. Нужно либо во время захвата свести к минимуму сетевую активность, кроме интересующей, либо выставить перед захватом фильтр захватываемых пакетов (см. ниже). Поэтому же не рекомендуется продолжать захват после того, как нужные пакеты получены, или просто долгое время.

Работа с записями трафика

По окончании захвата трафика пакеты можно сохранить в файл. Стандартным форматом является (packet capture); в профессиональном арго такие файлы называются «пикапами». Новый формат (next generation) сохраняет время точнее и предназначен для быстрых потоков данных.

Сохраненные файлы можно открыть в Wireshark и полноценно анализировать пакеты. На сайте Wireshark доступна коллекция образцов трафика.

Захват трафика без Wireshark

Не всегда можно запустить Wireshark на машине, где требуется захватить трафик. Программа позволяет сделать это из терминала, например, по SSH:

Ключ позволяет выбрать сетевой интерфейс, ключ  — файл, в который будет записан трафик для последующего анализа. Если не указывать , сведения о перехваченных пакетах будут печататься на экране. Захват трафика доступен только привилегированному пользователю.

Работа со списком пакетов

Навигация по списку

Перемещаться между пакетами удобнее всего с клавиатуры (см. меню Go).

Можно переходить к следующему (+) или к предыдущему (+) пакету в сеансе (conversation), что удобно, если перехвачено несколько одновременных сеансов TCP, и анализируется лишь один из них.

Управление столбцами и их содержимым

По умолчанию Wireshark разрешает числовые адреса в символьные имена. Например, вместо порта 80 отображается HTTP, вместо адресов — имена машин. Зачастую это неудобно и отключается флажками в подменю View > Name Resolution.

Диалог Column Preferences… в контекстном меню заголовка любого столбца позволяет настроить перечень отображаемых столбцов. Быстро скрывать столбцы можно из меню View > Displayed Columns.

Упорядочение пакетов

Список можно упорядочить по любому столбцу. По умолчанию пакеты располагаются в порядке захвата, то есть по времени (или как были записаны в файле). В некоторых случаях, в частности, при захвате с нескольких интерфейсов сразу или при сообщении программ на одной машине, порядок может быть наружен. Поэтому рекомендуется после захвата упорядочить пакеты по времени вручную.

Выгрузка данных

Помимо сохранения пакетов, Wireshark позволяет также экспортировать:

  • Сводку (содержимое списка) как текст: File > Export Specified Packets… Можно выгрузить не все пакеты, а только выделенный (selected), отмеченные (marked) или только отфильтрованные (т. е. видимые, displayed).

  • Результаты разбора пакета (область под списком) как текст: File > Export Packet Dissections… > As «Plain Text» file…

  • Данные, передаваемые по некоторым протоколам, например, файлы, загруженные по FTP или HTTP: File > Export Objects > [протокол].

Фильтрация пакетов

Wireshark позволяет отбирать интересующие пакеты по условиям — фильтрам.

Фильтры захвата (capture filters) отбирают пакеты, которые будут захвачены, а фильтры отображения (display filters) позволяют скрывать пакеты, не прошедшие фильтр. Здесь и далее обсуждаются фильтры отображения.

Использование Wireshark для исследования сетей

В строке состояния внизу окна показывается общее и отображаемое число пакетов.

Выражение-фильтр вводится на панели фильтрации. Оно похоже на условие в C-подобном языке, например:

  •  — пакеты с заданным адресом отправителя или получателя;
  •  — широковещательные кадры;
  •  — сегменты TCP на порт 80.

Условия могут группироваться скобками и объединяться логически:

  •  — дейтаграммы UDP от 10.0.0.1, порт отправителя — 1234;
  •  — пакеты от любого узла, кроме заданного.

Во время ввода работает автодополнение: если ввести , в выпадающем списке появится перечень свойств протокола IP, по которым можно отобрать пакеты. По нажатию на кнопку Expressions… открывается диалог, где компоненты фильтра можно выбрать из перечня с пояснениями. Если выражение корректно, оно подсвечивается зеленым, если некорректно — красным.

Фильтр применяется по нажатию или кнопки Apply.

Предупреждение. Есть ряд неочевидных особенностей фильтрации. Выражение означает «протокол TCP и порт отправителя или получателя равен 80», то есть эквивалентно . Выражение не означает «сегменты TCP через любые порты, кроме 80», а эквивалентен , то есть отбирает пакеты, у которых хотя бы один порт не 80. Правильным отрицанием исходного фильтра является .

Полное и подробное руководство по составлению фильтров с примерам и объяснениями доступно на сайте Wireshark.

Анализ пакетов

Результаты разбора (dissection) выбранного пакета отображаются под их списком и сгруппированы по протоколам разных уровней.

На каждом уровне отображаются поля заголовков PDU, а также дополнительная полезная информация. Например, для TCP отображается номер последовательности (поле sequence number) и длина данных в сегменте, которая не записана в заголовке, а вычисляется.

Примечание. Можно значительно ускорить работу Wireshark, отключив разбор и анализ протоколов, которые заведомо не интересуют, в диалоге Analyze > Enabled Protocols…

Ниже результатов разбора отображаются байты пакета в шестнадцатеричном и текстовом виде. При выборе поля пакета в результатах разбора соответствующие байты подсвечиваются, и наоборот, при выборе байта происходит переход к полю, которое он (частично) представляет.

Через контекстное меню выбранного поля или целого PDU (уровня) можно копировать соответствующую часть PDU как шестнадцатеричное представление байт (, Copy > Bytes > Hex Stream) или печатный текст, содержащийся в ней (Copy > Bytes > Printable Text Only).

Анализ сеансов и TCP

В контекстном меню пакета в их списке пункт Colorize Conversation позволяет подсветить сеанс, к которому относится пакет. Это работает не только для TCP, но и для IP и других протоколов, где сеанс можно выделить условно. Пункт Conversation Filter позволяет отфильтровать только пакеты данного сеанса.

Пункт Follow TCP Stream восстанавливает потоки, «диалог» участников сеанса TCP в виде текста.

Через диалог Statistics > Conversations можно быстро просмотреть список сеансов и перейти к любому из них.

При анализе TCP важны номера последовательности и подтверждения (sequence number и acknowledgement number), а также флаги (flags) сегмента. Поскольку разности между номерами важнее их абсолютных значений, Wireshark отображает относительные номера, то есть за вычетом начальных значений. В результате видно, как будто в каждом сеансе номера начинают расти с нуля, а не с произвольного значения. Можно отключить этот режим, сняв флажок Protocols > TCP > Relative sequence numbers в диалоге Edit > Preferences.

Дополнительно

Библиотека и 

Библиотеку (в ОС семейства *nix) или (в ОС Windows) можно использовать в своих программах, чтобы перехватывать пакеты без Wireshark или tcpdump. При этом доступна фильтрация захватываемых пакетов, запись и считывание файлов , но недоступен продвинутый анализ протоколов.

Инструменты на основе и их альтернативы

  • Упомянутая доступна в большинстве ОС семейства *nix. Возможности по обработке трафика в ней ограничены, её задача — захват пакетов.

  • Программа является текстовой версий Wireshark. Её использование подобно , но пакеты анализируются с использованием всех интеллектуальных алгоритмов, заложенных в Wireshark.

  • Утилита позволяет проигрывать файлы , то есть посылать в сеть содержащиеся в них пакеты.

  • Инструмент Microsoft Message Analyzer является аналогом Wireshark для ОС Windows, созданным относительно недавно.

    Его возможности по захвату и анализу сетевого трафика ограничены по сравнению с , однако есть возможность захватывать и анализировать сообщения, передаваемые по служебным каналам Windows.

Большой список инструментов имеется на сайте Wireshark.

Расширенные возможности Wireshark

За рамки дисциплины выходит ряд мощных возможностей Wireshark:

  • Создание модулей разбора (dissectors) для , которые могут обрабатывать PDU протоколов, не встроенных в библиотеку.
  • Написание сценариев обработки пакетов для Wireshark на языке Lua.
  • Восстановление и анализ при помощи Wireshark защищенных соединений SSL (преимущественно HTTPS) и аудиопотоков (преимущественно VoIP).
  • Подсчет Wireshark разнообразной статистики по захваченным пакетам.
  • Захват кадров IEEE 802.11 (Wi-Fi), которые не должны обрабатываться данной машиной (monitor mode).

Захват пакетов в Windows

Ядро Wireshark, библиотека , в ОС Windows не способна перехватывать пакеты, передаваемые между интерфейсами одной машины. Простейшее решение — вынудить ОС прокладывать маршрут для таких пакетов через другую машину; подходит шлюз по умолчанию. В ОС семейства *nix проблема отсутствует.

Внешний адрес машины () и адрес шлюза можно узнать командой или в диалоге свойств сетевого подключения.

Проложить маршрут, действующий до перезагрузки, можно следующей командой:

Например, если локальный адрес 192.168.1.2, и шлюз — 192.168.1.1:

Изменение таблицы маршрутизации разрешено только администратору.

В Windows 7 и более поздних версиях запуск командной строки администратора доступен из GUI.

По окончании экспериментов следует удалить этот неоптимальный, вредный маршрут:

Полезные ссылки


Козлюк Д. А. для кафедры Управления и информатики НИУ «МЭИ», 2016 г.

Wireshark на русском. Знакомство с акулой.

Приложение для анализа сетевого трафика, программа Wireshark 2.4.1 – сетевая утилита с хорошим функционалом. Программа распространяется согласно свободной лицензии GNU GPL и, на сегодняшний день, является одним из самых известных снифферов, для сети Ethernet.

Коротко о Wireshark.

Работа Wireshark базируется на функциях библиотеки pcap (Packet Capture) – происходит захват пакетов в локальной сети, с последующим их анализом. Приложение имеет графический интерфейс (русского языка нет), и весьма популярно у сетевых администраторов, разработчиков сетевых программ и простых пользователей. Кратко, возможности программы можно описать так:
— Перехват сетевого трафика.
— Декодирование перехваченных пакетов.
— Фильтрация пакетов.
— Запись дампа.
— Обработка записанных ранее файлов.

Программа никоим образом не генерирует сетевой трафик и не обнаруживает себя в сети.

Инсталляция Wireshark.

В операционную систему Windows приложение инсталлируется легко, без каких-либо сложностей. Кроме того, разработчиками выпускаются версии для FreeBSD, различных версий Linux и MacOS. Во время инсталляции, кроме анализатора вместе с графической оболочкой, можно дополнительно установить следующие утилиты:
— Фильтр «сырых» пакетов Rawshark.
— Программа для работы с сохраненными дампами Editcap.
— Конвертер Text2pcap.
— Консольный анализатор Tshark.

Особенности анализа

В базе данных Wireshark содержится информация о структуре различных сетевых пакетов, их количество гораздо больше, чем то, что можно «захватить» с помощью pcap. Поэтому, программу стоит скачать не только для мониторинга локальных сетей, но и для анализа редко встречающихся протоколов – например, LTE VoIP и других.

Непосредственно «прослушать» такой трафик Wireshark не сможет, но открыть сохраненный в другом приложении дамп – легко!

В числе функций программы есть и фильтрация пакетов. При этом нужно понимать, что фильтры могут работать на этапе «прослушивания» сети – Capture filter, и на этапе анализа полученного дампа – Display filter. Это два разных режима работы. В первом случае, при неправильных установках фильтра, возможна потеря информации – приложение просто «не запишет» те пакеты, которые не удовлетворяют условиям фильтра. Во втором случае программа запишет все, но «покажет» только то, что «пройдет» через фильтр.

Технические характеристики:

Версия: Wireshark 2.4.1
Язык: английский
Статус: Бесплатно
Автор: Wireshark Foundation
Система: Windows All

 

Скачать Wireshark x86 с официального сайта

Скачать Wireshark x64 с официального сайта

Комментарии для Wireshark 2.4.1 скачать сетевой сниффер

  • PS, (Будьте внимательны и осторожны!)

  • Материал создан не для взлома и захвата личных данных. А с целью дать понять схему и принцип защиты простому пользователю его данных. Если знать схему из нутри то и понять как защитить себя в кафе или других общественных местах, подключившись к любой доступной сети. Скажем как пример WiFi в кафе, возможно все ниже описываемое стоит как уже входящее в штат программ этого кафе. Все это реально, если не убедит статья, попробуйте сделать сами. Если не чего не поймете можете обратиться с просьбой помочь в самом низу статьи в комментарий.

  • Возьмем один из много численных примеров : Google просит всех Администраторов сайтов, переходить с HTTP на HTTPS тем самым создавая зашифрованные соединения, между клиентом и сервером( Между вами и сайтом). Переходить на HTTPS хостеры(Администраторы сайтов) не торопятся, многие клиенты используют все еще операционную систему Windows XP, которая не поддерживает этот протокол HTTPS а работает на старом HTTP. Тем самым клиенту использующему Windows XP будет попросту не зайти на такой сайт с зашифрованном соединении HTTPS. Одна из причин почему хостеры не используют протокол HTTPS. Ниже идет более подробное описание:
  • Очень часто они(ваши данные) передаются по сети не в защищенном виде. Поэтому если сайт, на котором вы пытаетесь авторизоваться, использует HTTP протокол, то очень просто выполнить захват этого трафика, проанализировать его с помощью Wireshark и далее с помощью специальных фильтров и программ найти и расшифровать пароль. Но не отчаивайтесь, чтобы ваши пароли перехватить надо подключится к вашей сети. WiFi например надо с начало узнать пароль а уже потом и другие пароли на ваши ресурсы. Почему в данное время много говорят о том что не стоит подключаться к WiFi в кафе или в других не знакомых местах. Потому что ваш трафик пойдет по этой сети, а дальше, что дальше, читайте дальше.
  • Лучшее место для перехвата паролей – ядро сети, где ходит трафик всех пользователей к закрытым ресурсам (например, почта) или перед маршрутизатором для выхода в Интернет, при регистрациях на внешних ресурсах. Настраиваем зеркало и мы готовы почувствовать себя хакером.
  • Теперь все по порядку :

    Шаг 1. Устанавливаем и запускаем Wireshark для захвата трафика

  • Иногда для этого достаточно выбрать только интерфейс, через который мы планируем захват трафика, и нажать кнопку Start. В нашем случае делаем захват по беспроводной сети.
  • Захват трафика начался.
  • Шаг 2. Фильтрация захваченного POST трафика
  • Открываем браузер и пытаемся авторизоваться на каком-либо ресурсе с помощью логина и пароля. По завершению процесса авторизации и открытия сайта мы останавливаем захват трафика в Wireshark. Далее открываем анализатор протоколов и видим большое количество пакетов. Именно на этом этапе большинство ИТ-специалистов сдаются, так как не знают, что делать дальше.

    10 советов по использованию Wireshark для анализа пакетов данных

    Но мы знаем и нас интересуют конкретные пакеты, которые содержат POST данные, которые формируются на нашей локальной машине при заполнении формы на экране и отправляются на удаленные сервер при нажатии кнопки «Вход» или «Авторизация» в браузере.

  • Вводим в окне специальный фильтр для отображения захваченных пакетов: http.request.method == “POST”
  • И видим вместо тысячи пакетов, всего один с искомыми нами данными.
  • Шаг 3. Находим логин и пароль пользователя
  • Быстрый клик правой кнопки мыши и выбираем из меню пункт Follow TCP Steam
  • После этого в новом окне появится текст, который в коде восстанавливает содержимое страницы. Найдем поля «password» и «user», которые соответствуют паролю и имени пользователя. В некоторых случаях оба поля будут легко читаем и даже не зашифрованы, но если мы пытаемся захватить трафик при обращении к очень известным ресурсам типа: Mail.ru, Facebook, Вконтакте и т.д., то пароль будет закодирован:
  • HTTP/1.1 302 Found
  • Date: Mon, 10 Nov 2014 23:52:21 GMT
  • Server: Apache/2.2.15 (CentOS)
  • X-Powered-By: PHP/5.3.3
  • P3P: CP=»NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM»
  • Set-Cookie: non=non; expires=Thu, 07-Nov-2024 23:52:21 GMT; path=/
  • Set-Cookie: password=e4b7c855be6e3d4307b8d6ba4cd4ab91; expires=Thu, 07-Nov-2024 23:52:21 GMT; path=/
  • Set-Cookie: scifuser=networkguru; expires=Thu, 07-Nov-2024 23:52:21 GMT; path=/
  • Location: loggedin.php
  • Content-Length: 0
  • Connection: close
  • Content-Type: text/html; charset=UTF-8
  • Таким образом, в нашем случае:
  • Имя пользователя: networkguru
  • Пароль: e4b7c855be6e3d4307b8d6ba4cd4ab91
  • Шаг 4. Определение типа кодирования для расшифровки пароля
  • Заходим, например, на сайт onlinehashcrack и вводим наш пароль в окно для идентификации. Выбираете протокол кодирования:
  • MD5
  • NTLM
  • MD4
  • LM
  • Шаг 5. Расшифровка пароля пользователя
  • На данном этапе можем воспользоваться утилитой hashcat:
  • ~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt
  • На выходе мы получили расшифрованным пароль: simplepassword
  • Таким образом, с помощью Wireshark мы можем не только решать проблемы в работе приложений и сервисов, но и также попробовать себя в роли хакера, осуществляя перехват паролей, которые пользователи вводят в веб-формах. Также можно узнавать и пароли к почтовым ящикам пользователей, используя незатейливые фильтры для отображения:
  • Протокол POP и фильтр выглядит следующим образом: pop.request.command == «USER» || pop.request.command == «PASS»
  • Протокол IMAP и фильтр будет: imap.request contains «login»
  • Протокол SMTP и потребуется ввод следующего фильтра: smtp.req.command == «AUTH»
  • Смотрим видео Wireshark анализ пакетов логин, пароли веб-страниц. На английском но все понятно если смотреть внимательно, приложив знания полученные из моей статьи на этой странице.
  • видео с сайта: danscourses

  • Ссылки упоминающиеся в статье.
    Перейти Официальный сайт
    Скачать x64
    Скачать x32
    Скачать Версия без установки, переносная.
    Скачать MacOs
    Скачать Linux
    Скачать Все одним архивом с Яндекс Диска.

    Статьи похожей тематики:

    Ваш провайдер использует целенаправленные помехи в Вашем интернет соединении(Цензура)(ooni)?
    Поисковые системы интернета. Находить нужную информацию быстро и точно.
    Обзор программы Wireshark и пример захват передаваемых пакетов.
    ПОСМОТРЕТЬ ВСЕ СОХРАНЕННЫЕ ПАРОЛИ ВО ВСЕХ БРАУЗЕРАХ.
    Общаемся со своими знакомыми и друзьями, в своей сети, в своем интернет пейджере.
    Удаленное администрирование, удаленная помощь.
    Кто и когда заходит в мою почту?
    Интерактивная карта кибер угроз от компании Kaspersky Lab.
    Подключение по FTP к серверу с помощью TOTAL COMMANDER.
    ФИЛЬТРАЦИЯ И ЗАЩИТА С ПОМОЩЬЮ DNS ОТ ЯНДЕКС.
    Зашифровать DNS трафик и уберечь от третьей стороны, поможет DNSCrypt.
    Фильтрация с помощью DNS от Google.
    Кто подключен к Вашему WIFI? Антивирус для локальной сети.
    Статические и динамические, белые и серые, IP адреса. Что скачивал в интернете определенный IP?
    Мониторинг портов и трафика с помощью специализированных программ.
    Безопасность вашего сервера или компьютера, локальной сети и интернет. Какие двери открыты к вам?
    Анонимность в интернет и смена IP адреса, OpenVpn.
    Страшные поисковики интернета, ищут устройства подключенные к интернет.
    Открывать сайты по протоколу HTTPS. Шифрование передачи трафика между Вашем пк и сайтом.
    ЗАЩИТА МАРШРУТИЗАТОРА ИЛИ КАК ЗАЙТИ В ГОСТИ ЧЕРЕЗ ЧЕРНЫЙ ХОД.
    Как сделать свой собственный прокси сервер с минимальными настройками и компьютерными ресурсами, с любой системой.
    Передать любой файл, любого размера, прямо с вашего компьютера, в зашифрованном виде.

    Primary Menu

    Введение в сетевую безопасность

    Методическое и программно-аппаратное обеспечение

    Для выполнения данной практической работы студенты используют:

    · рабочую станцию с установленной ОС семейства Windows;

    · ПО Wireshark (https://www.wireshark.org/#download);

    · ПО Technitium MAC Address Changer (http://technitium.com/tmac/index.html)

    Введение

    Цель практической работы – изучить основы работы технологии Ethernet и коммутации в локальных вычислительных сетях.

    В ходе выполнения работы будет использоваться ПО Wireshark (https://www.wireshark.org/#download). Данное ПО используется для анализа сетевого трафика ЛВС.

    Wireshark использует библиотеку WinPcap. Wireshark перехватывает пакеты, передаваемые и получаемые сетевой картой компьютера и отображает их в реальном времени при помощи графического интерфейса. Wireshark автоматически распознает типы протоколов и структуру сетевого трафика, отображает в удобном формате все значимые поля пакетов (включая адреса источника, назначения, служебные флаги, идентификаторы, полезную нагрузку). Копия полученных сетевых пакетов может быть сохранена для последующего анализа.

    Программа Wireshark предусматривает также возможность фильтрации захватываемых пакетов в соответствии с заданными параметрами (что удобно при работе с большими объемами трафика). В качестве фильтров могут использоваться как определенный протокол, так и значения сетевых адресов, а также другие параметры. Фильтры могут включать в себя последовательность выражений, соединенных операторами and, or, not. Пример фильтра для захвата определенных пакетов: tcp port 443 and src host 192.168.1.112. Данный фильтр позволяет перехватывать только трафик с адресом источника 192.168.1.112 и портом TCP 443 (протокол SSL).

    Подробное руководство по работе с Wireshark можно найти по ссылке https://www.wireshark.org/docs/wsug_html/.

    ПО Technitium MAC Address Changer (http://technitium.com/tmac/index.html) является бесплатным и позволяет сменить MAC-адрес сетевой карты компьютера.

     

    Задача

    Подготовительная часть

    1) Ознакомьтесь с описанием протокола Ethernet, описанием структуры Ethernet-кадра («фрейма») и MAC-адреса.

    2) Определите текущие MAC-адреса сетевых адаптеров вашего рабочего компьютера. Для этого в командной строке Windows выполните команду

    Getmac /FO list /v

    3) Запомните текущие MAC-адреса сетевых адаптеров вашего компьютера. Для этого можно воспользоватсья командой

    getmac /FO list /v > MACaddrlist.txt

    Эта команда сохранит список MAC-адресов в текстовом файле MACaddrlist.txt. По умолчанию, данный текстовый файл будет создан в папке текущего пользователя (C:\Users\<имя пользователя>).

    4) Скачайте и установите на рабочий компьютер ПО Wireshark https://www.wireshark.org/#download

    5) Скачайте и установите на рабочий компьютер ПО Cisco Packet Tracer

     

    Основы работы с Wireshark

    1) Запустите Wireshark, воспользовавшись соответствующим значком на рабочем столе или меню «Пуск»

    2) Выберете меню «Capture» > «Interfaces» или воспользуйтесь сочетанием клавиш CTRL+I

    3) В открывшемся окне (рисунок 1) выберите текущий интерфейс, используемый для подключения к сети Интернет (или ЛВС) и нажмите кнопку Start.

    Рисунок 1 — Окно выбора интерфейсов

     

    4) Изучите открывшийся интерфейс. Убедитесь, что производится захват сетевых пакетов.

    Рисунок 2 — Пример вывода Wireshark

    Обратите внимание, что в верхней части окна показан перечень перехваченных пакетов. В нижней части окна показана детализированная информация о пакете.

    Подождите некоторое время, пока количество захваченных пакетов не достигнет достаточного количества.

    5) Остановите захват пакетов, нажав на кнопку Stop в меню, в верхней части окна Wireshark.

    Рисунок 3 — Остановка захвата сетевого трафика

    6) Дважды щелкните по любому из захваченных сетевых пакетов. Откроется детальное окно информации (см. рисунок ниже).

    Рисунок 4 — детальное окно информации

     

    7) Ознакомьтесь с детальной информацией по канальному уровню перехваченного трафика. Для этого разверните вывод, нажав на «+» напротив строк «Frame…» и «Ethernet».

    Заполните следующую таблицу

    MAC-адрес источника  
    Тип MAC-адреса: · Globally unique / Locally administered · Unicast / Multicast  
    MAC-адрес назначения  
    Тип MAC-адреса: · Globally unique / Locally administered · Unicast / Multicast  
    Протокол верхнего (L3) уровня, его код  

     

     

    8) Сохраните дамп сбора пакетов в файле. Для этого перейдите в меню File > Save As и введите название файла дампа.

     


    Читайте также:

    Использование Wireshark для исследования сетей

    Оригинал: Wireshark for Network analysis
    Автор: Riccardo Capecchi
    Дата публикации: 22 сентября 2010 г.
    Перевод: А.Панин
    Дата публикации перевода: 27 ноября 2012 г.

    В сети Интернет можно найти сотни замечательных программ с открытым исходным кодом, которые могут использоваться для исследования сетей, но их использует ограниченный круг технических специалистов. Но среди них есть ряд решений, которые действительно эффективны и могут помочь в ежедневной работе по обслуживанию сетей. В первой статье я расскажу о Wireshark — полезном инструменте для исследования сетей.

    Wireshark

    Программа Wireshark (ранее программа была известна под названием Ethereal) стала стандартом де-факто при исследовании сетей и анализе протоколов среди приложений с открытым исходным кодом. Она предоставляет возможность проводить низкоуровневую фильтрацию пакетов и их анализ.

    Как пользоваться Wireshark под Windows

    Файлы с захваченными данными из сети (trace files) могут быть открыты в Wireshark и рассмотрены вплоть до каждого пакета.

    Некоторые примеры использования программы Wireshark:

    • Администраторы сетей используют ее для выявления причин неполадок в сетях.
    • Специалисты по безопасности сетей используют ее для поиска проблем с безопасностью.
    • Разработчики используют ее для отладки реализаций протоколов.
    • Пользователи используют ее для изучения принципов работы сетевых протоколов.

    Помимо этих примеров, Wireshark может помочь и в других ситуациях.

    Установочные пакеты Wireshark доступны в официальном репозитории Ubuntu 10.04 (пакеты доступны также для более поздних версий Ubuntu и других популярных дистрибутивов — прим.пер.), поэтому для установки потребуется всего лишь использовать команду: .

    Как только установка завершится, запустите программу из терминала при помощи команды ; да, в этом случае программа будет выполняться с правами пользователя root, что является не самым безопасным решением, но альтернативный вариант запуска без прав суперпользователя требует множества действий по конфигурации системы, с ним вы можете познакомиться по ссылке (работает только в Linux).

    После запуска программы вы увидите на экране главное окно программы:

    Под заголовком «Interface List» вы должны увидеть список всех сетевых интерфейсов вашей системы, для начала захвата пакетов достаточно просто выбрать интересующий вас интерфейс при помощи клика, после чего вы увидите пакеты, проходящие через интерфейс в новом окне.

    Очень частой проблемой при работе со стандартными настройками является то обстоятельство, что пользователю предоставляется огромный объем информации, а интересующую информацию становится очень сложно найти.

    Большой объем информации уводит из поля зрения нужную информацию.

    По этой причине фильтры так важны, ведь они могут помочь нам с поиском необходимой информации в обширном журнале данных:

    • Фильтры захвата: используются для указания на то, какие данные должны записываться в журнал данных. Эти фильтры задаются до начала захвата данных.
    • Фильтры отображения: используются для поиска внутри журнала данных. Эти фильтры могут быть изменены в процессе захвата данных.

    Так что же использовать: фильтры захвата или фильтры отображения?

    Задачи этих фильтров отличаются.

    Фильтр захвата используется в первую очередь для сокращения объема захваченных данных с целью предотвращения чрезмерного увеличения в объеме журнала данных.

    Фильтр отображения является более мощным (и сложным); он позволяет вам искать именно те данные, которые вам необходимы.

    Фильтры захвата

    Синтаксис фильтров захвата аналогичен синтаксису фильтров программ на основе библиотек (Linux) или (Windows), таких, как известная программа TCPdump. Фильтр захвата должен быть задан до начала захвата пакетов при помощи Wireshark, в этом состоит отличие от фильтров отображения, которые можно редактировать в любое время в течение процесса захвата.

    Следующие шаги позволяют настроить фильтр захвата:

    — В меню окна выберите пункт «».

    -Заполните текстовое поле «» или нажмите на кнопку «» для указания имени вашего фильтра с целью его повторного использования в последующих захватах данных.

    -Нажмите кнопку «» для начала захвата данных.

    Синтаксис:

    Если вам необходим фильтр для какого-либо протокола, следует рассмотреть описание протоколов.

    Для задания всех фильтров действителен следующий базовый синтаксис: Протокол Направление Узел(узлы) Значение Логические_операции Другое_выражение

    Примеры:

    Захват трафика только с IP-адреса 172.18.5.4: host 172.18.5.4
    Захват трафика, идущего по двум направлениям для диапазона IP-адресов: net 192.168.0.0/24
    или net 192.168.0.0 mask 255.255.255.0
    Захват трафика, идущего по направлению от узлов из диапазона IP-адресов: src net 192.168.0.0/24
    или src net 192.168.0.0 mask 255.255.255.0
    Захват трафика, идущего по направлению к узлам из диапазона IP-адресов: dst net 192.168.0.0/24
    или dst net 192.168.0.0 mask 255.255.255.0
    Захват только трафика от DNS (порт 53): port 53
    Захват трафика, не относящегося к протоколам HTTP и SMTP на вашем сервере (выражения эквивалентны): host www.example.com and not (port 80 or port 25) host www.example.com and not port 80 and not port 25
    Захват трафика, не относящегося к протоколам ARP и DNS: port not 53 and not arp
    Захват трафика для диапазона портов: (tcp[0:2] > 1500 and tcp[0:2] < 1550) or (tcp[2:2] > 1500 and tcp[2:2] < 1550)
    Захватывать пакеты от узла с IP-адресом 10.4.1.12 или из сети с адресом 10.6.0.0/16, после этого объединять результат со списком пакетов TCP, целевые порты которых находятся в диапазоне от 200 до 10000 и целевые адреса принадлежат сети 10.0.0.0/8. (src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

    Фильтры отображения

    Wireshark использует фильтры отображения главным образом для фильтрации выводимых пользователю данных с использованием различных цветов в соответствии с правилами использования цветов.

    Основные положения и синтаксис фильтров отображения описаны в руководстве пользователя.

    Примеры:

    Показывать только SMTP (порт 25) и ICMP-трафик: tcp.port eq 25 or icmp
    Показывать только трафик из локальной сети (192.168.x.x) между рабочими станциями и серверами без интернет-трафика: ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16
    Показывать случаи заполнения буфера TCP — в этом случае узел инструктирует удаленный узел о необходимости остановки передачи данных: tcp.window_size == 0 && tcp.flags.reset != 1
    Показывать только HTTP-запросы, в которых символы в конце строки запроса совпадают со строкой «gl=se»: http.request.uri matches «gl=se$»
    Примечание: Символ $ является пунктуационным символом PCRE, который обозначает окончание строки, а в данном случае окончание поля http.request.uri.
    Фильтрация по протоколу (т.е. SIP) и фильтрация нежелательных IP-адресов: ip.src != xxx.xxx.xxx.xxx && ip.dst != xxx.xxx.xxx.xxx && sip

    С официальным руководством пользователя можно ознакомиться по ссылке.

    Эта статья описывает лишь ту информацию, которая может пригодиться при знакомстве с Wireshark, для получения дополнительной информации следует обратиться к wiki проекта с огромным количеством полезных статей.

    В следующей статье будет рассмотрен вопрос об использовании фильтров в программе Wireshark.

    Если вам понравилась статья, поделитесь ею с друзьями:


    Добавить комментарий

    Закрыть меню