Skip to content
Home Networking

Jak používat Wireshark: Kompletní výukový program

6 de Červenec de 2021
GettyImages 551958111 cb13c0bee40a4bf9b24af23336cf1cee

Co je třeba vědět

  • Wireshark je aplikace s otevřeným zdrojovým kódem, která zachycuje a zobrazuje data cestující tam a zpět v síti.
  • Protože může procházet a číst obsah každého paketu, používá se k řešení problémů se sítí a testování softwaru.

Pokyny v tomto článku platí pro Wireshark 3.0.3 pro Windows a Mac.

Co je Wireshark?

Wireshark, původně známý jako Ethereal, zobrazuje data ze stovek různých protokolů na všech hlavních typech sítí. Datové pakety lze prohlížet v reálném čase nebo analyzovat offline. Wireshark podporuje desítky formátů souborů pro zachycení / trasování, včetně CAP a ERF. Integrované dešifrovací nástroje zobrazují šifrované pakety pro několik běžných protokolů, včetně WEP a WPA / WPA2.

Jak stáhnout a nainstalovat Wireshark

Wireshark lze zdarma stáhnout z webu Wireshark Foundation pro macOS i Windows. Uvidíte nejnovější stabilní vydání a aktuální vývojové vydání. Pokud nejste pokročilým uživatelem, stáhněte si stabilní verzi.

Během procesu instalace systému Windows zvolte instalaci WinPcap nebo Npcap pokud se zobrazí výzva, protože obsahují knihovny potřebné pro sběr živých dat.

Screenshot obrazovky instalace Wireshark se zvýrazněnou možností „Install Npcpap“

Abyste mohli Wireshark používat, musíte být do zařízení přihlášeni jako správce. Ve Windows 10 vyhledejte Wireshark a vyberte Spustit jako administrátor. V systému macOS klikněte pravým tlačítkem na ikonu aplikace a vyberte Získat informace. V Sdílení a oprávnění nastavení, dát správce Číst psát privilegia.

Screenshot obrazovky s informacemi Wireshark ve Windows 10 s "Spustit jako administrátor" možnost zvýrazněna

Aplikace je k dispozici také pro Linux a další platformy podobné systému UNIX, včetně Red Hat, Solaris a FreeBSD. Binární soubory potřebné pro tyto operační systémy najdete ve spodní části stránky ke stažení Wireshark pod Balíčky třetích stran sekce. Můžete si také stáhnout zdrojový kód Wireshark z této stránky.

Jak zachytit datové pakety pomocí Wireshark

Po spuštění aplikace Wireshark se na uvítací obrazovce zobrazí seznam dostupných síťových připojení na vašem aktuálním zařízení. Vpravo od každého je zobrazen spojnicový graf ve stylu EKG, který představuje živý provoz v dané síti. Zahájení zachycování paketů pomocí Wireshark:

  1. Vyberte jednu nebo více sítí, přejděte na panel nabídek a vyberte Zachyťte. Chcete-li vybrat více sítí, podržte Posun klíč při výběru.

    Screenshot Wireshark se zvýrazněnou nabídkou Capture

  2. V Wireshark Capture Interfaces v okně vyberte Start. Existují i ​​jiné způsoby, jak zahájit zachycování paketů. Vybrat žraločí ploutev na levé straně panelu nástrojů Wireshark stiskněteCtrl + Enebo poklepejte na síť.

    Snímek obrazovky okna rozhraní Wireshark pro zachycení se zvýrazněným tlačítkem Start

  3. Vybrat Soubor > Uložit jako nebo vyberte Vývozní možnost zaznamenat zachycení.

    Snímek obrazovky Wireshark se zvýrazněným příkazem Uložit jako a Exportovat

  4. Chcete-li zastavit snímání, stiskněte Ctrl + E. Nebo přejděte na panel nástrojů Wireshark a vyberte červenou Stop tlačítko, které je umístěno vedle žraločí ploutve.

    Snímek obrazovky se snímacím rozhraním Wireshark se zvýrazněným tlačítkem Stop

Jak zobrazit a analyzovat obsah paketů

Rozhraní zachycených dat obsahuje tři hlavní sekce:

  • Podokno seznamu paketů (horní část)
  • Podokno podrobností paketu (střední část)
  • Podokno bajtů paketů (spodní část)

Rozhraní zachycených dat obsahuje tři hlavní sekce: podokno seznamu paketů (horní část); podokno podrobností paketu (střední část); a podokno bajtů paketů (spodní část).

Seznam paketů

Podokno se seznamem paketů, které se nachází v horní části okna, zobrazuje všechny pakety nalezené v aktivním souboru zachycení. Každý paket má svůj vlastní řádek a přiřazené odpovídající číslo spolu s každým z těchto datových bodů:

  • Ne: Toto pole označuje, které pakety jsou součástí stejné konverzace. Zůstane prázdné, dokud nevyberete paket.
  • Čas: V tomto sloupci se zobrazuje časová značka, kdy byl paket zachycen. Výchozí formát je počet sekund nebo částečných sekund od prvního vytvoření tohoto konkrétního souboru pro zachycení.
  • Zdroj: Tento sloupec obsahuje adresu (IP nebo jinou), ze které paket pochází.
  • Destinace: Tento sloupec obsahuje adresu, na kterou je paket odesílán.
  • Protokol: Název protokolu paketu, například TCP, naleznete v tomto sloupci.
  • Délka: V tomto sloupci se zobrazuje délka paketu v bajtech.
  • Informace: Zde jsou uvedeny další podrobnosti o paketu. Obsah tohoto sloupce se může velmi lišit v závislosti na obsahu paketu.

Chcete-li změnit formát času na něco užitečnějšího (například skutečný denní čas), vyberte Pohled > Formát zobrazení času.

Screenshot Wireshark se zvýrazněným příkazem Time Display Format a volbami

Když je v horním podokně vybrán paket, můžete si všimnout, že se v něm objeví jeden nebo více symbolů Ne. sloupec. Otevřené nebo uzavřené závorky a přímá vodorovná čára označují, zda je paket nebo skupina paketů součástí stejné zpětné konverzace v síti. Přerušovaná vodorovná čára znamená, že paket není součástí konverzace.

Snímek obrazovky Wireshark se zvýrazněným panelem paketů

Podrobnosti paketu

Podokno podrobností, které se nachází uprostřed, představuje protokoly a pole protokolu vybraného paketu ve sbalitelném formátu. Kromě rozšíření každého výběru můžete použít jednotlivé filtry Wireshark na základě konkrétních podrobností a sledovat streamy dat podle typu protokolu kliknutím pravým tlačítkem na požadovanou položku.

Snímek obrazovky Wireshark se zvýrazněným panelem Packet Details

Bajty paketů

V dolní části je podokno bajtů paketů, které zobrazuje surová data vybraného paketu v hexadecimálním zobrazení. Tento hexadecimální výpis obsahuje 16 hexadecimálních bajtů a 16 ASCII bajtů vedle datového posunu. Výběr konkrétní části těchto dat automaticky zvýrazní odpovídající část v podokně podrobností paketu a naopak. Všechny bajty, které nelze vytisknout, jsou reprezentovány tečkou.

Snímek obrazovky Wireshark se zvýrazněným panelem Packet Bytes

Chcete-li tato data zobrazit v bitovém formátu na rozdíl od hexadecimálního, klikněte pravým tlačítkem kdekoli v podokně a vyberte jako bity.

Screenshot okna Wireshark Packet Bytes s "Jako kousky" možnost zvýrazněna

Jak používat filtry Wireshark

Filtry zachycení dávají Wiresharku pokyn, aby nahrával pouze pakety, které splňují zadaná kritéria. Filtry lze také použít na zachycený soubor, který byl vytvořen, takže se zobrazují pouze určité pakety. Ty se označují jako filtry zobrazení. Wireshark ve výchozím nastavení poskytuje velké množství předdefinovaných filtrů. Chcete-li použít jeden z těchto existujících filtrů, zadejte jeho název do pole Použijte filtr zobrazení vstupní pole umístěné pod panelem nástrojů Wireshark nebo v Zadejte zachytávací filtr pole umístěné ve středu uvítací obrazovky. Například pokud chcete zobrazit pakety TCP, zadejte tcp. Funkce automatického doplňování Wireshark zobrazuje navrhovaná jména, jakmile začnete psát, což usnadňuje hledání správného názvu pro hledaný filtr.

Snímek obrazovky Wireshark se zvýrazněnou lištou filtrů

Dalším způsobem, jak vybrat filtr, je vybrat záložka do knihy na levé straně vstupního pole. Vybrat Správa výrazů filtru nebo Spravujte filtry zobrazení přidat, odebrat nebo upravit filtry.

Snímek obrazovky Wireshark s vysoce spravovanými příkazy Manage Display Filters a Manage Filter Expressions

K dříve použitým filtrům můžete také přistupovat výběrem šipky dolů na pravé straně vstupního pole a zobrazit rozevírací seznam historie.

Snímek obrazovky Wireshark se zvýrazněnou šipkou historie

Filtry pro zachycení se použijí, jakmile začnete zaznamenávat síťový provoz. Chcete-li použít filtr zobrazení, vyberte šipku doprava na pravé straně vstupního pole.

Pravidla barev Wireshark

Zatímco filtry pro zachycení a zobrazení od společnosti Wireshark omezují, které pakety se zaznamenávají nebo zobrazují na obrazovce, její funkce zabarvení posouvá věci o krok dále: Může rozlišovat mezi různými typy paketů na základě jejich individuálního odstínu. To rychle vyhledá určité pakety v rámci uložené sady podle jejich barvy řádku v podokně seznamu paketů.

Před hlavním oknem Wireshark se otevřelo dialogové okno s pravidly o barvení Wireshark

Wireshark je dodáván s přibližně 20 výchozími barvicími pravidly, každé lze upravit, deaktivovat nebo odstranit. Vybrat Pohled > Pravidla barvení pro přehled toho, co každá barva znamená. Můžete také přidat vlastní barevné filtry.

Snímek obrazovky nabídky Wireshark's View se zvýrazněným příkazem Coloring Rules

Vybrat Pohled > Seznam barevných paketů zapíná a vypíná obarvení paketů.

Statistiky ve Wiresharku

Další užitečné metriky jsou k dispozici na webu Statistika rozevírací nabídka. Patří mezi ně informace o velikosti a načasování souboru pro zachycení, spolu s desítkami grafů a grafů v rozsahu od rozpisů konverzací paketů po distribuci požadavků HTTP.

Několik dalších užitečných metrik je k dispozici v rozevírací nabídce Statistiky v horní části obrazovky.

Filtry zobrazení lze použít na mnoho z těchto statistik prostřednictvím jejich rozhraní a výsledky lze exportovat do běžných formátů souborů, včetně CSV, XML a TXT.

Pokročilé funkce Wireshark

Wireshark také podporuje pokročilé funkce, včetně schopnosti psát disektory protokolu v programovacím jazyce Lua.