Wireshark как использовать окна

Обновлено: 04.07.2024

Wireshark использует библиотеки libpcap или Winpcap для захвата сетевого трафика в Windows. Библиотеки Winpcap не предназначены для работы с сетевыми картами WiFi, поэтому они не поддерживают захват сетевого трафика WiFi с помощью Wireshark в Windows. Режим монитора для Windows с использованием Wireshark по умолчанию не поддерживается.

Ограничения Winpcap Capture и WiFi-трафик на Wireshark

Захват в основном ограничен Winpcap, а не Wireshark. Тем не менее, Wireshark включает поддержку Airpcap, специального и дорогостоящего оборудования Wi-Fi, которое поддерживает мониторинг трафика Wi-Fi в режиме монитора. Другими словами, он позволяет перехватывать сетевой трафик WiFi в неразборчивом режиме в сети WiFi. Однако эти карты сняты с производства и устарели, поэтому они не могут перехватывать трафик в сетях, использующих новейшие стандарты Wi-Fi (802.11ac).

Acrylic Wi-Fi Sniffer — это инновационная альтернатива для перехвата трафика Wi-Fi в режиме мониторинга из Windows, включая новейший стандарт 802.11ac.

Акриловый анализатор Wi-Fi

Acrylic Wi-Fi Sniffer также позволяет перехватывать пакеты Wi-Fi в режиме монитора с помощью Wireshark для Windows (в последних версиях Wireshark 3.0.0 или выше) и других продуктов Acrylic Wi-Fi, таких как Heatmaps или Professional. Поскольку он был разработан как экономичная и легко настраиваемая альтернатива оборудованию AirPCAP, он может захватывать все данные, доступные с картами этого типа, включая значения SNR, и совместим с последним стандартом 802.11ac для каналов любой ширины (20, 40, 80 и 160 МГц).

Если вы хотите узнать больше о режимах захвата или узнать о функциях, которые эти две альтернативы предоставляют в продуктах Acrylic Wi-Fi, посетите статью «Режим монитора и собственный режим захвата в Acrylic Wi-Fi».

Acrylic Wi-Fi Sniffer и WiFi-интерфейсы в Wireshark

Эта интеграция намного проще, чем предыдущая. Просто установите Acrylic Wi-Fi Sniffer и в панели управления сниффера нажмите на кнопку «Установить интеграцию», как показано на изображении ниже


Панель управления Acrylic Wi-Fi Sniffer с выделенным разделом интеграции и настройки

После этого запустите Wireshark от имени администратора, и отобразятся все доступные интерфейсы Acrylic Wi-Fi Sniffer.


Выберите интерфейс для использования с Acrylic Wi-Fi Sniffer и нажмите колесо настройки, как показано на предыдущем снимке экрана, и настройте оба канала и пропускную способность, где будет выполняться захват.

После настройки мы можем запустить захват в Wireshark и начать получать пакеты.

Мы добавили панель инструментов в WireShark, которая позволяет быстро менять конфигурацию на ходу, как показано на изображении ниже


Чтобы активировать его, перейдите в меню «Вид» > «Панели инструментов интерфейса» > «Интеграция интерфейса Acrylic Wi-Fi Sniffer».

Захват WiFi-трафика с помощью Wireshark


Короче говоря, после установки Acrylic Wi-Fi Sniffer мы запускаем Wireshark от имени администратора (щелкните правой кнопкой мыши значок Wireshark и выберите «Запуск от имени администратора») и выберите любую появившуюся карту Wi-Fi с именем сетевого интерфейса NDIS или Acrylic. Сниффер Wi-Fi. В нашем случае «Dell Wireless 1702/b/g/n WiFi Card» (интегрирована в оборудование Dell) и «RT8814X» (через Acrylic Wi-Fi Sniffer)

Видеоруководство Acrylic Wi-Fi с Wireshark для Windows

Вы можете скачать Acrylic Wi-Fi Sniffer, который также поддерживает интеграцию с Wireshark в течение ознакомительного периода.

Захват трафика Wi-Fi с помощью Wireshark и Acrylic Wi-Fi Sniffer
Анализ пакетов WiFi с помощью Wireshark в Windows с помощью Acrylic Wi-Fi Sniffer

Мы ценим ваши комментарии. Пожалуйста, поделитесь этой статьей в социальных сетях с помощью кнопок ниже. Не забудьте проверить наш список совместимого оборудования для повышения производительности.

Захват и просмотр данных, передаваемых по вашей сети, с помощью Wireshark

Скотт Оргера — бывший писатель Lifewire, освещающий технологии с 2007 года. У него более 25 лет опыта работы программистом и руководителем отдела контроля качества, а также он имеет несколько сертификатов Microsoft, включая MCSE, MCP+I и MOUS. Он также имеет сертификат A+.

  • Беспроводное соединение
  • Маршрутизаторы и брандмауэры
  • Сетевые концентраторы
  • Интернет-провайдер
  • Широкополосный доступ
  • Ethernet
  • Установка и обновление
  • Wi-Fi и беспроводная связь

Что нужно знать

  • Wireshark – это приложение с открытым исходным кодом, которое собирает и отображает данные, перемещающиеся по сети туда и обратно.
  • Поскольку он может детализировать и читать содержимое каждого пакета, он используется для устранения неполадок в сети и тестирования программного обеспечения.

Инструкции в этой статье относятся к Wireshark 3.0.3 для Windows и Mac.

Что такое Wireshark?

Первоначально известный как Ethereal, Wireshark отображает данные сотен различных протоколов во всех основных типах сетей. Пакеты данных можно просматривать в режиме реального времени или анализировать в автономном режиме. Wireshark поддерживает десятки форматов файлов захвата/трассировки, включая CAP и ERF. Встроенные инструменты расшифровки отображают зашифрованные пакеты для нескольких распространенных протоколов, включая WEP и WPA/WPA2.

Как скачать и установить Wireshark

Wireshark можно бесплатно загрузить с веб-сайта Wireshark Foundation как для macOS, так и для Windows. Вы увидите последнюю стабильную версию и текущую разрабатываемую версию. Если вы не опытный пользователь, загрузите стабильную версию.

Во время установки Windows выберите установку WinPcap или Npcap, если будет предложено, так как они включают библиотеки, необходимые для оперативного сбора данных.

Чтобы использовать Wireshark, вы должны войти на устройство в качестве администратора. В Windows 10 найдите Wireshark и выберите «Запуск от имени администратора». В macOS щелкните правой кнопкой мыши значок приложения и выберите «Получить информацию». В настройках общего доступа и разрешений предоставьте администратору права на чтение и запись.

Это приложение также доступно для Linux и других UNIX-подобных платформ, включая Red Hat, Solaris и FreeBSD. Двоичные файлы, необходимые для этих операционных систем, можно найти в нижней части страницы загрузки Wireshark в разделе «Сторонние пакеты». Вы также можете скачать исходный код Wireshark с этой страницы.

Как перехватывать пакеты данных с помощью Wireshark

При запуске Wireshark на экране приветствия отображаются доступные сетевые подключения на вашем текущем устройстве. Справа от каждого из них отображается линейный график в стиле ЭКГ, отображающий текущий трафик в этой сети.

Чтобы начать захват пакетов с помощью Wireshark:

Выберите одну или несколько сетей, перейдите в строку меню и выберите «Захват».

Чтобы выбрать несколько сетей, удерживайте клавишу Shift при выборе.

В окне "Интерфейсы захвата Wireshark" выберите "Пуск".

Есть и другие способы инициировать захват пакетов. Выберите плавник акулы в левой части панели инструментов Wireshark, нажмите ​Ctrl+E или дважды щелкните сеть.

Выберите «Файл» > «Сохранить как» или выберите параметр «Экспорт», чтобы записать снимок.

Чтобы остановить захват, нажмите Ctrl+E. Или перейдите на панель инструментов Wireshark и нажмите красную кнопку "Стоп" рядом с плавником акулы.

Как просматривать и анализировать содержимое пакетов

Интерфейс захваченных данных содержит три основных раздела:

  • Панель списка пакетов (верхняя часть)
  • Панель сведений о пакете (средняя часть)
  • Панель байтов пакетов (нижняя часть)

Список пакетов

Панель списка пакетов, расположенная в верхней части окна, показывает все пакеты, обнаруженные в активном файле захвата. Каждый пакет имеет свою собственную строку и соответствующий ему номер, а также каждую из этих точек данных:

  • Нет: в этом поле указывается, какие пакеты являются частью одного диалога. Оно остается пустым, пока вы не выберете пакет.
  • Время: в этом столбце отображается отметка времени захвата пакета. Формат по умолчанию – количество секунд или неполных секунд с момента первого создания этого конкретного файла захвата.
  • Источник: этот столбец содержит адрес (IP или другой), откуда был отправлен пакет.
  • Destination: этот столбец содержит адрес, на который отправляется пакет.
  • Протокол. В этом столбце можно найти имя протокола пакета, например TCP.
  • Длина: в этом столбце отображается длина пакета в байтах.
  • Информация: здесь представлены дополнительные сведения о пакете. Содержимое этого столбца может сильно различаться в зависимости от содержимого пакета.

Чтобы изменить формат времени на что-то более полезное (например, фактическое время суток), выберите «Просмотр» > «Формат отображения времени».

Когда на верхней панели выбран пакет, вы можете заметить, что в столбце № появляется один или несколько символов. Открытые или закрытые скобки и прямая горизонтальная линия указывают, является ли пакет или группа пакетов частью одного и того же обмена данными в сети. Прерывистая горизонтальная линия означает, что пакет не является частью диалога.

Сведения о пакете

Панель сведений, расположенная посередине, представляет протоколы и поля протоколов выбранного пакета в сворачиваемом формате.Помимо расширения каждого выбора, вы можете применять отдельные фильтры Wireshark на основе конкретных сведений и отслеживать потоки данных в зависимости от типа протокола, щелкнув нужный элемент правой кнопкой мыши.

Байты пакета

Внизу находится панель байтов пакета, на которой отображаются необработанные данные выбранного пакета в шестнадцатеричном виде. Этот шестнадцатеричный дамп содержит 16 шестнадцатеричных байтов и 16 байтов ASCII вместе со смещением данных.

При выборе определенной части этих данных соответствующий раздел автоматически выделяется на панели сведений о пакете и наоборот. Любые байты, которые не могут быть напечатаны, представлены точкой.

Чтобы отобразить эти данные в битовом формате, а не в шестнадцатеричном, щелкните правой кнопкой мыши в любом месте панели и выберите биты.

Как использовать фильтры Wireshark

Фильтры захвата предписывают Wireshark записывать только те пакеты, которые соответствуют заданным критериям. Фильтры также можно применять к файлу захвата, созданному таким образом, чтобы отображались только определенные пакеты. Они называются фильтрами отображения.

Wireshark по умолчанию предоставляет большое количество предустановленных фильтров. Чтобы использовать один из этих существующих фильтров, введите его имя в поле «Применить фильтр отображения», расположенное под панелью инструментов Wireshark, или в поле «Введите фильтр захвата», расположенное в центре экрана приветствия.

Например, если вы хотите отобразить TCP-пакеты, введите tcp. Функция автозаполнения Wireshark показывает предлагаемые имена по мере того, как вы начинаете вводить текст, что упрощает поиск правильного названия для нужного фильтра.

Еще один способ выбрать фильтр — выбрать закладку в левой части поля ввода. Выберите «Управление выражениями фильтра» или «Управление фильтрами отображения», чтобы добавить, удалить или изменить фильтры.

Вы также можете получить доступ к ранее использовавшимся фильтрам, выбрав стрелку вниз справа от поля ввода, чтобы отобразить раскрывающийся список истории.

Фильтры захвата применяются, как только вы начинаете записывать сетевой трафик. Чтобы применить фильтр отображения, выберите стрелку вправо в правой части поля ввода.

Цветовые правила Wireshark

Несмотря на то, что фильтры захвата и отображения Wireshark ограничивают, какие пакеты записываются или отображаются на экране, его функция раскрашивания делает шаг вперед: он может различать разные типы пакетов на основе их индивидуального оттенка. Это позволяет быстро находить определенные пакеты в сохраненном наборе по цвету их строк на панели списка пакетов.

Диалоговое окно правил раскраски Wireshark открыто перед главным окном Wireshark

Wireshark поставляется с примерно 20 правилами раскраски по умолчанию, каждое из которых можно редактировать, отключать или удалять. Выберите «Вид» > «Правила раскраски», чтобы просмотреть, что означает каждый цвет. Вы также можете добавить свои собственные цветовые фильтры.

Выберите «Вид» > «Раскрасить список пакетов», чтобы включить или отключить раскрашивание пакетов.

Статистика в Wireshark

Фильтры отображения можно применять ко многим из этих статистических данных через их интерфейсы, а результаты можно экспортировать в распространенные форматы файлов, включая CSV, XML и TXT.

Расширенные возможности Wireshark

Wireshark также поддерживает расширенные функции, в том числе возможность писать диссекторы протоколов на языке программирования Lua.


Крис Хоффман

< бр />

Крис Хоффман
Главный редактор

Крис Хоффман – главный редактор How-To Geek. Он писал о технологиях более десяти лет и два года был обозревателем PCWorld. Крис писал для The New York Times, давал интервью в качестве эксперта по технологиям на телевизионных станциях, таких как NBC 6 в Майами, и освещал свою работу в таких новостных агентствах, как BBC. С 2011 года Крис написал более 2000 статей, которые были прочитаны почти миллиард раз — и это только здесь, в How-To Geek. Подробнее.


Wireshark, инструмент сетевого анализа, ранее известный как Ethereal, перехватывает пакеты в режиме реального времени и отображает их в удобном для человека формате. Wireshark включает в себя фильтры, цветовое кодирование и другие функции, позволяющие глубоко анализировать сетевой трафик и проверять отдельные пакеты.

Это руководство поможет вам быстро освоить основы захвата пакетов, их фильтрации и проверки.Вы можете использовать Wireshark для проверки сетевого трафика подозрительной программы, анализа потока трафика в вашей сети или устранения сетевых проблем.

Получение Wireshark

Вы можете скачать Wireshark для Windows или macOS с официального сайта. Если вы используете Linux или другую UNIX-подобную систему, вы, вероятно, найдете Wireshark в ее репозиториях пакетов. Например, если вы используете Ubuntu, вы найдете Wireshark в Центре программного обеспечения Ubuntu.

Небольшое предупреждение: многие организации не разрешают использование Wireshark и подобных инструментов в своих сетях. Не используйте этот инструмент на работе без разрешения.

Захват пакетов

После загрузки и установки Wireshark вы можете запустить его и дважды щелкнуть имя сетевого интерфейса в разделе «Захват», чтобы начать захват пакетов на этом интерфейсе. Например, если вы хотите перехватить трафик в своей беспроводной сети, щелкните свой беспроводной интерфейс. Вы можете настроить дополнительные функции, нажав «Захват» > «Параметры», но сейчас это не обязательно.


Как только вы нажмете на название интерфейса, вы увидите, что пакеты начинают появляться в режиме реального времени. Wireshark перехватывает каждый пакет, отправляемый в вашу систему или исходящий из нее.

Если у вас включен неразборчивый режим (он включен по умолчанию), вы также будете видеть все остальные пакеты в сети, а не только пакеты, адресованные вашему сетевому адаптеру. Чтобы проверить, включен ли неразборчивый режим, нажмите «Захват» > «Параметры» и убедитесь, что в нижней части этого окна установлен флажок «Включить неразборчивый режим на всех интерфейсах».


Нажмите красную кнопку "Стоп" в верхнем левом углу окна, если вы хотите прекратить захват трафика.


Цветовое кодирование

Возможно, вы увидите пакеты, выделенные разными цветами. Wireshark использует цвета, чтобы помочь вам определить типы трафика с первого взгляда. По умолчанию светло-фиолетовый — это TCP-трафик, светло-синий — UDP-трафик, а черный — пакеты с ошибками, например, они могли быть доставлены не по порядку.

Чтобы точно узнать, что означают цветовые коды, нажмите «Вид» > «Правила раскраски». Здесь вы также можете настроить и изменить правила раскраски, если хотите.


Образцы снимков

Если в вашей собственной сети нет ничего интересного для проверки, вам поможет вики Wireshark. Вики содержит страницу с примерами файлов захвата, которые вы можете загрузить и проверить. Нажмите «Файл» > «Открыть в Wireshark» и найдите загруженный файл, чтобы открыть его.

Вы также можете сохранять свои снимки в Wireshark и открывать их позже. Нажмите «Файл» > «Сохранить», чтобы сохранить захваченные пакеты.


Фильтрация пакетов

Если вы пытаетесь проверить что-то конкретное, например трафик, отправляемый программой при звонке домой, полезно закрыть все другие приложения, использующие сеть, чтобы вы могли сузить трафик. Тем не менее, вам, вероятно, придется просеивать большое количество пакетов. Вот где на помощь приходят фильтры Wireshark.

Самый простой способ применить фильтр – ввести его в поле фильтра в верхней части окна и нажать кнопку "Применить" (или нажать Enter). Например, введите «dns», и вы увидите только пакеты DNS. Когда вы начнете вводить текст, Wireshark поможет вам автоматически заполнить фильтр.


Вы также можете нажать «Анализ» > «Фильтры отображения», чтобы выбрать фильтр из числа фильтров по умолчанию, включенных в Wireshark. Отсюда вы можете добавить свои собственные фильтры и сохранить их для быстрого доступа к ним в будущем.

Дополнительную информацию о языке фильтрации отображения Wireshark см. на странице Создание выражений фильтра отображения в официальной документации Wireshark.


Еще одна интересная вещь, которую вы можете сделать, это щелкнуть правой кнопкой мыши пакет и выбрать Follow > TCP Stream.

Вы увидите полный диалог TCP между клиентом и сервером. Вы также можете щелкнуть другие протоколы в меню «Подписаться», чтобы просмотреть полные разговоры для других протоколов, если это применимо.


Закройте окно, и вы обнаружите, что фильтр был применен автоматически. Wireshark показывает вам пакеты, из которых состоит диалог.


Проверка пакетов

Нажмите на пакет, чтобы выбрать его, и вы сможете просмотреть его детали.


Здесь также можно создавать фильтры — просто щелкните правой кнопкой мыши одну из деталей и используйте подменю «Применить как фильтр», чтобы создать фильтр на ее основе.


Wireshark – чрезвычайно мощный инструмент, и в этом учебном пособии вы лишь поверхностно познакомитесь с тем, что вы можете с его помощью делать. Профессионалы используют его для отладки реализаций сетевых протоколов, изучения проблем безопасности и проверки внутреннего устройства сетевых протоколов.

Более подробную информацию можно найти в официальном руководстве пользователя Wireshark и на других страницах документации на веб-сайте Wireshark.

  • › Перестаньте критиковать приложения за то, что они «звонят домой». Вместо этого спросите Почему
  • › Устранение неполадок и анализ Wi-Fi на вашем Mac с помощью средства диагностики беспроводной сети.
  • › Как проникнуть в вашу сеть (DD-WRT)
  • › Что такое атака «человек посередине»?
  • › Как определить злоупотребление сетью с помощью Wireshark
  • › Почему не следует использовать фильтрацию MAC-адресов на маршрутизаторе Wi-Fi
  • › 5 крутых приемов, позволяющих получить максимальную отдачу от Wireshark
  • › Почему прозрачные чехлы для телефонов желтеют?

What-Is- Wireshark

Немногие инструменты могут быть столь же полезны для ИТ-специалистов, как Wireshark, инструмент для перехвата сетевых пакетов. Wireshark поможет вам захватывать сетевые пакеты и отображать их на детальном уровне. После того, как эти пакеты будут разбиты, вы можете использовать их для анализа в реальном времени или в автономном режиме. Этот инструмент позволяет вам изучить сетевой трафик под микроскопом, а затем отфильтровать и углубиться в него, выяснив основные причины проблем, помогая с сетевым анализом и, в конечном итоге, с сетевой безопасностью. Это бесплатное руководство по Wireshark научит вас захватывать, интерпретировать, фильтровать и проверять пакеты данных для эффективного устранения неполадок.

Человек, который следует рекомендациям по кибербезопасности при использовании своего ноутбука

Что такое кибербезопасность?

Узнайте, что такое кибербезопасность, и разберитесь с определениями различных типов угроз.


Что такое спуфинг?

Узнайте, что такое спуфинг. Поймите определение, а также то, как оно работает и как защититься от спуфинговых атак от CompTIA, голоса информационных технологий.


Что такое фишинг?

Что такое фишинг? Ознакомьтесь с определением, а также способами предотвращения и защиты от него из CompTIA.

Что такое Wireshark?

Wireshark – это анализатор сетевых протоколов или приложение, которое перехватывает пакеты из сетевого подключения, например, с вашего компьютера в домашний офис или в Интернет. Пакет — это имя, данное дискретной единице данных в типичной сети Ethernet.

Wireshark — наиболее часто используемый в мире анализатор пакетов. Как и любой другой анализатор пакетов, Wireshark делает три вещи:

Скриншот показываю захват пакета в Wireshark

Рисунок 1. Просмотр перехваченного пакета в Wireshark

Обнюхивание пакетов можно сравнить с спелеологией — зайти в пещеру и прогуляться по ней. Люди, которые используют Wireshark в сети, похожи на тех, кто использует фонарики, чтобы увидеть, какие интересные вещи они могут найти. В конце концов, используя Wireshark с сетевым подключением (или фонариком в пещере), вы эффективно используете инструмент для поиска в туннелях и трубах, чтобы увидеть то, что вы можете увидеть.

Для чего используется Wireshark?

Wireshark можно использовать во многих областях, в том числе для устранения неполадок в сетях с проблемами производительности. Специалисты по кибербезопасности часто используют Wireshark для отслеживания соединений, просмотра содержимого подозрительных сетевых транзакций и выявления всплесков сетевого трафика. Это важная часть набора инструментов любого ИТ-специалиста, и, надеюсь, у ИТ-специалиста есть знания, чтобы им пользоваться.

Когда следует использовать Wireshark?

Wireshark – это безопасный инструмент, используемый государственными учреждениями, учебными заведениями, корпорациями, малым бизнесом и некоммерческими организациями для устранения неполадок в сети. Кроме того, Wireshark можно использовать в качестве учебного пособия.

Новики в области информационной безопасности могут использовать Wireshark в качестве инструмента для анализа сетевого трафика, понимания того, как происходит обмен данными, когда задействованы определенные протоколы, и где возникают ошибки при возникновении определенных проблем.

Конечно, Wireshark не может делать все.

Во-первых, это не поможет пользователю, который плохо разбирается в сетевых протоколах. Никакой инструмент, каким бы крутым он ни был, хорошо не заменит знания. Другими словами, чтобы правильно использовать Wireshark, вам нужно точно знать, как работает сеть. Это означает, что вам необходимо понимать такие вещи, как трехстороннее рукопожатие TCP и различные протоколы, включая TCP, UDP, DHCP и ICMP.

Во-вторых, Wireshark не может перехватывать трафик со всех других систем в сети в обычных условиях. В современных сетях, в которых используются устройства, называемые коммутаторами, Wireshark (или любой другой стандартный инструмент для перехвата пакетов) может перехватывать трафик только между вашим локальным компьютером и удаленной системой, с которой он общается.

В-третьих, несмотря на то, что Wireshark может отображать пакеты с искаженным форматом и применять цветовое кодирование, у него нет настоящих предупреждений; Wireshark не является системой обнаружения вторжений (IDS).

В-четвертых, Wireshark не может помочь с расшифровкой зашифрованного трафика.

И, наконец, пакеты IPv4 довольно легко подделать. Wireshark не может точно сказать вам, является ли конкретный IP-адрес, найденный в захваченном пакете, реальным или нет. Это требует дополнительных знаний от ИТ-специалиста, а также дополнительного программного обеспечения.

Распространенные варианты использования Wireshark

Вот распространенный пример того, как захват Wireshark может помочь в выявлении проблемы. На рисунке ниже показана проблема в домашней сети, где подключение к Интернету было очень медленным.

Как показано на рисунке, маршрутизатор решил, что общий пункт назначения недоступен. Это было обнаружено путем детализации трафика протокола управления сообщениями в Интернете (ICMP) IPv6, который отмечен черным цветом. В Wireshark считается, что любой пакет, помеченный черным цветом, отражает какую-то проблему.

Снимок экрана, показывающий, как чтобы углубиться в пакет, чтобы определить сетевую проблему с помощью Wireshark

Рис. 2. Детализация пакета для выявления проблемы в сети с помощью Wireshark

В этом случае программа Wireshark помогла определить, что маршрутизатор работает неправильно и не может легко найти YouTube. Проблема решилась перезапуском кабельного модема. Конечно, несмотря на то, что эта конкретная проблема не требовала использования Wireshark, было бы неплохо авторитетно решить проблему.

Если вы еще раз взглянете на нижнюю часть рис. 2, то увидите, что выделен конкретный пакет. Это показывает внутреннюю часть TCP-пакета, который является частью диалога безопасности транспортного уровня (TLS). Это отличный пример того, как можно детализировать захваченный пакет.

Использование Wireshark не позволяет вам читать зашифрованное содержимое пакета, но вы можете определить версию TLS, которую браузер и YouTube используют для шифрования. Интересно, что во время прослушивания шифрование переключилось на TLS версии 1.2.

Wireshark часто используется для выявления более сложных сетевых проблем. Например, если в сети происходит слишком много повторных передач, может возникнуть перегрузка. Используя Wireshark, вы можете определить конкретные проблемы с повторной передачей, как показано ниже на рис. 3.

Скриншот, показывающий, как просмотреть статистику потока пакетов в Wireshark

Рисунок 3. Просмотр статистики потока пакетов с помощью Wireshark для выявления повторных передач

Подтвердив этот тип проблемы, вы сможете перенастроить маршрутизатор или переключиться для ускорения трафика.

Как использовать Wireshark

Как установить Wireshark в Windows

Если вы используете операционную систему Windows, загрузите версию, соответствующую вашей конкретной версии. Например, если вы используете Windows 10, вы должны взять 64-битный установщик Windows и следовать указаниям мастера для установки. Для установки вам потребуются права администратора.

Как установить Wireshark в Linux

Если у вас есть система Linux, вы должны установить Wireshark, используя следующую последовательность (обратите внимание, что вам потребуются права root):

$ sudo apt-get установить wireshark

$ sudo dpkg-reconfigure wireshark-common

$ sudo usermod -a -G wireshark $USER

Выполнив вышеуказанные шаги, выйдите из системы и войдите снова, а затем запустите Wireshark:

Как перехватывать пакеты с помощью Wireshark

После того как вы установили Wireshark, вы можете начать перехватывать сетевой трафик. Но помните: для перехвата любых пакетов у вас должны быть соответствующие разрешения на вашем компьютере, чтобы перевести Wireshark в неразборчивый режим.

    • В системе Windows это обычно означает, что у вас есть права администратора.
    • В системе Linux это обычно означает наличие root-доступа.

    Если у вас есть необходимые разрешения, у вас есть несколько способов начать захват. Возможно, лучше всего выбрать Capture >> Options в главном окне. Откроется окно Capture Interfaces, как показано ниже на рисунке 4.

    Скриншот отображение диалогового окна захвата интерфейсов в Wireshark

    Рис. 4. Диалоговое окно Capture Interfaces в Wireshark

    В этом окне будут перечислены все доступные интерфейсы. В этом случае Wireshark предлагает несколько вариантов на выбор.

    Для этого примера мы выберем интерфейс Ethernet 3, который является наиболее активным интерфейсом. Wireshark визуализирует трафик, показывая движущуюся линию, которая представляет пакеты в сети.

    Выбрав сетевой интерфейс, вы просто нажимаете кнопку «Старт», чтобы начать захват. Когда начинается захват, можно просматривать пакеты, которые появляются на экране, как показано на рисунке 5 ниже.

    Снимок экрана, показывающий Wireshark захват пакетов

    Рисунок 5. Wireshark перехватывает пакеты

    После захвата всех нужных пакетов просто нажмите красную квадратную кнопку вверху. Теперь у вас есть захват статического пакета для исследования.

    Что означает цветовое кодирование в Wireshark

    Теперь, когда у вас есть несколько пакетов, пришло время выяснить, что они означают. Wireshark пытается помочь вам идентифицировать типы пакетов, применяя цветовое кодирование здравого смысла. В таблице ниже описаны цвета по умолчанию для основных типов пакетов.

    Читайте также: