Paano Magbasa ng Mga Packet sa Wireshark

Para sa maraming eksperto sa IT, ang Wireshark ay ang go-to tool para sa network packet analysis. Binibigyang-daan ka ng open-source na software na masusing suriin ang nakalap na data at matukoy ang ugat ng problema nang may pinahusay na katumpakan. Higit pa rito, gumagana ang Wireshark sa real-time at gumagamit ng color-coding upang ipakita ang mga nakuhang packet, bukod sa iba pang magagandang mekanismo.

Paano Magbasa ng Mga Packet sa Wireshark

Sa tutorial na ito, ipapaliwanag namin kung paano kumuha, magbasa, at mag-filter ng mga packet gamit ang Wireshark. Sa ibaba, mahahanap mo ang sunud-sunod na mga tagubilin at mga breakdown ng mga pangunahing function ng pagsusuri sa network. Kapag natutunan mo na ang mga pangunahing hakbang na ito, magagawa mong suriin ang daloy ng trapiko ng iyong network at i-troubleshoot ang mga problema nang mas mahusay.

Pagsusuri ng mga Packet

Kapag nakuha na ang mga packet, inaayos ng Wireshark ang mga ito sa isang detalyadong pane ng listahan ng packet na napakadaling basahin. Kung gusto mong ma-access ang impormasyon tungkol sa isang pakete, ang kailangan mo lang gawin ay hanapin ito sa listahan at i-click. Maaari mo ring palawakin ang puno upang ma-access ang mga detalye ng bawat protocol na nasa loob ng packet.

Para sa isang mas kumpletong pangkalahatang-ideya, maaari mong ipakita ang bawat nakuhang packet sa isang hiwalay na window. Narito kung paano:

  1. Piliin ang packet mula sa listahan gamit ang iyong cursor, pagkatapos ay i-right-click.

  2. Buksan ang tab na "View" mula sa toolbar sa itaas.

  3. Piliin ang "Ipakita ang Packet sa Bagong Window" mula sa drop-down na menu.

Tandaan: Mas madaling paghambingin ang mga na-capture na packet kung dadalhin mo ang mga ito sa magkahiwalay na window.

Tulad ng nabanggit, ang Wireshark ay gumagamit ng isang color-coding system para sa visualization ng data. Ang bawat packet ay minarkahan ng ibang kulay na kumakatawan sa iba't ibang uri ng trapiko. Halimbawa, ang trapiko ng TCP ay karaniwang naka-highlight ng asul, habang ang itim ay ginagamit upang ipahiwatig ang mga packet na naglalaman ng mga error.

Siyempre, hindi mo kailangang kabisaduhin ang kahulugan sa likod ng bawat kulay. Sa halip, maaari mong suriin sa lugar:

  1. Mag-right-click sa packet na nais mong suriin.

  2. Piliin ang tab na "Tingnan" mula sa toolbar sa tuktok ng screen.

  3. Piliin ang "Mga Panuntunan sa Pangkulay" mula sa drop-down na panel.

Makikita mo ang opsyon para i-customize ang colorization ayon sa gusto mo. Gayunpaman, kung gusto mo lang baguhin ang mga panuntunan sa pangkulay pansamantala, sundin ang mga hakbang na ito:

  1. Mag-right-click sa packet sa pane ng packet list.
  2. Mula sa listahan ng mga opsyon, piliin ang "Kulayan Gamit ang Filter."

  3. Piliin ang kulay na gusto mong lagyan ng label.

Numero

Ipapakita sa iyo ng pane ng packet list ang eksaktong bilang ng mga nakuhang bits ng data. Dahil ang mga packet ay nakaayos sa ilang mga column, medyo madali itong bigyang-kahulugan. Ang mga default na kategorya ay:

  • Hindi. (Numero): Gaya ng nabanggit, mahahanap mo ang eksaktong bilang ng mga nakuhang packet sa column na ito. Ang mga digit ay mananatiling pareho kahit na matapos i-filter ang data.
  • Oras: Tulad ng maaaring nahulaan mo, ang timestamp ng packet ay ipinapakita dito.
  • Source: Ipinapakita nito kung saan nagmula ang packet.
  • Destinasyon: Ipinapakita nito ang lugar kung saan itatago ang packet.
  • Protocol: Ipinapakita nito ang pangalan ng protocol, karaniwang sa isang pagdadaglat.
  • Haba: Ipinapakita nito ang bilang ng mga byte na nakapaloob sa nakuhang packet.
  • Impormasyon: Kasama sa column ang anumang karagdagang impormasyon tungkol sa isang partikular na packet.

Oras

Habang sinusuri ng Wireshark ang trapiko sa network, ang bawat nakuhang pakete ay naselyohan ng oras. Ang mga timestamp ay isinama sa pane ng listahan ng packet at magagamit para sa inspeksyon sa ibang pagkakataon.

Ang Wireshark ay hindi gumagawa ng mga timestamp mismo. Sa halip, kinukuha sila ng tool ng analyzer mula sa library ng Npcap. Gayunpaman, ang pinagmulan ng timestamp ay talagang ang kernel. Iyon ang dahilan kung bakit maaaring mag-iba ang katumpakan ng timestamp sa bawat file.

Maaari mong piliin ang format kung saan ipapakita ang mga timestamp sa listahan ng packet. Bilang karagdagan, maaari mong itakda ang ginustong katumpakan o bilang ng mga decimal na lugar na ipinapakita. Bukod sa default na setting ng katumpakan, mayroon ding:

  • Segundo
  • Ikasampu ng isang segundo
  • Daan-daang segundo
  • Milliseconds
  • Microseconds
  • Nanoseconds

Pinagmulan

Gaya ng ipinahihiwatig ng pangalan, ang pinagmulan ng packet ay ang lugar ng pinagmulan. Kung gusto mong makuha ang source code ng isang Wireshark repository, maaari mong i-download ito sa pamamagitan ng paggamit ng isang Git client. Gayunpaman, ang pamamaraan ay nangangailangan sa iyo na magkaroon ng isang GitLab account. Posibleng gawin ito nang walang isa, ngunit mas mabuting mag-sign up kung sakali.

Kapag nakapagrehistro ka na ng account, sundin ang mga hakbang na ito:

  1. Tiyaking gumagana ang Git sa pamamagitan ng paggamit ng command na ito: “$ git -–bersyon.

  2. I-double check kung naka-configure ang iyong email address at username.
  3. Susunod, gumawa ng isang clone ng pinagmulan ng Workshark. Gamitin ang "$ git clone -o upstream [email protected] : wireshark/wireshark.git” SSH URL para gawin ang kopya.
  4. Kung wala kang GitLab account, subukan ang HTTPS URL: “$ git clone -o upstream //gitlab.com/wireshark/wireshark.git.

Ang lahat ng mga mapagkukunan ay kokopyahin sa iyong device. Tandaan na maaaring magtagal ang pag-clone, lalo na kung mayroon kang mabagal na koneksyon sa network.

Patutunguhan

Kung gusto mong malaman ang IP address ng patutunguhan ng isang partikular na packet, maaari mong gamitin ang display filter upang mahanap ito. Narito kung paano:

  1. Ipasok ang "ip.addr == 8.8.8.8” sa Wireshark “Filter Box.” Pagkatapos, i-click ang "Enter."

  2. Ire-reconfigure lang ang pane ng packet list para ipakita ang destinasyon ng packet. Hanapin ang IP address kung saan ka interesado sa pamamagitan ng pag-scroll sa listahan.

  3. Kapag tapos ka na, piliin ang "I-clear" mula sa toolbar upang muling i-configure ang pane ng listahan ng packet.

Protocol

Ang protocol ay isang patnubay na tumutukoy sa paghahatid ng data sa pagitan ng iba't ibang device na nakakonekta sa parehong network. Ang bawat Wireshark packet ay naglalaman ng isang protocol, at maaari mo itong ilabas sa pamamagitan ng paggamit ng display filter. Narito kung paano:

  1. Sa tuktok ng window ng Wireshark, mag-click sa dialog box na "Filter".
  2. Ilagay ang pangalan ng protocol na gusto mong suriin. Karaniwan, ang mga pamagat ng protocol ay nakasulat sa maliliit na titik.
  3. I-click ang “Enter” o “Apply” para paganahin ang display filter.

Ang haba

Ang haba ng isang Wireshark packet ay tinutukoy ng bilang ng mga byte na nakuha sa partikular na snippet ng network na iyon. Ang numerong iyon ay karaniwang tumutugma sa bilang ng mga raw data byte na nakalista sa ibaba ng window ng Wireshark.

Kung gusto mong suriin ang distribusyon ng mga haba, buksan ang window na "Packet Lengths". Ang lahat ng impormasyon ay nahahati sa mga sumusunod na column:

  • Mga haba ng pakete
  • Bilangin
  • Katamtaman
  • Min Val/Max Val
  • Rate
  • Porsiyento
  • rate ng pagsabog
  • Pagsisimula ng pagsabog

Impormasyon

Kung mayroong anumang mga anomalya o katulad na mga item sa loob ng isang partikular na nakuhang packet, mapapansin ito ng Wireshark. Ang impormasyon ay ipapakita sa pane ng listahan ng packet para sa karagdagang pagsusuri. Sa ganoong paraan, magkakaroon ka ng malinaw na larawan ng hindi tipikal na pag-uugali ng network, na magreresulta sa mas mabilis na mga reaksyon.

Mga karagdagang FAQ

Paano ko mapi-filter ang packet data?

Ang pag-filter ay isang mahusay na feature na nagbibigay-daan sa iyong tingnan ang mga detalye ng isang partikular na sequence ng data. Mayroong dalawang uri ng mga filter ng Wireshark: pagkuha at pagpapakita. Ang mga filter ng pagkuha ay naroroon upang paghigpitan ang pagkuha ng packet upang umangkop sa mga partikular na pangangailangan. Sa madaling salita, maaari kang magsala sa iba't ibang uri ng trapiko sa pamamagitan ng paglalapat ng isang filter ng pagkuha. Gaya ng ipinahihiwatig ng pangalan, ang mga display filter ay nagbibigay-daan sa iyo na mahasa ang isang partikular na elemento ng packet, mula sa haba ng packet hanggang sa protocol.

Ang paglalapat ng filter ay isang medyo tapat na proseso. Maaari mong i-type ang pamagat ng filter sa dialog box sa tuktok ng window ng Wireshark. Bilang karagdagan, kadalasang awtomatikong kukumpleto ng software ang pangalan ng filter.

Bilang kahalili, kung gusto mong magsuklay sa mga default na filter ng Wireshark, gawin ang sumusunod:

1. Buksan ang tab na "Analyze" sa toolbar sa tuktok ng window ng Wireshark.

2. Mula sa drop-down na listahan, piliin ang "Display Filter."

3. Mag-browse sa listahan at i-click ang gusto mong i-apply.

Sa wakas, narito ang ilang karaniwang mga filter ng Wireshark na maaaring magamit:

• Upang tingnan lamang ang pinagmulan at patutunguhang IP address, gamitin ang: “ip.src==IP-address at ip.dst==IP-address

• Upang tingnan lamang ang trapiko ng SMTP, i-type ang: “tcp.port eq 25

• Upang makuha ang lahat ng trapiko sa subnet, ilapat ang: “net 192.168.0.0/24

• Upang makuha ang lahat maliban sa trapiko ng ARP at DNS, gamitin ang: “port hindi 53 at hindi arp

Paano ko kukunan ang packet data sa Wireshark?

Kapag na-download mo na ang Wireshark sa iyong device, maaari mong simulan ang pagsubaybay sa iyong koneksyon sa network. Upang makuha ang mga data packet para sa isang komprehensibong pagsusuri, narito ang kailangan mong gawin:

1. Ilunsad ang Wireshark. Makakakita ka ng listahan ng mga available na network, kaya mag-click sa isa na gusto mong suriin. Maaari ka ring maglapat ng capture filter kung gusto mong matukoy ang uri ng trapiko.

2. Kung gusto mong suriin ang maraming network, gamitin ang kontrol na “shift + left-click”.

3. Susunod, mag-click sa dulong kaliwang icon ng shark-fin sa toolbar sa itaas.

4. Maaari mo ring simulan ang pagkuha sa pamamagitan ng pag-click sa tab na “Capture” at pagpili sa “Start” mula sa drop-down list.

5. Ang isa pang paraan upang gawin ito ay ang paggamit ng "Control - E" na keystroke.

Habang kinukuha ng software ang data, makikita mo itong lalabas sa pane ng packet list sa real-time.

Shark Byte

Habang ang Wireshark ay isang mataas na advanced na network analyzer, nakakagulat na madaling bigyang-kahulugan. Ang pane ng packet list ay lubos na komprehensibo at maayos. Ang lahat ng impormasyon ay ibinahagi sa pitong magkakaibang kulay at minarkahan ng malinaw na mga code ng kulay.

Higit pa rito, ang open-source na software ay may kasamang napakaraming madaling naaangkop na mga filter na nagpapadali sa pagsubaybay. Sa pamamagitan ng pagpapagana ng capture filter, matutukoy mo kung anong uri ng trapiko ang gusto mong suriin ng Wireshark. At sa sandaling makuha ang data, maaari kang maglapat ng ilang mga filter ng display para sa mga tinukoy na paghahanap. Sa kabuuan, ito ay isang napakahusay na mekanismo na hindi masyadong mahirap na makabisado.

Gumagamit ka ba ng Wireshark para sa pagtatasa ng network? Ano sa palagay mo ang pagpapaandar ng pagsasala? Ipaalam sa amin sa mga komento sa ibaba kung mayroong isang kapaki-pakinabang na tampok na pagsusuri ng packet na aming nilaktawan.