Hur man läser paket i Wireshark

Home, Internet, Networking

För många IT-experter är Wireshark det bästa verktyget för analys av nätverkspaket. Programvaran med öppen källkod gör det möjligt för dig att noggrant undersöka den insamlade informationen och fastställa roten till problemet med förbättrad noggrannhet. Dessutom fungerar Wireshark i realtid och använder färgkodning för att visa de fångade paketen, bland andra fiffiga mekanismer.

Hur man läser paket i Wireshark

I den här handledningen kommer vi att förklara hur man fångar, läser och filtrerar paket med Wireshark. Nedan hittar du steg-för-steg-instruktioner och uppdelningar av de grundläggande nätverksanalysfunktionerna. När du behärskar dessa grundläggande steg kommer du att kunna inspektera trafikflödet i ditt nätverk och felsöka problem med mer effektivitet.

Analysera paket

När paketen har fångats, organiserar Wireshark dem i en detaljerad paketlista som är otroligt lätt att läsa. Om du vill komma åt informationen om ett enstaka paket behöver du bara hitta det i listan och klicka. Du kan också utöka trädet ytterligare för att komma åt detaljerna för varje protokoll som finns i paketet.

För en mer omfattande översikt kan du visa varje fångat paket i ett separat fönster. Här är hur:

  1. Välj paketet från listan med markören och högerklicka sedan.
  2. Öppna fliken ”Visa” från verktygsfältet ovan.
  3. Välj ”Visa paket i nytt fönster” från rullgardinsmenyn.

Obs: Det är mycket lättare att jämföra de fångade paketen om du tar upp dem i separata fönster.

Som nämnts använder Wireshark ett färgkodningssystem för datavisualisering. Varje paket är märkt med en annan färg som representerar olika typer av trafik. Till exempel är TCP-trafik vanligtvis markerad med blått, medan svart används för att indikera paket som innehåller fel.

Naturligtvis behöver du inte memorera innebörden bakom varje färg. Istället kan du kolla på plats:

  1. Högerklicka på paketet du vill granska.
  2. Välj fliken ”Visa” i verktygsfältet högst upp på skärmen.
  3. Välj ”Färgregler” från rullgardinsmenyn.

Du kommer att se alternativet att anpassa färgsättningen efter dina önskemål. Men om du bara vill ändra färgreglerna tillfälligt, följ dessa steg:

  1. Högerklicka på paketet i paketlistan.
  2. Välj ”Färgsätt med filter” i listan med alternativ.
  3. Välj den färg som du vill märka den med.

siffra

Paketlistrutan visar dig det exakta antalet infångade databitar. Eftersom paketen är organiserade i flera kolumner är det ganska lätt att tolka. Standardkategorierna är:

  • Nr. (Antal): Som nämnts kan du hitta det exakta antalet fångade paket i den här kolumnen. Siffrorna förblir desamma även efter att data har filtrerats.
  • Tid: Som du kanske gissat visas paketets tidsstämpel här.
  • Källa: Den visar var paketet har sitt ursprung.
  • Destination: Den visar platsen där paketet kommer att förvaras.
  • Protokoll: Det visar namnet på protokollet, vanligtvis i en förkortning.
  • Längd: Det visar antalet byte som finns i det fångade paketet.
  • Info: Kolumnen innehåller all ytterligare information om ett visst paket.

Tid

När Wireshark analyserar nätverkstrafiken, tidsstämplas varje fångat paket. Tidsstämplarna inkluderas sedan i paketlistrutan och är tillgängliga för senare inspektion.

Wireshark skapar inte tidsstämplarna själva. Istället hämtar analysverktyget dem från Npcap-biblioteket. Men källan till tidsstämpeln är faktiskt kärnan. Det är därför tidsstämpelns noggrannhet kan variera från fil till fil.

Du kan välja i vilket format tidsstämplarna ska visas i paketlistan. Dessutom kan du ställa in önskad precision eller antal decimaler som ska visas. Förutom standardinställningen för precision finns det också:

  • Sekunder
  • Tiondelar av en sekund
  • Hundradelar av en sekund
  • Millisekunder
  • Mikrosekunder
  • Nanosekunder

Källa

Som namnet antyder är källan till paketet ursprungsplatsen. Om du vill skaffa källkoden för ett Wireshark-förråd kan du ladda ner det genom att använda en Git-klient. Metoden kräver dock att du har ett GitLab -konto. Det är möjligt att göra det utan en, men det är bättre att registrera sig för säkerhets skull.

När du har registrerat ett konto, följ dessa steg:

  1. Se till att Git fungerar genom att använda det här kommandot: “$ git -–version.
  2. Dubbelkolla om din e-postadress och ditt användarnamn är konfigurerade.
  3. Gör sedan en klon av Workshark-källan. Använd ”$ git clone -o upstream [email protected]:wireshark/wireshark.git”SSH URL för att göra kopian.
  4. Om du inte har ett GitLab-konto, prova HTTPS URL: ”$ git clone -o upstream https://gitlab.com/wireshark/wireshark.git.

Alla källor kommer sedan att kopieras till din enhet. Tänk på att kloningen kan ta ett tag, speciellt om du har en trög nätverksanslutning.

Destination

Om du vill veta IP-adressen för ett visst pakets destination kan du använda visningsfiltret för att hitta det. Här är hur:

  1. Stiga på ”ip.addr == 8.8.8.8” i Wireshark ”Filter Box.” Klicka sedan på ”Enter”.
  2. Paketlistrutan kommer endast att omkonfigureras för att visa paketdestinationen. Hitta den IP-adress du är intresserad av genom att bläddra igenom listan.
  3. När du är klar väljer du ”Rensa” i verktygsfältet för att konfigurera om paketlistans ruta.

Protokoll

Ett protokoll är en riktlinje som bestämmer dataöverföringen mellan olika enheter som är anslutna till samma nätverk. Varje Wireshark-paket innehåller ett protokoll, och du kan ta fram det genom att använda displayfiltret. Här är hur:

  1. Högst upp i Wireshark-fönstret klickar du på dialogrutan ”Filter”.
  2. Ange namnet på det protokoll du vill undersöka. Vanligtvis skrivs protokolltitlar med små bokstäver.
  3. Klicka på ”Enter” eller ”Apply” för att aktivera visningsfiltret.

Längd

Längden på ett Wireshark -paket bestäms av antalet byte som fångas i det specifika nätverksavsnittet. Det numret motsvarar vanligtvis antalet rådatabyte som anges längst ner i Wireshark-fönstret.

Om du vill undersöka fördelningen av längder, öppna fönstret ”Packet Lengths”. All information är uppdelad i följande kolumner:

  • Pakets längder
  • Räkna
  • Genomsnitt
  • Min Val/Max Val
  • Betygsätta
  • Procent
  • Skurhastighet
  • Sprängstart

Info

Om det finns några anomalier eller liknande föremål i ett visst fångat paket kommer Wireshark att notera det. Informationen kommer sedan att visas i paketlistan för vidare granskning. På så sätt får du en tydlig bild av atypiskt nätverksbeteende, vilket kommer att resultera i snabbare reaktioner.

Ytterligare vanliga frågor

Hur kan jag filtrera paketdata?

Filtrering är en effektiv funktion som låter dig undersöka detaljerna i en viss datasekvens. Det finns två typer av Wireshark -filter: fånga och visa. Infångningsfilter är till för att begränsa paketfångningen för att passa specifika krav. Med andra ord kan du sålla bland olika typer av trafik genom att använda ett fångstfilter. Som namnet antyder låter visningsfilter dig finslipa en viss del av paketet, från paketlängd till protokoll.

Att använda ett filter är en ganska enkel process. Du kan skriva filtertiteln i dialogrutan högst upp i Wireshark-fönstret. Dessutom kompletterar programvaran vanligtvis namnet på filtret automatiskt.

Alternativt, om du vill kamma igenom standard Wireshark-filtren, gör följande:

1. Öppna fliken ”Analysera” i verktygsfältet högst upp i Wireshark -fönstret.

2. Välj ”Visningsfilter” i rullgardinsmenyn.

3. Bläddra igenom listan och klicka på den du vill använda.

Slutligen, här är några vanliga Wireshark-filter som kan vara användbara:

• För att endast visa käll- och destinations-IP-adressen, använd: ”ip.src==IP-address and ip.dst==IP-address

• För att bara visa SMTP-trafik, skriv: ”tcp.port eq 25

• För att fånga all undernätstrafik, använd: ”net 192.168.0.0/24

• För att fånga allt utom ARP- och DNS-trafiken, använd: ”port not 53 and not arp

Hur fångar jag in paketdata i Wireshark?

När du har laddat ner Wireshark till din enhet kan du börja övervaka din nätverksanslutning. För att fånga datapaket för en omfattande analys, här är vad du behöver göra:

1. Starta Wireshark. Du kommer att se en lista över tillgängliga nätverk, så klicka på det du vill undersöka. Du kan också använda ett fångstfilter om du vill identifiera typen av trafik.

2. Om du vill inspektera flera nätverk, använd ”shift + vänsterklicka”-kontrollen.

3. Klicka sedan på hajfensikonen längst till vänster i verktygsfältet ovan.

4. Du kan också starta infångningen genom att klicka på fliken ”Fånga” och välja ”Start” från rullgardinsmenyn.

5. Ett annat sätt att göra det är att använda ”Control – E” tangenttryckningen.

När programvaran tar tag i data kommer du att se den visas i paketlistan i realtid.

Shark Byte

Medan Wireshark är en mycket avancerad nätverksanalysator, är den förvånansvärt lätt att tolka. Paketlistrutan är extremt omfattande och välorganiserad. All information fördelas i sju olika färger och markeras med tydliga färgkoder.

Dessutom kommer mjukvaran med öppen källkod med en mängd lättapplicerbara filter som underlättar övervakningen. Genom att aktivera ett fångstfilter kan du peka ut vilken typ av trafik du vill att Wireshark ska analysera. Och när data väl har tagits kan du använda flera visningsfilter för specifika sökningar. Sammantaget är det en mycket effektiv mekanism som inte är alltför svår att bemästra.

Använder du Wireshark för nätverksanalys? Vad tycker du om filtreringsfunktionen? Låt oss veta i kommentarerna nedan om det finns en användbar paketanalysfunktion som vi hoppade över.

Relaterade inlägg

Lämna en kommentar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *