Principal Rețele Cum să citiți pachetele în Wireshark

Cum să citiți pachetele în Wireshark



Pentru mulți experți IT, Wireshark este instrumentul de bază pentru analiza pachetelor de rețea. Software-ul open-source vă permite să examinați îndeaproape datele adunate și să determinați rădăcina problemei cu o precizie îmbunătățită. În plus, Wireshark funcționează în timp real și utilizează coduri de culori pentru a afișa pachetele capturate, printre alte mecanisme ingenioase.

Cum să citiți pachetele în Wireshark

În acest tutorial, vom explica cum să capturați, citiți și filtrați pachetele folosind Wireshark. Mai jos, veți găsi instrucțiuni pas cu pas și defalcări ale funcțiilor de bază de analiză a rețelei. Odată ce stăpânești acești pași fundamentali, vei putea inspecta fluxul de trafic al rețelei tale și vei remedia problemele cu mai multă eficiență.

Analizarea pachetelor

Odată ce pachetele sunt capturate, Wireshark le organizează într-un panou cu listă de pachete detaliată, care este incredibil de ușor de citit. Dacă doriți să accesați informațiile referitoare la un singur pachet, tot ce trebuie să faceți este să îl localizați în listă și să dați clic. De asemenea, puteți extinde și mai mult arborele pentru a accesa detaliile fiecărui protocol conținut în pachet.

Pentru o imagine de ansamblu mai cuprinzătoare, puteți afișa fiecare pachet capturat într-o fereastră separată. Iată cum:

cum să descărcați toate fotografiile de pe Facebook simultan
  1. Selectați pachetul din listă cu cursorul, apoi faceți clic dreapta.
  2. Deschideți fila Vizualizare din bara de instrumente de mai sus.
  3. Selectați Afișare pachet în fereastră nouă din meniul derulant.

Notă: este mult mai ușor să comparați pachetele capturate dacă le afișați în ferestre separate.

După cum sa menționat, Wireshark folosește un sistem de codare a culorilor pentru vizualizarea datelor. Fiecare pachet este marcat cu o culoare diferită care reprezintă diferite tipuri de trafic. De exemplu, traficul TCP este de obicei evidențiat cu albastru, în timp ce negru este folosit pentru a indica pachetele care conțin erori.

Desigur, nu trebuie să memorați semnificația din spatele fiecărei culori. În schimb, puteți verifica la fața locului:

  1. Faceți clic dreapta pe pachetul pe care doriți să îl examinați.
  2. Selectați fila Vizualizare din bara de instrumente din partea de sus a ecranului.
  3. Alegeți Reguli de colorare din panoul derulant.

Veți vedea opțiunea de a personaliza colorarea după bunul plac. Cu toate acestea, dacă doriți să schimbați doar temporar regulile de colorare, urmați acești pași:

  1. Faceți clic dreapta pe pachet din panoul listei de pachete.
  2. Din lista de opțiuni, selectați Colorare cu filtru.
  3. Alege culoarea cu care vrei să-l etichetezi.

Număr

Panoul cu lista de pachete vă va afișa numărul exact de biți de date capturați. Deoarece pachetele sunt organizate în mai multe coloane, este destul de ușor de interpretat. Categoriile implicite sunt:

  • Nr. (Număr): După cum sa menționat, puteți găsi numărul exact de pachete capturate în această coloană. Cifrele vor rămâne aceleași chiar și după filtrarea datelor.
  • Ora: După cum probabil ați ghicit, marca de timp a pachetului este afișată aici.
  • Sursa: Arată de unde provine pachetul.
  • Destinație: arată locul unde va fi păstrat pachetul.
  • Protocol: Afișează numele protocolului, de obicei într-o abreviere.
  • Lungime: arată numărul de octeți conținut în pachetul capturat.
  • Informații: coloana include orice informații suplimentare despre un anumit pachet.

Timp

Pe măsură ce Wireshark analizează traficul de rețea, fiecare pachet capturat este marcat cu ora. Marcajele de timp sunt apoi incluse în panoul listei de pachete și disponibile pentru inspecție ulterioară.

Wireshark nu creează marcajele temporale în sine. În schimb, instrumentul de analiză le obține din biblioteca Npcap. Cu toate acestea, sursa marcajului de timp este de fapt nucleul. De aceea, acuratețea marcajului de timp poate varia de la fișier la fișier.

Puteți alege formatul în care vor fi afișate marcajele de timp în lista de pachete. În plus, puteți seta precizia preferată sau numărul de zecimale care sunt afișate. În afară de setarea implicită de precizie, există și:

  • secunde
  • Zecimi de secundă
  • Sutimi de secundă
  • Milisecunde
  • Microsecunde
  • Nanosecunde

Sursă

După cum sugerează și numele, sursa pachetului este locul de origine. Dacă doriți să obțineți codul sursă al unui depozit Wireshark, îl puteți descărca folosind un client Git. Cu toate acestea, metoda necesită să aveți un cont GitLab. Este posibil să o faci fără unul, dar este mai bine să te înscrii pentru orice eventualitate.

După ce ați înregistrat un cont, urmați acești pași:

  1. Asigurați-vă că Git este funcțional folosind această comandă: |_+_|
  2. Verificați de două ori dacă adresa dvs. de e-mail și numele de utilizator sunt configurate.
  3. Apoi, faceți o clonă a sursei Workshark. Folosiți |_+_| URL SSH pentru a face copia.
  4. Dacă nu aveți un cont GitLab, încercați adresa URL HTTPS: |_+_|

Toate sursele vor fi ulterior copiate pe dispozitivul dvs. Rețineți că clonarea poate dura ceva timp, mai ales dacă aveți o conexiune la rețea lenta.

Destinaţie

Dacă doriți să aflați adresa IP a destinației unui anumit pachet, puteți utiliza filtrul de afișare pentru a o localiza. Iată cum:

  1. Introdu |_+_| în cutia de filtru Wireshark. Apoi, faceți clic pe Enter.
  2. Panoul listei de pachete va fi reconfigurat doar pentru a afișa destinația pachetului. Găsiți adresa IP care vă interesează derulând prin listă.
  3. După ce ați terminat, selectați Ștergeți din bara de instrumente pentru a reconfigura panoul listei de pachete.

Protocol

Un protocol este un ghid care determină transmisia de date între diferite dispozitive care sunt conectate la aceeași rețea. Fiecare pachet Wireshark conține un protocol și îl puteți afișa folosind filtrul de afișare. Iată cum:

  1. În partea de sus a ferestrei Wireshark, faceți clic pe caseta de dialog Filtru.
  2. Introduceți numele protocolului pe care doriți să îl examinați. De obicei, titlurile de protocol sunt scrise cu litere mici.
  3. Faceți clic pe Enter sau Apply pentru a activa filtrul de afișare.

Lungime

Lungimea unui pachet Wireshark este determinată de numărul de octeți capturați în acel fragment de rețea. Acest număr corespunde de obicei cu numărul de octeți de date brute listat în partea de jos a ferestrei Wireshark.

Dacă doriți să examinați distribuția lungimii, deschideți fereastra Lungimi pachet. Toate informațiile sunt împărțite în următoarele coloane:

  • Lungimile pachetelor
  • Numara
  • In medie
  • Val min / Val max
  • Rată
  • La sută
  • Rata de explozie
  • Pornire în explozie

Info

Dacă există anomalii sau articole similare într-un anumit pachet capturat, Wireshark le va nota. Informațiile vor fi apoi afișate în panoul cu lista de pachete pentru o examinare ulterioară. În acest fel, veți avea o imagine clară a comportamentului atipic al rețelei, care va duce la reacții mai rapide.

Întrebări frecvente suplimentare

Cum pot filtra pachetele de date?

Filtrarea este o caracteristică eficientă care vă permite să analizați specificul unei anumite secvențe de date. Există două tipuri de filtre Wireshark: captură și afișare. Filtrele de captare sunt acolo pentru a restricționa capturarea pachetelor pentru a se potrivi cerințelor specifice. Cu alte cuvinte, puteți parcurge diferite tipuri de trafic prin aplicarea unui filtru de captură. După cum sugerează și numele, filtrele de afișare vă permit să vă concentrați asupra unui anumit element al pachetului, de la lungimea pachetului la protocol.

Aplicarea unui filtru este un proces destul de simplu. Puteți introduce titlul filtrului în caseta de dialog din partea de sus a ferestrei Wireshark. În plus, software-ul va completa de obicei automat numele filtrului.

Alternativ, dacă doriți să parcurgeți filtrele Wireshark implicite, faceți următoarele:

1. Deschideți fila Analiză din bara de instrumente din partea de sus a ferestrei Wireshark.

eliminați anunțurile pop-up de pe telefonul Android

2. Din lista verticală, selectați Filtru de afișare.

3. Răsfoiți lista și faceți clic pe cea pe care doriți să o aplicați.

În cele din urmă, iată câteva filtre Wireshark comune care pot fi utile:

• Pentru a vizualiza numai adresa IP sursă și destinație, utilizați: |_+_|

• Pentru a vizualiza numai traficul SMTP, tastați: |_+_|

• Pentru a capta tot traficul de subrețea, aplicați: |_+_|

• Pentru a captura totul, cu excepția traficului ARP și DNS, utilizați: |_+_|

Cum capturez pachetele de date în Wireshark?

După ce ați descărcat Wireshark pe dispozitiv, puteți începe să vă monitorizați conexiunea la rețea. Pentru a captura pachete de date pentru o analiză cuprinzătoare, iată ce trebuie să faceți:

1. Lansați Wireshark. Veți vedea o listă de rețele disponibile, așa că faceți clic pe cea pe care doriți să o examinați. De asemenea, puteți aplica un filtru de captură dacă doriți să identificați tipul de trafic.

2. Dacă doriți să inspectați mai multe rețele, utilizați controlul Shift + clic stânga.

3. Apoi, faceți clic pe pictograma înotătoare de rechin din extrema stângă din bara de instrumente de mai sus.

4. De asemenea, puteți începe captura făcând clic pe fila Captură și selectând Start din lista derulantă.

5. O altă modalitate de a face acest lucru este să utilizați controlul – apăsarea tastei E.

Pe măsură ce software-ul preia datele, le veți vedea care apar în panoul listei de pachete în timp real.

Shark Byte

În timp ce Wireshark este un analizor de rețea foarte avansat, este surprinzător de ușor de interpretat. Panoul listei de pachete este extrem de cuprinzător și bine organizat. Toate informațiile sunt distribuite în șapte culori diferite și marcate cu coduri de culoare clare.

În plus, software-ul open-source vine cu o mulțime de filtre ușor de aplicat care facilitează monitorizarea. Prin activarea unui filtru de captură, puteți identifica tipul de trafic pe care doriți să îl analizeze Wireshark. Și odată ce datele sunt preluate, puteți aplica mai multe filtre de afișare pentru căutările specificate. Una peste alta, este un mecanism extrem de eficient, care nu este prea greu de stăpânit.

Folosiți Wireshark pentru analiza rețelei? Ce parere aveti de functia de filtrare? Spuneți-ne în comentariile de mai jos dacă există o funcție utilă de analiză a pachetelor pe care am omis-o.

Articole Interesante

Cum să redați YouTube cu telefonul blocat

Cum să redați YouTube cu telefonul blocat

Activați Classic Edge și Edge Chromium care rulează unul lângă altul

Activați Classic Edge și Edge Chromium care rulează unul lângă altul

Alegerea Editorului

Microsoft actualizează aplicația Store Remote Desktop Store cu funcții noi
Microsoft actualizează aplicația Store Remote Desktop Store cu funcții noi
Pe lângă aplicația clasică Desktop la distanță (mstsc.exe), Windows 10 include o aplicație modernă, numită pur și simplu „Microsoft Remote App”. Este o aplicație UWP care primește actualizări de la Microsoft Store. Cu câteva zile în urmă, aplicația a primit o revizuire majoră a caracteristicilor, aducând câteva caracteristici utile utilizatorului final. Microsoft descrie
Microsoft achiziționează ZeniMax Media împreună cu Bethesda, id, Arkane și alte studiouri
Microsoft achiziționează ZeniMax Media împreună cu Bethesda, id, Arkane și alte studiouri
ZeniMax Media este o companie care deține bine-cunoscute studiouri de jocuri Bethesda, id Software, Arkane și alte studiouri care au creat o mulțime de jocuri populare. Lista completă include Bethesda Softworks, Bethesda Game Studios, id Software, ZeniMax Online Studios, Arkane, MachineGames, Tango Gameworks, Alpha Dog și Roundhouse Studios. Acordul costă Microsoft 7,5 miliarde de dolari. Acolo
Vechiul tău colț este pe cale să devină și mai învechit
Vechiul tău colț este pe cale să devină și mai învechit
Trei modele mai vechi ale liniei de cititoare electronice Barnes and Noble Nook sunt programate să-și piardă capacitatea de a cumpăra cărți noi începând cu iunie 2024: SimpleTouch, SimpleTouch GlowLight și GlowLight.
Descărcați Windows 10 Versiunea 1809 Imagini ISO oficiale
Descărcați Windows 10 Versiunea 1809 Imagini ISO oficiale
Iată cum puteți descărca Windows 10 octombrie 2018 Actualizați versiunea 1809 RTM Build 16773 Images ISO oficiale pentru a instala această versiune de la zero.
Cum să depanați o imprimantă care deconectează în Windows 10
Cum să depanați o imprimantă care deconectează în Windows 10
Imprimantele din rețea trebuiau să ușureze viața lucrătorilor de birou - să tipărească de oriunde până oriunde, fără probleme cu serverele de tipărire sau punerea documentelor pe suporturi amovibile și transportarea acestora către o stație de tipărire. Totuși, așa cum au făcut lucrurile
Arhive de categorii: Teme Windows 8
Arhive de categorii: Teme Windows 8
Găsiți modelul plăcii de bază în Linux
Găsiți modelul plăcii de bază în Linux
În Linux, puteți vedea informații despre placa de bază instalată în PC folosind linia de comandă. Se poate face cu o singură comandă.