Wireshark jest jednym z najbardziej znanych narzędzi analizy sieci na świecie, zarówno dlatego, że jest bezpłatny, jak i dlatego, że działa dobrze i nie jest zbyt trudny w użyciu. Jego sława wynika jednak z faktu, że dzięki temu programowi możliwe jest filtrowanie, przechwytywanie i szpiegowanie pakietów i informacji, które przechodzą w sieci komputerowej .
Szpiegowanie pakietów, jak widać w ogólnym przewodniku (Wejście do chronionej sieci Wi-Fi w celu przechwytywania pakietów i szpiegowanie tego, co robisz w Internecie), pozwala odczytać każdy rodzaj informacji, który jest wyraźny w komunikacji między komputerem a Internetem.
Oznacza to, że jeśli dwie osoby są w tym samym biurze lub domu i łączą się z tą samą siecią (lub tym samym routerem), aby uzyskać dostęp do Internetu, wówczas można zobaczyć dwa komputery i z jednego urządzenia, korzystając z Wireshark, można przechwycić informacje o inne, w tym odwiedzane witryny, hasła w postaci zwykłego tekstu (w witrynach innych niż https), wiadomości e-mail, czaty itp.
Wireshark jest jednak przede wszystkim bardzo potężnym programem do analizy sieci, używanym również przez profesjonalnych techników, a następnie zobaczmy, jak z niego korzystać poważnie.
Możesz pobrać Wireshark na Windows lub Mac OS X z jego oficjalnej strony internetowej.
Jeśli używasz Linuksa lub innego systemu podobnego do UNIX, Wireshark powinien znajdować się w repozytorium oprogramowania dystrybucyjnego.
Po pobraniu i zainstalowaniu Wireshark możesz go uruchomić i musisz natychmiast wybrać odpowiedni interfejs sieciowy do analizy .
Na przykład, jeśli chcesz uzyskać ruch w sieci bezprzewodowej, kliknij kartę sieci Wi-Fi w przeciwnym razie, jeśli używana sieć jest przewodowa, musisz wybrać połączenie LAN i tak dalej.
Jak tylko wybierzesz interfejs, natychmiast zobaczysz, że każda informacja, która przechodzi przez sieć, jest widoczna na liście ciągłego przewijania.
Jeśli włączysz kontrolę w sieci współdzielonej przez wiele komputerów (np. Wi-Fi) i włączyłeś akwizycję danych w trybie promiscuous, zobaczysz również pakiety innych komputerów podłączonych do tej samej sieci .
Przejęcie w trybie rozwiązującym jest możliwe z komputera z systemem Windows tylko poprzez zainstalowanie sterowników WinPCap, które są zawarte w pakiecie instalacyjnym Wireshark.
W lewym górnym rogu możesz zatrzymać proces przechwytywania w czasie rzeczywistym i zatrzymać pobieranie ruchu.
Wireshark pokazuje przechwycone dane w różnych kolorach, aby łatwiej identyfikować typy ruchu.
Domyślnie ruch TCP jest zielony, ruch DNS jest ciemnoniebieski, ruch UDP jest jasnoniebieski; czarne to pakiety TCP z problemami.
Aby rozpocząć i sprawdzić, czy to działa, musisz upewnić się, że podczas przeglądania Internetu, otwierając kilka stron internetowych, dane i informacje są przechwytywane przez Wireshark.
Połączenia HTTP to te związane z ruchem internetowym, które mogą być najciekawsze, jeśli zamierzasz znaleźć informacje o przeglądaniu, takie jak odwiedzane strony.
Możesz również pobrać przykładowy plik do analizy w Wireshark dla
Ważne, aby nie zgubić się w morzu generowanych danych, należy stosować reguły filtrowania pakietów.
Najłatwiejszym sposobem zastosowania filtra jest wpisanie klucza wyszukiwania w polu filtru u góry okna i kliknięcie Zastosuj.
Na przykład po wpisaniu „ http ” zobaczysz tylko połączenia wykonane przez przeglądarkę w Internecie.
Każdą paczkę można sprawdzić i po prostu kliknij ją prawym przyciskiem, aby wyświetlić więcej szczegółów oraz strumień TCP lub historię wykonanych kroków (na przykład, jeśli przeszukujesz Google w poszukiwaniu innych rzeczy, możesz przejrzeć cały przepływ).
Bardziej szczegółowe filtry można zastosować z menu Analiza .
Podczas pobierania pakietów może być niewygodny i trudny do zrozumienia przepływ snortowanych danych i informacji w sieci, ponieważ wyświetlane są tylko adresy IP.
Można jednak konwertować adresy IP na nazwy domen (w przypadku ruchu http oznacza to przeglądanie nazw witryn), aktywując tę funkcję z menu Edycja -> Preferencje -> Rozpoznawanie nazw i aktywując „ Włącz rozpoznawanie nazw sieci ”.
Po włączeniu tej opcji zamiast adresów IP zobaczysz nazwy domen, ale ponieważ Wireshark będzie musiał wyszukiwać każdą nazwę domeny, żądania DNS zwiększają się, zwiększając przepływ danych.
Jeśli chcesz skonfigurować automatyczne przechwytywanie pakietów na komputerze, możesz utworzyć skrót na pulpicie, aby szybko uruchomić Wireshark.
Po utworzeniu łącza kliknij prawym przyciskiem myszy, wprowadź właściwości, a tam, gdzie jest napisane „ Miejsce docelowe ”, dodaj spację do wiersza po końcowych cudzysłowach, a następnie -i # -k .
zamiast # należy podać numer karty sieciowej do sprawdzenia, zgodnie z kolejnością podaną przez Wireshark podczas fazy wyboru.
Przechwytywanie ruchu z innych komputerów podłączonych do tej samej sieci jest być może jego najśmieszniejszym celem, który sprawia, że jesteśmy trochę hakerem na nasz własny mały sposób (jednak nie jest to takie łatwe).
Jeśli chcesz rejestrować ruch sieciowy i szpiegować informacje przechodzące przez router, serwer lub inny komputer, musisz użyć zdalnego przechwytywania Wireshark, który w systemie Windows używa sterownika WinPcap.
Po zainstalowaniu należy otworzyć okno usług systemu Windows (kliknij przycisk Start i wpisz polecenie Services.msc w polu Wyszukaj lub Uruchom).
Na liście usług znajdź i aktywuj protokół Remote Packet Capture Protocol .
Ta usługa jest domyślnie wyłączona.
Kliknij Opcje przechwytywania w początkowym oknie Wireshark i wybierz opcję Remote w polu Interfejs .
Następnie wprowadź adres systemu zdalnego (np. 192.168.2.3 ) i port 2002 .
Aby pracować, musisz mieć dostęp do portu 2002 w systemie zdalnym, więc musisz otworzyć ten port w zaporze lub routerze komputera.
Po połączeniu możesz wybrać interfejs w systemie zdalnym z pola, w którym wymienione są karty sieciowe, i kliknij Start, aby rozpocząć rejestrowanie połączeń wykonanych z tego komputera.
W tym filmie można zobaczyć bardzo dobrze wprowadzający samouczek wprowadzający, aby dowiedzieć się, jak korzystać z Wireshark.
Wireshark to niezwykle potężne narzędzie, nawet jeśli tylko najbardziej doświadczeni mogą go dokładnie zrozumieć i używać go do wykonywania dowolnego rodzaju operacji w sieci.
Ten samouczek jest wprowadzeniem do wszystkiego, co możesz zrobić (tutaj jest pełna instrukcja w języku angielskim); po prostu wiem, że profesjonaliści używają go do debugowania instalacji protokołu sieciowego, analizowania problemów bezpieczeństwa i kontrolowania ruchu w firmach.
Wreszcie ostatnia rekomendacja: wiele organizacji nie zezwala Wireshark lub podobnym narzędziom na działanie w ich sieciach (kwestia prywatności), więc nie powinieneś ryzykować korzystania z nich w biurze, chyba że masz na to pozwolenie.
Jeśli chcesz wypróbować prostsze programy, zalecamy pobranie narzędzi Nirsoft w celu wąchania sieci komputerowej i przeglądania odwiedzanych stron, wyszukiwań internetowych i haseł .
