כיצד לקרוא מנות ב-Wireshark

עבור מומחי IT רבים, Wireshark הוא הכלי הרצוי לניתוח מנות רשת. תוכנת הקוד הפתוח מאפשרת לך לבחון מקרוב את הנתונים שנאספו ולקבוע את שורש הבעיה עם דיוק משופר. יתר על כן, Wireshark פועלת בזמן אמת ומשתמשת בקידוד צבע כדי להציג את החבילות שנלכדו, בין יתר מנגנונים יפים.

כיצד לקרוא מנות ב-Wireshark

במדריך זה, נסביר כיצד ללכוד, לקרוא ולסנן מנות באמצעות Wireshark. להלן, תמצאו הוראות שלב אחר שלב ופירוטים של פונקציות ניתוח הרשת הבסיסיות. לאחר שתשלוט בשלבים הבסיסיים הללו, תוכל לבדוק את זרימת התעבורה של הרשת שלך ולפתור בעיות ביעילות רבה יותר.

ניתוח מנות

לאחר לכידת החבילות, Wireshark מארגן אותן בחלונית רשימת מנות מפורטת שקל להפליא לקריאה. אם אתה רוצה לגשת למידע לגבי חבילה בודדת, כל מה שאתה צריך לעשות הוא לאתר אותו ברשימה וללחוץ. אתה יכול גם להרחיב את העץ כדי לגשת לפרטים של כל פרוטוקול הכלול בחבילה.

לקבלת סקירה מקיפה יותר, תוכל להציג כל חבילה שנלכדה בחלון נפרד. כך:

  1. בחר את החבילה מהרשימה עם הסמן ולאחר מכן לחץ לחיצה ימנית.

  2. פתח את הכרטיסייה "תצוגה" מסרגל הכלים למעלה.

  3. בחר "הצג מנות בחלון חדש" מהתפריט הנפתח.

הערה: הרבה יותר קל להשוות את החבילות שנלכדו אם אתה מעלה אותן בחלונות נפרדים.

כאמור, Wireshark משתמש במערכת קידוד צבע להדמיית נתונים. כל חבילה מסומנת בצבע אחר המייצג סוגים שונים של תעבורה. לדוגמה, תעבורת TCP מודגשת בדרך כלל בכחול, בעוד שחור משמש לציון מנות המכילות שגיאות.

כמובן, אתה לא צריך לשנן את המשמעות מאחורי כל צבע. במקום זאת, אתה יכול לבדוק במקום:

  1. לחץ לחיצה ימנית על החבילה שברצונך לבדוק.

  2. בחר בכרטיסייה "תצוגה" מסרגל הכלים בחלק העליון של המסך.

  3. בחר "כללי צביעה" מהחלונית הנפתחת.

תראה את האפשרות להתאים אישית את הצביעה לטעמך. עם זאת, אם ברצונך לשנות את כללי הצביעה באופן זמני בלבד, בצע את השלבים הבאים:

  1. לחץ לחיצה ימנית על החבילה בחלונית רשימת החבילות.
  2. מרשימת האפשרויות, בחר "צבע עם מסנן".

  3. בחר את הצבע שברצונך לסמן אותו.

מספר

חלונית רשימת המנות תראה לך את המספר המדויק של סיביות נתונים שנלכדו. מכיוון שהמנות מאורגנות בכמה עמודות, זה די קל לפרש. קטגוריות ברירת המחדל הן:

  • מס' (מספר): כאמור, אתה יכול למצוא את המספר המדויק של מנות שנלכדו בעמודה זו. הספרות יישארו זהות גם לאחר סינון הנתונים.
  • זמן: כפי שאולי ניחשתם, חותמת הזמן של החבילה מוצגת כאן.
  • מקור: זה מראה מהיכן מקור החבילה.
  • יעד: זה מראה את המקום שבו החבילה תישמר.
  • פרוטוקול: הוא מציג את שם הפרוטוקול, בדרך כלל בקיצור.
  • אורך: זה מציג את מספר הבתים הכלולים בחבילה שנלכדה.
  • מידע: העמודה כוללת כל מידע נוסף על חבילה מסוימת.

זְמַן

כאשר Wireshark מנתח את תעבורת הרשת, כל חבילה שנלכדה מוטבעת בזמן. חותמות הזמן נכללות אז בחלונית רשימת החבילות וזמינות לבדיקה מאוחרת יותר.

Wireshark לא יוצר את חותמות הזמן בעצמם. במקום זאת, כלי הניתוח מקבל אותם מספריית Npcap. עם זאת, המקור של חותמת הזמן הוא למעשה הקרנל. זו הסיבה שהדיוק של חותמת הזמן יכול להשתנות מקובץ לקובץ.

אתה יכול לבחור את הפורמט שבו חותמות הזמן יוצגו ברשימת החבילות. בנוסף, ניתן להגדיר את הדיוק המועדף או את מספר המקומות העשרוניים שיוצגו. מלבד הגדרת ברירת המחדל של דיוק, יש גם:

  • שניות
  • עשיריות השנייה
  • מאות שנייה
  • אלפיות שניות
  • מיקרו שניות
  • ננו-שניות

מָקוֹר

כפי שהשם מרמז, מקור החבילה הוא מקום המוצא. אם אתה רוצה להשיג את קוד המקור של מאגר Wireshark, אתה יכול להוריד אותו באמצעות לקוח Git. עם זאת, השיטה מחייבת שיהיה לך חשבון GitLab. אפשר לעשות את זה בלי אחד, אבל עדיף להירשם לכל מקרה.

לאחר שרשמת חשבון, בצע את השלבים הבאים:

  1. ודא ש-Git פועל באמצעות הפקודה הזו: "$ git -–גרסה.

  2. בדוק שוב אם כתובת הדוא"ל ושם המשתמש שלך מוגדרים.
  3. לאחר מכן, צור שיבוט של המקור Workshark. להשתמש ב "$ git clone -o במעלה הזרם [email protected] :wireshark/wireshark.git" URL SSH כדי ליצור את העותק.
  4. אם אין לך חשבון GitLab, נסה את כתובת האתר של HTTPS: "$ git clone -o במעלה הזרם //gitlab.com/wireshark/wireshark.git.

כל המקורות יועתקו לאחר מכן למכשיר שלך. זכור שהשיבוט עשוי להימשך זמן מה, במיוחד אם יש לך חיבור רשת איטי.

יַעַד

אם אתה רוצה לדעת את כתובת ה-IP של יעד של חבילה מסוימת, אתה יכול להשתמש במסנן התצוגה כדי לאתר אותה. כך:

  1. להיכנס "ip.addr == 8.8.8.8" לתוך "תיבת הסינון" של Wireshark. לאחר מכן, לחץ על "Enter".

  2. חלונית רשימת החבילות תוגדר מחדש רק כדי להציג את יעד החבילות. מצא את כתובת ה-IP שבה אתה מעוניין על ידי גלילה ברשימה.

  3. לאחר שתסיים, בחר "נקה" מסרגל הכלים כדי להגדיר מחדש את חלונית רשימת המנות.

נוהל

פרוטוקול הוא קו מנחה הקובע את העברת הנתונים בין מכשירים שונים המחוברים לאותה רשת. כל חבילת Wireshark מכילה פרוטוקול, ואתה יכול להעלות אותו באמצעות מסנן התצוגה. כך:

  1. בחלק העליון של חלון Wireshark, לחץ על תיבת הדו-שיח "מסנן".
  2. הזן את שם הפרוטוקול שברצונך לבדוק. בדרך כלל, כותרות פרוטוקול כתובות באותיות קטנות.
  3. לחץ על "Enter" או "Apply" כדי להפעיל את מסנן התצוגה.

אורך

אורכה של חבילת Wireshark נקבע על פי מספר הבתים שנלכדו בקטע הרשת המסוים הזה. מספר זה בדרך כלל מתאים למספר בתים של נתונים גולמיים הרשומים בתחתית חלון Wireshark.

אם אתה רוצה לבחון את התפלגות האורכים, פתח את חלון "אורכי חבילה". כל המידע מחולק לעמודות הבאות:

  • אורכי מנות
  • לספור
  • מְמוּצָע
  • Min Val/Max Val
  • ציון
  • אָחוּז
  • קצב התפרצות
  • התחלה מתפרצת

מידע

אם יש חריגות או פריטים דומים בחבילה מסוימת שנלכדה, Wireshark יציין זאת. לאחר מכן, המידע יוצג בחלונית רשימת המנות לבדיקה נוספת. כך, תהיה לך תמונה ברורה של התנהגות רשת לא טיפוסית, שתגרום לתגובות מהירות יותר.

שאלות נפוצות נוספות

כיצד אוכל לסנן את נתוני החבילות?

סינון הוא תכונה יעילה המאפשרת לך לבדוק את הפרטים של רצף נתונים מסוים. ישנם שני סוגים של מסנני Wireshark: לכידה ותצוגה. מסנני לכידה נמצאים שם כדי להגביל את לכידת המנות כדי להתאים לדרישות ספציפיות. במילים אחרות, אתה יכול לסנן סוגים שונים של תעבורה על ידי החלת מסנן לכידה. כפי שהשם מרמז, מסנני תצוגה מאפשרים לך לחדד אלמנט מסוים של החבילה, מאורך חבילה ועד פרוטוקול.

החלת מסנן היא תהליך די פשוט. אתה יכול להקליד את כותרת המסנן בתיבת הדו-שיח בחלק העליון של חלון Wireshark. בנוסף, התוכנה בדרך כלל תמלא אוטומטית את שם המסנן.

לחלופין, אם ברצונך לסרוק את מסנני ברירת המחדל של Wireshark, בצע את הפעולות הבאות:

1. פתח את הכרטיסייה "ניתוח" בסרגל הכלים בחלק העליון של חלון Wireshark.

2. מהרשימה הנפתחת, בחר "מסנן תצוגה".

3. עיין ברשימה ולחץ על זה שברצונך ליישם.

לבסוף, הנה כמה מסנני Wireshark נפוצים שיכולים להיות שימושיים:

• כדי להציג רק את המקור ואת כתובת ה-IP של היעד, השתמש ב: "ip.src==כתובת IP ו-ip.dst==כתובת IP

• כדי להציג רק תעבורת SMTP, הקלד: "tcp.port eq 25

• כדי ללכוד את כל תעבורת רשת המשנה, החל: "נטו 192.168.0.0/24

• כדי ללכוד הכל מלבד תעבורת ה-ARP וה-DNS, השתמש ב: "פורט לא 53 ולא arp

כיצד אוכל ללכוד את נתוני החבילות ב-Wireshark?

לאחר שהורדת את Wireshark למכשיר שלך, תוכל להתחיל לעקוב אחר חיבור הרשת שלך. כדי ללכוד מנות נתונים לניתוח מקיף, הנה מה שאתה צריך לעשות:

1. הפעל את Wireshark. תראה רשימה של רשתות זמינות, אז לחץ על הרשת שברצונך לבדוק. אתה יכול גם להחיל מסנן לכידה אם אתה רוצה לאתר את סוג התנועה.

2. אם ברצונך לבדוק מספר רשתות, השתמש בפקד "shift + קליק שמאל".

3. לאחר מכן, לחץ על סמל סנפיר הכריש השמאלי ביותר בסרגל הכלים למעלה.

4. אתה יכול גם להתחיל את הלכידה על ידי לחיצה על הכרטיסייה "ללכוד" ובחירה ב"התחל" מהרשימה הנפתחת.

5. דרך נוספת לעשות זאת היא להשתמש בלחצן "Control - E".

כשהתוכנה תופסת את הנתונים, תראה אותם מופיעים בחלונית רשימת המנות בזמן אמת.

Shark Byte

בעוד Wireshark הוא מנתח רשת מתקדם ביותר, קל להפתיע לפרש אותו. חלונית רשימת החבילות היא מקיפה ומאורגנת היטב. כל המידע מופץ בשבעה צבעים שונים ומסומן בקודי צבע ברורים.

יתרה מזאת, תוכנת הקוד הפתוח מגיעה עם שלל פילטרים שניתן ליישם בקלות המקלים על הניטור. על ידי הפעלת מסנן לכידה, אתה יכול לאתר באיזה סוג תעבורה אתה רוצה ש-Wireshark ינתח. וברגע שהנתונים נתפסים, אתה יכול להחיל מספר מסנני תצוגה עבור חיפושים שצוינו. בסך הכל, זהו מנגנון יעיל ביותר שלא קשה מדי לשלוט בו.

האם אתה משתמש ב-Wireshark לניתוח רשת? מה אתה חושב על פונקציית הסינון? ספר לנו בהערות למטה אם יש תכונה שימושית לניתוח מנות שדילגנו עליה.