Wireshark ir viens no slavenākajiem tīkla analīzes rīkiem pasaulē gan tāpēc, ka tas ir bezmaksas, gan tāpēc, ka tas darbojas labi un to nav pārāk grūti izmantot. Tā slava tomēr izriet no fakta, ka ar šīs programmas palīdzību ir iespējams filtrēt, uztvert un izspiest paketes un informāciju, kas nonāk datortīklā .
Spiegošana uz paketēm, kā redzams vispārīgajā rokasgrāmatā (Ievadīšana aizsargātā wifi tīklā, lai uztvertu paketes, un spiegošana par to, ko jūs darāt internetā), ļauj jums lasīt jebkāda veida informāciju, kas caurlaide netiek šifrēta komunikācijā starp datoru un internetu.
Tas nozīmē, ka, ja divi cilvēki atrodas vienā birojā vai mājās un pieslēdzas vienam un tam pašam tīklam (vai tam pašam maršrutētājam), lai dotos uz internetu, tad ir redzami divi personālie datori un, izmantojot Wireshark, no viena ir iespējams uztvert informāciju par citas, ieskaitot jūsu apmeklētās vietnes, vienkārša teksta paroles (vietnēs, kas nav https), e-pastus, tērzēšanu un tā tālāk.
Wireshark tomēr pirmām kārtām ir ļoti jaudīga tīkla analīzes programma, kuru izmanto arī profesionāli tehniķi, un tad redzēsim, kā to nopietni izmantot.
Jūs varat lejupielādēt Wireshark for Windows vai Mac OS X no tās oficiālās vietnes.
Ja jūs izmantojat Linux vai citu UNIX līdzīgu sistēmu, Wireshark vajadzētu atrasties izplatīšanas programmatūras krātuvē.
Pēc Wireshark lejupielādes un instalēšanas varat to sākt, un jums nekavējoties jāizvēlas pareizais tīkla interfeiss, lai to analizētu .
Piemēram, ja vēlaties iegūt trafiku bezvadu tīklā, noklikšķiniet uz wifi tīkla kartes, pretējā gadījumā, ja izmantotais tīkls ir vadu, jums jāizvēlas LAN savienojums utt.
Tiklīdz jūs izvēlaties saskarni, jūs uzreiz redzēsit, ka visa tīklā esošā informācija ir redzama nepārtrauktā ritināšanas sarakstā.
Ja esat iespējojis vadību tīklā, kuru koplieto vairāki datori (piemēram, wifi), un esat aktivizējis datu iegūšanu vienkāršā režīmā, redzēsit arī citu tajā pašā tīklā savienotu datoru paketes .
Iegūstamība vienkāršā režīmā no Windows PC ir iespējama, tikai instalējot WinPCap draiverus, kas ir iekļauti Wireshark instalācijas paketē.
Kreisajā augšējā stūrī varat apturēt uztveršanas procesu reālajā laikā un apturēt trafika iegūšanu.
Wireshark parāda dažādu krāsu pārtvertus datus, lai vieglāk identificētu trafika tipus.
Pēc noklusējuma TCP trafiks ir zaļš, DNS trafiks ir tumši zils, UDP trafiks ir gaiši zils; melnās ir TCP paketes ar problēmām.
Lai sāktu un redzētu, vai tas darbojas, jums jāpārliecinās, ka, pārlūkojot internetu, atverot dažas vietnes, Wireshark uztver datus un informāciju.
HTTP zvani ir tie, kas saistīti ar interneta trafiku, un tie var būt visinteresantākie, ja plānojat atrast pārlūkošanas informāciju, piemēram, apmeklētās vietnes.
Varat arī lejupielādēt parauga failu analīzei vietnē Wireshark for
Lai nepazustu ģenerēto datu jūrā, ir jāizmanto pakešu filtrēšanas noteikumi.
Vienkāršākais veids, kā lietot filtru, ir lodziņa augšpusē loga augšdaļā ierakstiet meklēšanas taustiņu un noklikšķiniet uz Lietot.
Piemēram, ierakstot “ http ”, jūs redzēsit tikai savienojumus, kas izveidoti, izmantojot interneta pārlūku.
Katru paketi var pārbaudīt un vienkārši noklikšķiniet uz tās ar labo pogu, lai redzētu sīkāku informāciju un TCP straumi vai veikto darbību vēsturi (piemēram, ja meklējat Google vairāk lietu, varat pārskatīt visu plūsmu).
Konkrētākus filtrus var lietot no izvēlnes Analizēt .
Apgūstot paketes, var būt neērti un grūti izprast snortēto datu un informācijas plūsmu tīklā, jo tiek parādītas tikai IP adreses.
Tomēr ir iespējams pārveidot IP adreses domēnu nosaukumos (http trafikai tas nozīmē redzēt vietņu nosaukumus), aktivizējot funkcionalitāti no izvēlnes Rediģēt -> Preferences -> Nosaukuma izšķirtspēja un aktivizējot “ Enable Network Name Resolution ”.
Iespējojot šo opciju, IP adrešu vietā redzēsit domēnu nosaukumus, bet, tā kā Wireshark būs jāmeklē katrs domēna vārds, DNS pieprasījumi palielinās, palielinot datu plūsmu.
Ja vēlaties datorā iestatīt automātisku pakešu uztveršanu, varat izveidot darbvirsmas saīsni, lai ātri palaistu Wireshark.
Pēc saites izveidošanas ar peles labo taustiņu noklikšķiniet, ievadiet rekvizītus un tur, kur rakstīts " Galamērķis ", aiz pēdējām pēdiņām pievienojiet atstarpi rindā un pēc tam -i # -k .
# vietā jums jāievieto pārbaudāmās tīkla kartes numurs atbilstoši pasūtījumam, ko Wireshark piešķir atlases posmā.
Datplūsmas uztveršana no citiem datoriem, kas savienoti ar to pašu tīklu, iespējams, ir tā smieklīgākais mērķis, kas mūs padara par hakeriem mūsu mazā veidā (tomēr tas nav tik vienkārši).
Ja vēlaties reģistrēt tīkla trafiku un izspiegot informāciju, kas iet caur maršrutētāju, serveri vai citu datoru, jums jāizmanto Wireshark attālā uztveršana, kas operētājsistēmā Windows izmanto WinPcap draiveri.
Pēc tā instalēšanas jums jāatver Windows pakalpojumu logs (noklikšķiniet uz Sākt un lodziņā Meklēt vai Palaist ierakstiet komandu Services.msc ).
Pakalpojumu sarakstā atrodiet un aktivizējiet tā saukto Remote Packet Capture Protocol .
Šis pakalpojums pēc noklusējuma ir atspējots.
Sākotnējā Wireshark logā noklikšķiniet uz Iespējot tveršanu un lodziņā Interfeiss atlasiet Remote .
Pēc tam ievadiet attālas sistēmas adresi (piemēram, 192.168.2.3 ) un kā 2002. gada portu.
Lai strādātu, attālajā sistēmā jābūt piekļuvei portam 2002, tāpēc jums būs jāatver šis ports datora ugunsmūrī vai maršrutētājā.
Pēc savienojuma atlases lodziņā, kurā uzskaitītas tīkla kartes, varat atlasīt saskarni un noklikšķināt uz Sākt, lai sāktu no šī datora izveidoto savienojumu ierakstīšanu.
Šajā video jūs varat redzēt ievaddaļu, kas ļoti labi izdarīta, lai uzzinātu, kā izmantot Wireshark.
Wireshark ir ārkārtīgi spēcīgs rīks pat tad, ja tikai vispieredzējušākie to var labi saprast un izmantot, lai veiktu jebkāda veida darbības tīklā.
Šī apmācība ir tikai ievads visam, ko jūs varat darīt (šeit ir pilna rokasgrāmata angļu valodā); vienkārši zināt, ka profesionāļi to izmanto, lai atkļūdotu tīkla protokola instalācijas, analizētu drošības problēmas un kontrolētu datplūsmu uzņēmumos.
Visbeidzot, pēdējais ieteikums: daudzas organizācijas neļauj Wireshark vai līdzīgiem rīkiem darboties savos tīklos (privātuma problēma), tāpēc jums nevajadzētu riskēt to izmantot birojā, ja vien jums nav atļaujas.
Ja vēlaties izmēģināt ar vienkāršākām programmām, iesaku lejupielādēt Nirsoft rīkus, lai šņaukātu datoru tīklu un apskatītu apmeklētās vietnes, meklēšanu internetā un paroles .
