10 Tipps wéi Dir Wireshark benotzt fir Netzwierkpaketen ze analyséieren

An all packet-switched Netzwierk representéieren Päck Eenheeten vun Daten déi tëscht Computeren iwwerdroe ginn. Et ass d'Verantwortung vun den Netzwierkingenieuren a Systemadministrateuren fir d'Pakete fir Sécherheets- a Problembehandlungszwecker ze iwwerwaachen an z'inspektéieren.

Fir dëst ze maachen, vertrauen se op Software Programmer genannt Monitor Traffic an Echtzäit awer och fir et an eng Datei ze späicheren fir spéider Inspektioun.

Verbonnen Liesen: Bescht Linux Bandwidth Monitoring Tools fir d'Netzwierkverbrauch ze analyséieren

An dësem Artikel wäerte mir 10 Tipps deelen wéi Dir Wireshark benotzt fir Päckchen an Ärem Netz ze analyséieren an hoffen datt wann Dir an de Resumé Sektioun kënnt, fillt Dir Iech geneigt et op Är Lieszeechen ze addéieren.

Wireshark op Linux installéieren

Fir Wireshark z'installéieren, wielt de richtegen Installateur fir Äre Betribssystem/Architektur vun https://www.wireshark.org/download.html.

Besonnesch, wann Dir Linux benotzt, muss Wireshark direkt vun Ärer Verdeelungsrepositories verfügbar sinn fir eng méi einfach Installatioun op Är Kamoudheet. Och wann d'Versioune kënnen ënnerschiddlech sinn, sollten d'Optiounen an d'Menue ähnlech sinn - wann net an all eenzel identesch.

------------ On Debian/Ubuntu based Distros ------------ 
$ sudo apt-get install wireshark

------------ On CentOS/RHEL based Distros ------------
$ sudo yum install wireshark

------------ On Fedora 22+ Releases ------------
$ sudo dnf install wireshark

Et gëtt e bekannte Käfer an Debian an Derivate, déi d'Netzwierkschnëttplaze verhënnere kënnen, ausser Dir dëse Post.

Wann de Wireshark leeft, kënnt Dir d'Netzwierk-Interface auswielen, déi Dir ënner Capture iwwerwaache wëllt:

An dësem Artikel wäerte mir eth0 benotzen, awer Dir kënnt en aneren wielen wann Dir wëllt. Klickt nach net op d'Interface - mir maachen dat méi spéit wann mir e puer Capture Optiounen iwwerpréift hunn.

Déi nëtzlechst Captureoptiounen déi mir betruechten sinn:

  1. Netzwierk-Interface - Wéi mir virdru erkläert hunn, wäerte mir nëmme Päck analyséieren, déi duerch eth0 kommen, entweder erakommen oder auskommen.
  2. Capture Filter - Dës Optioun erlaabt eis unzeginn wéi eng Zort Traffic mir iwwer Port, Protokoll oder Typ iwwerwaache wëllen.

Ier mer mat den Tipps weidergoen, ass et wichteg ze bemierken datt e puer Organisatiounen d'Benotzung vu Wireshark an hiren Netzwierker verbidden. Dat gesot, wann Dir Wireshark net fir perséinlech Zwecker benotzt, gitt sécher datt Är Organisatioun seng Notzung erlaabt.

Fir de Moment, wielt just eth0 aus der Dropdown-Lëscht a klickt Start um Knäppchen. Dir fänkt un all Traffic ze gesinn, deen duerch dës Interface passéiert. Net wierklech nëtzlech fir Iwwerwaachungszwecker wéinst der héijer Quantitéit u Päckchen iwwerpréift, awer et ass e Start.

Am uewe genannte Bild kënne mir och d'Ikonen gesinn fir déi verfügbar Interfaces ze lëschten, fir déi aktuell Erfaassung ze stoppen an et nei ze starten (rout Këscht op der lénker Säit), a fir e Filter ze konfiguréieren an z'änneren (rout Këscht riets). Wann Dir iwwer eng vun dësen Ikonen hovert, gëtt e Tooltip ugewisen fir unzeginn wat et mécht.

Mir fänken u mam Capture-Optiounen ze illustréieren, wärend Tipps #7 bis #10 diskutéiere wéi Dir eppes Nëtzleches mat enger Capture maache kënnt.

TIP #1 - Inspektéieren HTTP Traffic

Gidd http an der Filterkëscht a klickt op Uwendung. Start Äre Browser a gitt op all Site déi Dir wëllt:

Fir all spéider Tipp unzefänken, stoppt de Live Capture an ännert de Capture Filter.

TIP #2 - Inspektéiert den HTTP Traffic vun enger bestëmmter IP Adress

An dësem speziellen Tipp wäerte mir ip==192.168.0.10&& op d'Filterstrofe virbereeden fir den HTTP-Traffic tëscht dem lokalen Computer an 192.168.0.10 ze iwwerwaachen:

TIP #3 - Inspektéiert HTTP Traffic op eng gegebene IP Adress

Enk verbonne mat #2, an dësem Fall benotze mir ip.dst als Deel vum Capture Filter wéi follegt:

ip.dst==192.168.0.10&&http

Fir Tipps #2 an #3 ze kombinéieren, kënnt Dir ip.addr an der Filterregel benotzen anstatt ip.src oder ip.dst.

TIP #4 - Monitor Apache a MySQL Network Traffic

Heiansdo wäert Dir interesséiert sinn fir de Verkéier ze inspektéieren deen entweder (oder béid) Konditioune passt. Zum Beispill, fir de Traffic op TCP Ports 80 (Webserver) an 3306 (MySQL/MariaDB Datebankserver) ze iwwerwaachen, kënnt Dir en ODER Conditioun am Capture Filter benotzen:

tcp.port==80||tcp.port==3306

An Tipps #2 an #3, || an d'Wuert oder produzéiere déi selwecht Resultater. Selwecht mat && an dem Wuert an.

TIP #5 - Pakete refuséieren op déi uginn IP Adress

Fir Päckchen auszeschléissen, déi net mat der Filterregel passen, benotzt ! an schléisst d'Regel an Klammeren. Zum Beispill, fir Pakete auszeschléissen, déi aus oder op eng bestëmmte IP Adress geleet ginn, kënnt Dir benotzen:

!(ip.addr == 192.168.0.10)

TIP #6 - Monitor lokalen Netzwierkverkéier (192.168.0.0/24)

Déi folgend Filterregel weist nëmmen de lokalen Traffic an ausschléisst Päckchen, déi op den Internet kommen a kommen:

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24

TIP #7 - Monitor den Inhalt vun engem TCP Gespréich

Fir den Inhalt vun engem TCP-Gespréich (Datenaustausch) z'iwwerpréiwen, klickt riets op e bestëmmte Paket a wielt Follow TCP Stream. Eng Fënster erschéngt mam Inhalt vum Gespréich.

Dëst enthält HTTP-Header wa mir de Webverkéier iwwerpréiwen, an och all Kloertext-Umeldungsinformatioun déi während dem Prozess iwwerdroe gëtt, wann iwwerhaapt.

TIP #8 - Faarfregelen änneren

Elo sinn ech sécher datt Dir scho gemierkt hutt datt all Zeil an der Capturefenster faarweg ass. Par défaut erschéngt HTTP-Traffic am gréngen Hannergrond mat schwaarzen Text, wärend Checksumfehler a roude Text mat engem schwaarzen Hannergrond ugewise ginn.

Wann Dir dës Astellunge wëllt änneren, klickt op d'Ikon fir Faarfregelen änneren, wielt e bestëmmte Filter a klickt op Änneren.

TIP #9 - Späichert de Capture op eng Datei

D'Späichere vum Inhalt vun der Erfaassung erlaabt eis et méi detailléiert ze iwwerpréiwen. Fir dëst ze maachen, gitt op Datei → Export a wielt en Exportformat aus der Lëscht:

TIP #10 - Praxis mat Capture Samples

Wann Dir denkt datt Ären Netzwierk \langweileg ass, bitt Wireshark eng Serie vu Probe Capture Dateien, déi Dir benotze kënnt fir ze üben an ze léieren. Dir kënnt dës SampleCaptures eroflueden an iwwer de Menü Datei → Import importéieren.

Wireshark ass gratis an Open-Source Software, wéi Dir kënnt an der FAQs Sektioun vun der offizieller Websäit gesinn. Dir kënnt e Capture Filter konfiguréieren entweder virum oder nodeems Dir eng Inspektioun ufänkt.

Am Fall wou Dir net gemierkt hutt, huet de Filter eng Autocomplete Feature déi Iech erlaabt Iech einfach no de meescht benotzten Optiounen ze sichen déi Dir spéider personaliséiere kënnt. Domat ass den Himmel d'Limite!

Wéi ëmmer, zéckt net fir eis eng Zeil ze benotzen andeems Dir de Kommentarformular hei drënner benotzt wann Dir Froen oder Beobachtungen iwwer dësen Artikel hutt.