Početna » kako da » Kako koristiti Wireshark za snimanje, filtriranje i pregled paketa

    Kako koristiti Wireshark za snimanje, filtriranje i pregled paketa

    Wireshark, alat za analizu mreže koji je ranije bio poznat kao Ethereal, bilježi pakete u realnom vremenu i prikazuje ih u čitljivom formatu. Wireshark uključuje filtre, kodiranje boja i druge značajke koje omogućuju duboko kopanje u mrežni promet i pregled pojedinačnih paketa.

    Ovaj će vam vodič pružiti brzinu s osnovama snimanja paketa, filtriranjem i pregledom. Wireshark možete koristiti za pregled mrežnog prometa sumnjivog programa, analizu protoka prometa na mreži ili rješavanje problema s mrežom.

    Dobiti Wireshark

    Wireshark za Windows ili MacOS možete preuzeti s njegove službene web stranice. Ako koristite Linux ili neki drugi sličan UNIX-u, vjerojatno ćete naći Wireshark u spremištu paketa. Na primjer, ako koristite Ubuntu, naći ćete Wireshark u Ubuntu softverskom centru.

    Samo brzo upozorenje: mnoge organizacije ne dopuštaju Wireshark i slične alate na svojim mrežama. Nemojte koristiti ovaj alat na poslu ako nemate dopuštenje.

    Snimanje paketa

    Nakon preuzimanja i instaliranja Wireshark-a, možete ga pokrenuti i dvaput kliknuti na ime mrežnog sučelja u odjeljku Capture za početak snimanja paketa na tom sučelju. Na primjer, ako želite snimiti promet na bežičnoj mreži, kliknite svoje bežično sučelje. Napredne značajke možete konfigurirati tako da kliknete Capture> Options, ali to za sada nije potrebno.

    Čim kliknete na ime sučelja, vidjet ćete da se paketi pojavljuju u stvarnom vremenu. Wireshark bilježi svaki paket poslan na ili iz vašeg sustava.

    Ako ste omogućili promiskuitetni način rada - on je omogućen prema zadanim postavkama - vidjet ćete i sve ostale pakete na mreži umjesto samo paketa adresiranih na vaš mrežni prilagodnik. Da biste provjerili je li omogućen promiskuitetni način, kliknite Snimi> Opcije i potvrdite da je pri dnu prozora uključen potvrdni okvir "Omogući promiskuitetni način na svim sučeljima"..

    Kliknite crveni gumb "Stop" u gornjem lijevom kutu prozora kada želite zaustaviti snimanje prometa.

    Kodiranje boja

    Vjerojatno ćete vidjeti istaknute pakete u različitim bojama. Wireshark koristi boje kako biste lakše prepoznali vrste prometa. Prema zadanim postavkama svijetlo ljubičasta je TCP promet, svijetlo plava je UDP promet, a crna označava pakete s pogreškama - na primjer, mogli su biti isporučeni neispravno.

    Da biste točno vidjeli što znače kôdovi u boji, kliknite Prikaz> Pravila bojanja. Također možete prilagoditi i izmijeniti pravila bojanja odavde, ako želite.

    Primjeri snimaka

    Ako u vašoj mreži ne postoji ništa zanimljivo za pregledavanje, Wiresharkova wiki vam je pokrivena. Wiki sadrži stranicu uzoraka snimljenih datoteka koje možete učitati i pregledati. Kliknite Datoteka> Otvori u programu Wireshark i potražite preuzetu datoteku da biste je otvorili.

    Također možete spremiti vlastite snimke u Wireshark i otvoriti ih kasnije. Kliknite Datoteka> Spremi da biste spremili spremljene pakete.

    Filtriranje paketa

    Ako pokušavate pregledati nešto specifično, kao što je promet koji program šalje prilikom telefoniranja kući, pomaže zatvaranje svih drugih aplikacija koje koriste mrežu kako biste mogli suziti promet. Ipak, vjerojatno ćete imati veliku količinu paketa za prosijavanje. Tamo dolaze Wiresharkovi filteri.

    Najosnovniji način primjene filtra je da ga utipkate u okvir filtra na vrhu prozora i kliknete Primijeni (ili pritisnete Enter). Na primjer, upišite “dns” i vidjet ćete samo DNS pakete. Kada počnete tipkati, Wireshark će vam pomoći u automatskom dovršavanju filtra.

    Također možete kliknuti Analyze> Display Filters kako biste odabrali filtar među zadanim filtrima uključenim u Wireshark. Odavde možete dodati vlastite prilagođene filtre i spremiti ih kako biste im ubuduće mogli pristupiti.

    Za više informacija o Wiresharkovom jeziku za filtriranje prikaza, pročitajte stranicu Izrazi filtra prikaza zgrade u službenoj dokumentaciji Wireshark.

    Još jedna zanimljiva stvar koju možete učiniti je desnim klikom na paket i odaberite Slijedi> TCP Stream.

    Vidjet ćete potpuni TCP razgovor između klijenta i poslužitelja. Također možete kliknuti druge protokole u izborniku Slijedi da biste vidjeli potpune razgovore za druge protokole, ako je primjenjivo.

    Zatvorite prozor i vidjet ćete da je filtar automatski primijenjen. Wireshark vam prikazuje pakete koji čine razgovor.

    Pregled paketa

    Kliknite paket da ga odaberete i možete kopati dolje da biste vidjeli njegove pojedinosti.

    Ovdje također možete stvoriti filtre - samo desnom tipkom miša kliknite jedan od detalja i upotrijebite podizbornik Primijeni kao filtar za izradu filtra na temelju njega.


    Wireshark je iznimno moćan alat, i ovaj tutorial je samo grebanje površine onoga što možete učiniti s njom. Profesionalci ga koriste za uklanjanje pogrešaka u implementaciji mrežnog protokola, ispitivanje sigurnosnih problema i pregled internih mrežnih protokola.

    Detaljnije informacije možete pronaći u službenom vodiču za Wireshark i ostalim stranicama dokumentacije na web-mjestu Wireshark.