Wireshark är ett nätverk analysis tool (tidigare känd som Eteriska, fångar paket i realtid och visa dem i lättläst format. Wireshark omfattar filter, färgkodning, och andra funktioner som gör att du gräva djupt i nätverket trafik och inspektera enskilda paket.
Denna handledning kommer att få dig upp till hastigheten med grunderna för att fånga paket, filtrera dem, och kontroll av dem. Du kan använda Wireshark för att kontrollera ett misstänkt program nätverkstrafik, analysera trafikflödet på ditt nätverk eller felsökning av problem med nätverket.
Få Wireshark
Du kan ladda ner Wireshark för Windows eller macOS från sin officiella webbplats. Om du använder Linux eller annat UNIX-liknande system, kommer du förmodligen hitta Wireshark i sitt paket förråd. Till exempel, om du använder Ubuntu, du hittar Wireshark i Ubuntu Software Center.
Bara en snabb varning: Många organisationer inte tillåter Wireshark och liknande verktyg på deras nät. Använd inte detta verktyg i arbetet om du inte har tillstånd.
Fånga Paket
Efter nedladdning och installation av Wireshark, kan du starta den och dubbelklicka på namnet på ett nätverk gränssnitt enligt Fånga för att börja fånga paket på gränssnittet. Till exempel, om du vill fånga trafik på ditt trådlösa nätverk kan du klicka på ditt trådlösa gränssnitt. Du kan konfigurera avancerade funktioner genom att klicka på Capture – > Alternativ, men detta är inte nödvändigt för nu.
Så fort du klickar på gränssnittet namn, så får du se de paket börja visas i realtid. Wireshark fångar upp alla paket som skickas till eller från ditt system.
Om du har promiscuous mode aktiverat—det är aktiverat som standard—du kommer också att se alla andra paket på nätverket istället för att bara paket adresserat till ditt nätverkskort. För att kontrollera om promiscuous mode är aktiverat, klicka på Capture – > Alternativ och kontrollera att “Aktivera promiscuous mode i alla gränssnitt” kryssruta är aktiverad längst ned i det här fönstret.
Klicka på den röda “Stop” – knappen nära det övre vänstra hörnet av fönstret när du vill sluta ta trafik.
Färgkodningen
Du kommer förmodligen se paket lyfts fram i en mängd olika färger. Wireshark använder färger för att hjälpa dig att identifiera de typer av trafik på en gång. Som standard, ljus lila är TCP-trafik, ljus blå är UDP-trafik, och svart identifierar paket med fel—de kan till exempel ha skickats ut av ordning.
För att visa exakt vilken färg koderna betyder, klicka på Visa > Färg Regler. Du kan också anpassa och ändra färg regler här, om du vill.
Prov Fångar
Om det finns något intressant på ditt egna nätverk för att inspektera, Wireshark wiki har du omfattas. Wikin innehåller en sida av provet fånga filer som du kan ladda in och inspektera. Klicka på Arkiv > Öppna i Wireshark och bläddra efter din nedladdade filen för att öppna en.
Du kan också spara dina egna fångar i Wireshark och öppna dem senare. Klicka på Arkiv > spara för att Spara ditt fångade paket.
Filtrering Av Paket
Om du försöker att inspektera något specifikt, såsom trafik-ett program skickar då ringer hem, det hjälper till att stänga ner alla andra program som använder nätverket så att du kan begränsa trafiken. Fortfarande, du kommer sannolikt att ha en stor mängd paket för att sålla igenom. Det är där Wireshark s filter kommer in.
Det mest grundläggande sättet att tillämpa ett filter genom att skriva det i rutan filter på den övre delen av fönstret och klicka på Tillämpa (eller tryck Enter). Till exempel skriver du “dns” och du kommer bara se DNS-paket. När du börjar skriva, Wireshark kommer att hjälpa dig att komplettera ditt filter.
Du kan också klicka på Analysera > Visa Filter för att välja ett filter från bland standard filter som ingår i Wireshark. Härifrån kan du lägga till dina egna filter och spara dem för att enkelt få tillgång till dem i framtiden.
För mer information om Wireshark display filtrering språk, läsa Byggnaden display filter uttryck sidan i den officiella Wireshark dokumentation.
En annan intressant sak du kan göra är att högerklicka på ett paket och väljer att Följa > TCP-Ström.
Du kommer att se hela TCP samtal mellan klient och server. Du kan också klicka andra program i den efterföljande menyn för att se hela konversationer i andra program, om tillämpligt.
Stäng fönstret och du kommer att hitta ett filter har tillämpats automatiskt. Wireshark är att visa dig de paket som gör upp i konversationen.
Inspektera Paket
Klicka på ett paket för att markera det och du kan gräva ner för att visa dess detaljer.
Du kan också skapa filter från här — bara högerklicka på en av de uppgifter och använda den Tillämpas Filter-undermenyn för att skapa ett filter baserat på det.
Wireshark är ett mycket kraftfullt verktyg, och denna handledning är bara skrapat på ytan av vad man kan göra med det. Proffs använder det för att felsöka nätverk protokoll implementationer, granska säkerheten problem och inspektera nätverksprotokoll som interna.
Du kan hitta mer detaljerad information i de officiella Wireshark användarhandboken och andra dokument sidor på Wireshark s webbplats.