สิ่งที่ต้องรู้
- Wireshark เป็นแอปพลิเคชั่นโอเพนซอร์สที่รวบรวมและแสดงข้อมูลที่เดินทางไปมาบนเครือข่าย
- เนื่องจากสามารถเจาะลึกและอ่านเนื้อหาของแต่ละแพ็กเก็ตได้จึงใช้เพื่อแก้ไขปัญหาเครือข่ายและทดสอบซอฟต์แวร์
คำแนะนำในบทความนี้ใช้กับ Wireshark 3.0.3 สำหรับ Windows และ Mac
Wireshark คืออะไร?
เดิมรู้จักกันในชื่อ Ethereal Wireshark แสดงข้อมูลจากโปรโตคอลที่แตกต่างกันหลายร้อยแบบในเครือข่ายหลักทุกประเภท สามารถดูแพ็กเก็ตข้อมูลแบบเรียลไทม์หรือวิเคราะห์แบบออฟไลน์ Wireshark รองรับรูปแบบไฟล์การบันทึก / ติดตามจำนวนมากรวมถึง CAP และ ERF เครื่องมือถอดรหัสแบบรวมจะแสดงแพ็กเก็ตที่เข้ารหัสสำหรับโปรโตคอลทั่วไปหลายตัวรวมถึง WEP และ WPA / WPA2
วิธีดาวน์โหลดและติดตั้ง Wireshark
สามารถดาวน์โหลด Wireshark ได้โดยไม่มีค่าใช้จ่ายจากเว็บไซต์ Wireshark Foundation สำหรับทั้ง macOS และ Windows คุณจะเห็นเวอร์ชันเสถียรล่าสุดและรุ่นที่กำลังพัฒนาในปัจจุบัน หากคุณไม่ใช่ผู้ใช้ขั้นสูงให้ดาวน์โหลดเวอร์ชันเสถียร
:max_bytes(150000):strip_icc()/001_wireshark-tutorial-4143298-52d1294a66f64810b14dbfc6fdbe00de.jpg)
ระหว่างขั้นตอนการตั้งค่า Windows ให้เลือกติดตั้ง WinPcap or Npcap หากได้รับแจ้งเนื่องจากสิ่งเหล่านี้รวมถึงไลบรารีที่จำเป็นสำหรับการบันทึกข้อมูลสด
:max_bytes(150000):strip_icc()/001-wireshark-tutorial-4143298-8944764352c445c89af8571085055965.jpg)
คุณต้องลงชื่อเข้าใช้อุปกรณ์ในฐานะผู้ดูแลระบบเพื่อใช้ Wireshark ใน Windows 10 ค้นหา Wireshark และเลือก เรียกใช้ในฐานะผู้ดูแล. ใน macOS ให้คลิกขวาที่ไอคอนแอพแล้วเลือก รับข้อมูล. ใน การแบ่งปันและสิทธิ์ การตั้งค่าให้ผู้ดูแลระบบ อ่านเขียน สิทธิพิเศษ
:max_bytes(150000):strip_icc()/002-wireshark-tutorial-4143298-09827053b9cd4445ac165d68a0039808.jpg)
แอปพลิเคชั่นนี้ยังพร้อมใช้งานสำหรับ Linux และแพลตฟอร์มอื่น ๆ ที่คล้าย UNIX เช่น Red Hat, Solaris และ FreeBSD ไบนารีที่จำเป็นสำหรับระบบปฏิบัติการเหล่านี้สามารถพบได้ที่ด้านล่างของหน้าดาวน์โหลด Wireshark ในส่วน แพ็คเกจของบุคคลที่สาม มาตรา. คุณยังสามารถดาวน์โหลดซอร์สโค้ดของ Wireshark ได้จากหน้านี้
วิธีจับแพ็กเก็ตข้อมูลด้วย Wireshark
เมื่อคุณเปิด Wireshark หน้าจอต้อนรับจะแสดงรายการการเชื่อมต่อเครือข่ายที่มีอยู่ในอุปกรณ์ปัจจุบันของคุณ ที่แสดงทางด้านขวาของแต่ละรายการคือกราฟเส้นสไตล์ EKG ซึ่งแสดงถึงปริมาณการใช้งานจริงบนเครือข่ายนั้น
ในการเริ่มบันทึกแพ็กเก็ตด้วย Wireshark:
-
เลือกเครือข่ายอย่างน้อยหนึ่งเครือข่ายไปที่แถบเมนูจากนั้นเลือก การจับกุม.
ในการเลือกหลายเครือข่ายให้กดปุ่ม เปลี่ยน สำคัญในขณะที่คุณทำการเลือก
:max_bytes(150000):strip_icc()/003-wireshark-tutorial-4143298-024370e017284dc0a251f91a3566cf06.jpg)
-
ตัว Vortex Indicator ได้ถูกนำเสนอลงในนิตยสาร อินเตอร์เฟซการจับภาพ Wireshark เลือก เริ่มต้น.
มีวิธีอื่น ๆ ในการเริ่มต้นการจับแพ็กเก็ต เลือกไฟล์ หูฉลาม ทางด้านซ้ายของแถบเครื่องมือ Wireshark กดCtrl + Eหรือดับเบิลคลิกที่เครือข่าย
:max_bytes(150000):strip_icc()/004-wireshark-tutorial-4143298-3db6aeba8777467c8fc3e42ac304f3f6.jpg)
-
เลือก เนื้อไม่มีมัน > บันทึกเป็น หรือเลือกไฟล์ ส่งออก ตัวเลือกในการบันทึกการจับภาพ
:max_bytes(150000):strip_icc()/005-wireshark-tutorial-4143298-c60e3bb4537a4615b8326d5ff8550407.jpg)
-
ในการหยุดจับภาพให้กด Ctrl + E. หรือไปที่แถบเครื่องมือ Wireshark แล้วเลือกสีแดง หยุด ปุ่มที่อยู่ถัดจากครีบฉลาม
:max_bytes(150000):strip_icc()/006-wireshark-tutorial-4143298-016d2b41501149d994d0d9e78239d964.jpg)
วิธีดูและวิเคราะห์เนื้อหาแพ็คเก็ต
อินเทอร์เฟซข้อมูลที่บันทึกประกอบด้วยสามส่วนหลัก:
- บานหน้าต่างรายการแพ็กเก็ต (ส่วนบนสุด)
- บานหน้าต่างรายละเอียดแพ็กเก็ต (ส่วนตรงกลาง)
- บานหน้าต่างแพ็คเก็ตไบต์ (ส่วนด้านล่าง)
:max_bytes(150000):strip_icc()/008_wireshark-tutorial-4143298-7fc1de4be4e746278f59f2179a453528.jpg)
รายการแพ็คเก็ต
บานหน้าต่างรายการแพ็กเก็ตซึ่งอยู่ที่ด้านบนสุดของหน้าต่างจะแสดงแพ็กเก็ตทั้งหมดที่พบในไฟล์การบันทึกที่ใช้งานอยู่ แต่ละแพ็คเก็ตมีแถวของตัวเองและหมายเลขที่เกี่ยวข้องที่กำหนดให้กับแต่ละจุดข้อมูลเหล่านี้:
- ไม่: ฟิลด์นี้ระบุว่าแพ็กเก็ตใดเป็นส่วนหนึ่งของการสนทนาเดียวกัน มันยังคงว่างเปล่าจนกว่าคุณจะเลือกแพ็กเก็ต
- เวลา: การประทับเวลาของเวลาที่จับแพ็กเก็ตจะปรากฏในคอลัมน์นี้ รูปแบบเริ่มต้นคือจำนวนวินาทีหรือบางส่วนของวินาทีเนื่องจากไฟล์จับเฉพาะนี้ถูกสร้างขึ้นครั้งแรก
- ที่มา: คอลัมน์นี้มีที่อยู่ (IP หรืออื่น ๆ ) ที่มาของแพ็กเก็ต
- ปลายทาง: คอลัมน์นี้มีที่อยู่ที่จะส่งแพ็กเก็ตไป
- Protocol: ชื่อโปรโตคอลของแพ็กเก็ตเช่น TCP สามารถพบได้ในคอลัมน์นี้
- ความยาว: ความยาวแพ็คเก็ตเป็นไบต์แสดงในคอลัมน์นี้
- ข้อมูล: รายละเอียดเพิ่มเติมเกี่ยวกับแพ็กเก็ตแสดงไว้ที่นี่ เนื้อหาของคอลัมน์นี้อาจแตกต่างกันไปมากขึ้นอยู่กับเนื้อหาแพ็คเก็ต
หากต้องการเปลี่ยนรูปแบบเวลาเป็นสิ่งที่มีประโยชน์มากขึ้น (เช่นเวลาจริงของวัน) ให้เลือก รายละเอียด > รูปแบบการแสดงเวลา.
:max_bytes(150000):strip_icc()/007-wireshark-tutorial-4143298-ac0e56f1a0984c1b93a91b1641c7fe88.jpg)
เมื่อแพ็คเก็ตถูกเลือกในบานหน้าต่างด้านบนคุณอาจสังเกตเห็นสัญลักษณ์อย่างน้อยหนึ่งสัญลักษณ์ปรากฏในไฟล์ เลขที่ คอลัมน์. วงเล็บเปิดหรือปิดและเส้นตรงแนวนอนระบุว่าแพ็กเก็ตหรือกลุ่มของแพ็กเก็ตเป็นส่วนหนึ่งของการสนทนาแบบไปกลับเดียวกันบนเครือข่าย เส้นแนวนอนที่ขาดแสดงว่าแพ็กเก็ตไม่ได้เป็นส่วนหนึ่งของการสนทนา
:max_bytes(150000):strip_icc()/008-wireshark-tutorial-4143298-13534b80059945e88759286cb3338360.jpg)
รายละเอียดแพ็คเก็ต
บานหน้าต่างรายละเอียดที่อยู่ตรงกลางจะแสดงโปรโตคอลและฟิลด์โปรโตคอลของแพ็กเก็ตที่เลือกในรูปแบบที่ยุบได้ นอกเหนือจากการขยายการเลือกแต่ละรายการคุณสามารถใช้ตัวกรอง Wireshark แต่ละรายการตามรายละเอียดที่เฉพาะเจาะจงและติดตามสตรีมข้อมูลตามประเภทโปรโตคอลโดยคลิกขวาที่รายการที่ต้องการ
:max_bytes(150000):strip_icc()/009-wireshark-tutorial-4143298-490a6676280b43cd900557647ff9e92d.jpg)
ไบต์ของแพ็คเก็ต
ที่ด้านล่างคือบานหน้าต่างแพ็คเก็ตไบต์ซึ่งแสดงข้อมูลดิบของแพ็กเก็ตที่เลือกในมุมมองเลขฐานสิบหก การถ่ายโอนข้อมูลฐานสิบหกนี้ประกอบด้วย 16 ไบต์ฐานสิบหกและ 16 ไบต์ ASCII พร้อมกับออฟเซ็ตข้อมูล
การเลือกส่วนที่เจาะจงของข้อมูลนี้จะไฮไลต์ส่วนที่เกี่ยวข้องโดยอัตโนมัติในบานหน้าต่างรายละเอียดแพ็คเก็ตและในทางกลับกัน ไบต์ใด ๆ ที่ไม่สามารถพิมพ์ได้จะแสดงด้วยจุด
:max_bytes(150000):strip_icc()/010-wireshark-tutorial-4143298-9b5ba526d6e54f8bb3ac49eaea6d08fa.jpg)
หากต้องการแสดงข้อมูลนี้ในรูปแบบบิตซึ่งตรงข้ามกับเลขฐานสิบหกให้คลิกขวาที่ใดก็ได้ในบานหน้าต่างแล้วเลือก เป็นบิต.
:max_bytes(150000):strip_icc()/011-wireshark-tutorial-4143298-0b7390128b5a47c38aca851eeed120b5.jpg)
วิธีใช้ตัวกรอง Wireshark
ตัวกรองการจับภาพสั่งให้ Wireshark บันทึกเฉพาะแพ็กเก็ตที่ตรงตามเกณฑ์ที่ระบุ นอกจากนี้ยังสามารถใช้ฟิลเตอร์กับไฟล์จับภาพที่สร้างขึ้นเพื่อให้แสดงเฉพาะบางแพ็กเก็ตเท่านั้น สิ่งเหล่านี้เรียกว่าตัวกรองการแสดงผล
Wireshark มีตัวกรองที่กำหนดไว้ล่วงหน้าจำนวนมากตามค่าเริ่มต้น หากต้องการใช้ตัวกรองที่มีอยู่เหล่านี้ให้ป้อนชื่อในไฟล์ ใช้ตัวกรองการแสดงผล ช่องป้อนข้อมูลที่อยู่ด้านล่างแถบเครื่องมือ Wireshark หรือใน ป้อนตัวกรองการจับภาพ ฟิลด์ที่อยู่ตรงกลางของหน้าจอต้อนรับ
ตัวอย่างเช่นหากคุณต้องการแสดงแพ็กเก็ต TCP ให้พิมพ์ TCP. ฟีเจอร์เติมข้อความอัตโนมัติของ Wireshark จะแสดงชื่อที่แนะนำเมื่อคุณเริ่มพิมพ์ทำให้ง่ายต่อการค้นหาชื่อเล่นที่ถูกต้องสำหรับตัวกรองที่คุณกำลังมองหา
:max_bytes(150000):strip_icc()/012-wireshark-tutorial-4143298-5e45505c0f434a9ba2d3a8f70a850617.jpg)
อีกวิธีในการเลือกตัวกรองคือการเลือกไฟล์ ที่คั่นหน้า ทางด้านซ้ายของช่องป้อนข้อมูล เลือก จัดการนิพจน์ตัวกรอง or จัดการตัวกรองการแสดงผล เพื่อเพิ่มลบหรือแก้ไขตัวกรอง
:max_bytes(150000):strip_icc()/013-wireshark-tutorial-4143298-f169e33e47ba4aafb336b9d47029867d.jpg)
คุณยังสามารถเข้าถึงตัวกรองที่ใช้ก่อนหน้านี้ได้โดยเลือกลูกศรลงทางด้านขวาของช่องป้อนข้อมูลเพื่อแสดงรายการแบบเลื่อนลงประวัติ
:max_bytes(150000):strip_icc()/014-wireshark-tutorial-4143298-f09d24778ff94ff29a2bbd3ee883fc4c.jpg)
ตัวกรองการจับภาพจะถูกนำไปใช้ทันทีที่คุณเริ่มบันทึกปริมาณการใช้งานเครือข่าย ในการใช้ตัวกรองการแสดงผลให้เลือกลูกศรขวาทางด้านขวาของช่องป้อนข้อมูล
กฎสีของ Wireshark
แม้ว่าตัวกรองการจับภาพและการแสดงผลของ Wireshark จะ จำกัด แพ็กเก็ตที่จะบันทึกหรือแสดงบนหน้าจอ แต่ฟังก์ชันการทำให้สีของมันจะก้าวไปอีกขั้น: สามารถแยกความแตกต่างระหว่างประเภทแพ็กเก็ตต่างๆตามเฉดสีของแต่ละบุคคล สิ่งนี้จะค้นหาแพ็กเก็ตบางแพ็กเก็ตภายในชุดที่บันทึกไว้อย่างรวดเร็วตามสีของแถวในบานหน้าต่างรายการแพ็กเก็ต
:max_bytes(150000):strip_icc()/wireshark-colors-59512e8f3df78cae8137715b.png)
Wireshark มาพร้อมกับกฎการระบายสีเริ่มต้นประมาณ 20 กฎโดยแต่ละกฎสามารถแก้ไขปิดใช้งานหรือลบได้ เลือก รายละเอียด > กฎการระบายสี เพื่อดูภาพรวมของความหมายของแต่ละสี คุณยังสามารถเพิ่มฟิลเตอร์ตามสีของคุณเองได้
:max_bytes(150000):strip_icc()/015-wireshark-tutorial-4143298-91567e80185c4f16bfc46f6793c0301a.jpg)
เลือก รายละเอียด > Colorize Packet List เพื่อเปิดและปิดการกำหนดสีของแพ็กเก็ต
สถิติใน Wireshark
เมตริกที่มีประโยชน์อื่น ๆ สามารถดูได้ผ่านไฟล์ สถิติ เมนูแบบเลื่อนลง ซึ่งรวมถึงข้อมูลขนาดและเวลาเกี่ยวกับไฟล์การจับภาพพร้อมด้วยแผนภูมิและกราฟหลายสิบรายการตั้งแต่การแยกย่อยการสนทนาแพ็คเก็ตไปจนถึงการโหลดการแจกจ่ายคำขอ HTTP
:max_bytes(150000):strip_icc()/020__wireshark-tutorial-4143298-24bfe8984431438b9ba2ec43f701607d.jpg)
ตัวกรองการแสดงผลสามารถนำไปใช้กับสถิติเหล่านี้ได้มากมายผ่านทางอินเทอร์เฟซและผลลัพธ์สามารถส่งออกไปยังรูปแบบไฟล์ทั่วไปรวมถึง CSV, XML และ TXT
คุณสมบัติขั้นสูงของ Wireshark
Wireshark ยังรองรับคุณสมบัติขั้นสูงรวมถึงความสามารถในการเขียนตัวแยกโปรโตคอลในภาษาโปรแกรม Lua