สิ่งที่ต้องรู้
- Wireshark เป็นแอปพลิเคชั่นโอเพนซอร์สที่รวบรวมและแสดงข้อมูลที่เดินทางไปมาบนเครือข่าย
- เนื่องจากสามารถเจาะลึกและอ่านเนื้อหาของแต่ละแพ็กเก็ตได้จึงใช้เพื่อแก้ไขปัญหาเครือข่ายและทดสอบซอฟต์แวร์
คำแนะนำในบทความนี้ใช้กับ Wireshark 3.0.3 สำหรับ Windows และ Mac
Wireshark คืออะไร?
เดิมรู้จักกันในชื่อ Ethereal Wireshark แสดงข้อมูลจากโปรโตคอลที่แตกต่างกันหลายร้อยแบบในเครือข่ายหลักทุกประเภท สามารถดูแพ็กเก็ตข้อมูลแบบเรียลไทม์หรือวิเคราะห์แบบออฟไลน์ Wireshark รองรับรูปแบบไฟล์การบันทึก / ติดตามจำนวนมากรวมถึง CAP และ ERF เครื่องมือถอดรหัสแบบรวมจะแสดงแพ็กเก็ตที่เข้ารหัสสำหรับโปรโตคอลทั่วไปหลายตัวรวมถึง WEP และ WPA / WPA2
วิธีดาวน์โหลดและติดตั้ง Wireshark
สามารถดาวน์โหลด Wireshark ได้โดยไม่มีค่าใช้จ่ายจากเว็บไซต์ Wireshark Foundation สำหรับทั้ง macOS และ Windows คุณจะเห็นเวอร์ชันเสถียรล่าสุดและรุ่นที่กำลังพัฒนาในปัจจุบัน หากคุณไม่ใช่ผู้ใช้ขั้นสูงให้ดาวน์โหลดเวอร์ชันเสถียร
ระหว่างขั้นตอนการตั้งค่า Windows ให้เลือกติดตั้ง WinPcap or Npcap หากได้รับแจ้งเนื่องจากสิ่งเหล่านี้รวมถึงไลบรารีที่จำเป็นสำหรับการบันทึกข้อมูลสด
คุณต้องลงชื่อเข้าใช้อุปกรณ์ในฐานะผู้ดูแลระบบเพื่อใช้ Wireshark ใน Windows 10 ค้นหา Wireshark และเลือก เรียกใช้ในฐานะผู้ดูแล. ใน macOS ให้คลิกขวาที่ไอคอนแอพแล้วเลือก รับข้อมูล. ใน การแบ่งปันและสิทธิ์ การตั้งค่าให้ผู้ดูแลระบบ อ่านเขียน สิทธิพิเศษ
แอปพลิเคชั่นนี้ยังพร้อมใช้งานสำหรับ Linux และแพลตฟอร์มอื่น ๆ ที่คล้าย UNIX เช่น Red Hat, Solaris และ FreeBSD ไบนารีที่จำเป็นสำหรับระบบปฏิบัติการเหล่านี้สามารถพบได้ที่ด้านล่างของหน้าดาวน์โหลด Wireshark ในส่วน แพ็คเกจของบุคคลที่สาม มาตรา. คุณยังสามารถดาวน์โหลดซอร์สโค้ดของ Wireshark ได้จากหน้านี้
วิธีจับแพ็กเก็ตข้อมูลด้วย Wireshark
เมื่อคุณเปิด Wireshark หน้าจอต้อนรับจะแสดงรายการการเชื่อมต่อเครือข่ายที่มีอยู่ในอุปกรณ์ปัจจุบันของคุณ ที่แสดงทางด้านขวาของแต่ละรายการคือกราฟเส้นสไตล์ EKG ซึ่งแสดงถึงปริมาณการใช้งานจริงบนเครือข่ายนั้น
ในการเริ่มบันทึกแพ็กเก็ตด้วย Wireshark:
-
เลือกเครือข่ายอย่างน้อยหนึ่งเครือข่ายไปที่แถบเมนูจากนั้นเลือก การจับกุม.
ในการเลือกหลายเครือข่ายให้กดปุ่ม เปลี่ยน สำคัญในขณะที่คุณทำการเลือก
-
ตัว Vortex Indicator ได้ถูกนำเสนอลงในนิตยสาร อินเตอร์เฟซการจับภาพ Wireshark เลือก เริ่มต้น.
มีวิธีอื่น ๆ ในการเริ่มต้นการจับแพ็กเก็ต เลือกไฟล์ หูฉลาม ทางด้านซ้ายของแถบเครื่องมือ Wireshark กดCtrl + Eหรือดับเบิลคลิกที่เครือข่าย
-
เลือก เนื้อไม่มีมัน > บันทึกเป็น หรือเลือกไฟล์ ส่งออก ตัวเลือกในการบันทึกการจับภาพ
-
ในการหยุดจับภาพให้กด Ctrl + E. หรือไปที่แถบเครื่องมือ Wireshark แล้วเลือกสีแดง หยุด ปุ่มที่อยู่ถัดจากครีบฉลาม
วิธีดูและวิเคราะห์เนื้อหาแพ็คเก็ต
อินเทอร์เฟซข้อมูลที่บันทึกประกอบด้วยสามส่วนหลัก:
- บานหน้าต่างรายการแพ็กเก็ต (ส่วนบนสุด)
- บานหน้าต่างรายละเอียดแพ็กเก็ต (ส่วนตรงกลาง)
- บานหน้าต่างแพ็คเก็ตไบต์ (ส่วนด้านล่าง)
รายการแพ็คเก็ต
บานหน้าต่างรายการแพ็กเก็ตซึ่งอยู่ที่ด้านบนสุดของหน้าต่างจะแสดงแพ็กเก็ตทั้งหมดที่พบในไฟล์การบันทึกที่ใช้งานอยู่ แต่ละแพ็คเก็ตมีแถวของตัวเองและหมายเลขที่เกี่ยวข้องที่กำหนดให้กับแต่ละจุดข้อมูลเหล่านี้:
- ไม่: ฟิลด์นี้ระบุว่าแพ็กเก็ตใดเป็นส่วนหนึ่งของการสนทนาเดียวกัน มันยังคงว่างเปล่าจนกว่าคุณจะเลือกแพ็กเก็ต
- เวลา: การประทับเวลาของเวลาที่จับแพ็กเก็ตจะปรากฏในคอลัมน์นี้ รูปแบบเริ่มต้นคือจำนวนวินาทีหรือบางส่วนของวินาทีเนื่องจากไฟล์จับเฉพาะนี้ถูกสร้างขึ้นครั้งแรก
- ที่มา: คอลัมน์นี้มีที่อยู่ (IP หรืออื่น ๆ ) ที่มาของแพ็กเก็ต
- ปลายทาง: คอลัมน์นี้มีที่อยู่ที่จะส่งแพ็กเก็ตไป
- Protocol: ชื่อโปรโตคอลของแพ็กเก็ตเช่น TCP สามารถพบได้ในคอลัมน์นี้
- ความยาว: ความยาวแพ็คเก็ตเป็นไบต์แสดงในคอลัมน์นี้
- ข้อมูล: รายละเอียดเพิ่มเติมเกี่ยวกับแพ็กเก็ตแสดงไว้ที่นี่ เนื้อหาของคอลัมน์นี้อาจแตกต่างกันไปมากขึ้นอยู่กับเนื้อหาแพ็คเก็ต
หากต้องการเปลี่ยนรูปแบบเวลาเป็นสิ่งที่มีประโยชน์มากขึ้น (เช่นเวลาจริงของวัน) ให้เลือก รายละเอียด > รูปแบบการแสดงเวลา.
เมื่อแพ็คเก็ตถูกเลือกในบานหน้าต่างด้านบนคุณอาจสังเกตเห็นสัญลักษณ์อย่างน้อยหนึ่งสัญลักษณ์ปรากฏในไฟล์ เลขที่ คอลัมน์. วงเล็บเปิดหรือปิดและเส้นตรงแนวนอนระบุว่าแพ็กเก็ตหรือกลุ่มของแพ็กเก็ตเป็นส่วนหนึ่งของการสนทนาแบบไปกลับเดียวกันบนเครือข่าย เส้นแนวนอนที่ขาดแสดงว่าแพ็กเก็ตไม่ได้เป็นส่วนหนึ่งของการสนทนา
รายละเอียดแพ็คเก็ต
บานหน้าต่างรายละเอียดที่อยู่ตรงกลางจะแสดงโปรโตคอลและฟิลด์โปรโตคอลของแพ็กเก็ตที่เลือกในรูปแบบที่ยุบได้ นอกเหนือจากการขยายการเลือกแต่ละรายการคุณสามารถใช้ตัวกรอง Wireshark แต่ละรายการตามรายละเอียดที่เฉพาะเจาะจงและติดตามสตรีมข้อมูลตามประเภทโปรโตคอลโดยคลิกขวาที่รายการที่ต้องการ
ไบต์ของแพ็คเก็ต
ที่ด้านล่างคือบานหน้าต่างแพ็คเก็ตไบต์ซึ่งแสดงข้อมูลดิบของแพ็กเก็ตที่เลือกในมุมมองเลขฐานสิบหก การถ่ายโอนข้อมูลฐานสิบหกนี้ประกอบด้วย 16 ไบต์ฐานสิบหกและ 16 ไบต์ ASCII พร้อมกับออฟเซ็ตข้อมูล
การเลือกส่วนที่เจาะจงของข้อมูลนี้จะไฮไลต์ส่วนที่เกี่ยวข้องโดยอัตโนมัติในบานหน้าต่างรายละเอียดแพ็คเก็ตและในทางกลับกัน ไบต์ใด ๆ ที่ไม่สามารถพิมพ์ได้จะแสดงด้วยจุด
หากต้องการแสดงข้อมูลนี้ในรูปแบบบิตซึ่งตรงข้ามกับเลขฐานสิบหกให้คลิกขวาที่ใดก็ได้ในบานหน้าต่างแล้วเลือก เป็นบิต.
วิธีใช้ตัวกรอง Wireshark
ตัวกรองการจับภาพสั่งให้ Wireshark บันทึกเฉพาะแพ็กเก็ตที่ตรงตามเกณฑ์ที่ระบุ นอกจากนี้ยังสามารถใช้ฟิลเตอร์กับไฟล์จับภาพที่สร้างขึ้นเพื่อให้แสดงเฉพาะบางแพ็กเก็ตเท่านั้น สิ่งเหล่านี้เรียกว่าตัวกรองการแสดงผล
Wireshark มีตัวกรองที่กำหนดไว้ล่วงหน้าจำนวนมากตามค่าเริ่มต้น หากต้องการใช้ตัวกรองที่มีอยู่เหล่านี้ให้ป้อนชื่อในไฟล์ ใช้ตัวกรองการแสดงผล ช่องป้อนข้อมูลที่อยู่ด้านล่างแถบเครื่องมือ Wireshark หรือใน ป้อนตัวกรองการจับภาพ ฟิลด์ที่อยู่ตรงกลางของหน้าจอต้อนรับ
ตัวอย่างเช่นหากคุณต้องการแสดงแพ็กเก็ต TCP ให้พิมพ์ TCP. ฟีเจอร์เติมข้อความอัตโนมัติของ Wireshark จะแสดงชื่อที่แนะนำเมื่อคุณเริ่มพิมพ์ทำให้ง่ายต่อการค้นหาชื่อเล่นที่ถูกต้องสำหรับตัวกรองที่คุณกำลังมองหา
อีกวิธีในการเลือกตัวกรองคือการเลือกไฟล์ ที่คั่นหน้า ทางด้านซ้ายของช่องป้อนข้อมูล เลือก จัดการนิพจน์ตัวกรอง or จัดการตัวกรองการแสดงผล เพื่อเพิ่มลบหรือแก้ไขตัวกรอง
คุณยังสามารถเข้าถึงตัวกรองที่ใช้ก่อนหน้านี้ได้โดยเลือกลูกศรลงทางด้านขวาของช่องป้อนข้อมูลเพื่อแสดงรายการแบบเลื่อนลงประวัติ
ตัวกรองการจับภาพจะถูกนำไปใช้ทันทีที่คุณเริ่มบันทึกปริมาณการใช้งานเครือข่าย ในการใช้ตัวกรองการแสดงผลให้เลือกลูกศรขวาทางด้านขวาของช่องป้อนข้อมูล
กฎสีของ Wireshark
แม้ว่าตัวกรองการจับภาพและการแสดงผลของ Wireshark จะ จำกัด แพ็กเก็ตที่จะบันทึกหรือแสดงบนหน้าจอ แต่ฟังก์ชันการทำให้สีของมันจะก้าวไปอีกขั้น: สามารถแยกความแตกต่างระหว่างประเภทแพ็กเก็ตต่างๆตามเฉดสีของแต่ละบุคคล สิ่งนี้จะค้นหาแพ็กเก็ตบางแพ็กเก็ตภายในชุดที่บันทึกไว้อย่างรวดเร็วตามสีของแถวในบานหน้าต่างรายการแพ็กเก็ต
Wireshark มาพร้อมกับกฎการระบายสีเริ่มต้นประมาณ 20 กฎโดยแต่ละกฎสามารถแก้ไขปิดใช้งานหรือลบได้ เลือก รายละเอียด > กฎการระบายสี เพื่อดูภาพรวมของความหมายของแต่ละสี คุณยังสามารถเพิ่มฟิลเตอร์ตามสีของคุณเองได้
เลือก รายละเอียด > Colorize Packet List เพื่อเปิดและปิดการกำหนดสีของแพ็กเก็ต
สถิติใน Wireshark
เมตริกที่มีประโยชน์อื่น ๆ สามารถดูได้ผ่านไฟล์ สถิติ เมนูแบบเลื่อนลง ซึ่งรวมถึงข้อมูลขนาดและเวลาเกี่ยวกับไฟล์การจับภาพพร้อมด้วยแผนภูมิและกราฟหลายสิบรายการตั้งแต่การแยกย่อยการสนทนาแพ็คเก็ตไปจนถึงการโหลดการแจกจ่ายคำขอ HTTP
ตัวกรองการแสดงผลสามารถนำไปใช้กับสถิติเหล่านี้ได้มากมายผ่านทางอินเทอร์เฟซและผลลัพธ์สามารถส่งออกไปยังรูปแบบไฟล์ทั่วไปรวมถึง CSV, XML และ TXT
คุณสมบัติขั้นสูงของ Wireshark
Wireshark ยังรองรับคุณสมบัติขั้นสูงรวมถึงความสามารถในการเขียนตัวแยกโปรโตคอลในภาษาโปรแกรม Lua