Как да улавяте пакети в WireShark

Wireshark е безценен инструмент за мрежов анализ, който превежда данните, пътуващи през вашите мрежи, в четим формат. Можете да идентифицирате проблеми с мрежата или сигурността, да отстранявате грешки в реализациите на протоколи или просто да наблюдавате трафика, като улавяте пакети с Wireshark.

Как да улавяте пакети в WireShark

Погледнете по-отблизо какво се случва във вашата мрежа, като уловите точната информация, от която се нуждаете. Ето как да улавяте различни типове пакети в Wireshark.

Как да улавяте пакети

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Започването на процеса на заснемане в Wireshark отнема само няколко кликвания. Всичко, което трябва да направите, е да стартирате режим на заснемане и данните ще започнат да се изливат нефилтрирани. Въпреки че този нефилтриран режим е страхотен, когато имате нужда от пълен отчет за случващото се, количеството данни, уловени по този начин, може да бъде огромно. За да го направите по-управляем, можете да използвате филтри и да улавяте само определен тип данни. По-долу ще намерите стъпките за това.

Засега нека да видим как да започнете да улавяте всички пакети в Wireshark:

  1. Уверете се, че имате инсталирана най-новата версия на Wireshark. Можете да вземете програмата безплатно от официалния Wireshark уебсайт.

  2. Стартирайте програмата. Ще бъдете посрещнати от началния екран със списъка на вашите открити мрежи.
  3. Започнете да улавяте пакети по един от следните начини:

Забележка: Можете да коригирате опциите за заснемане – като например безразборен режим – преди да започнете, като щракнете върху „Заснемане“ и след това също върху „Опции“.

Веднага след като щракнете върху мрежовия интерфейс или бутона за стартиране, ще бъдете отведени до екрана за заснемане. Ще видите как Wireshark грабва пакети с данни в реално време. След като сте доволни от количеството събрани данни, можете да спрете заснемането, като щракнете върху червения бутон за спиране в горната лента с инструменти. Започнете да анализирате данните веднага или ги запазете за по-късно, като щракнете върху „Файл“ и след това върху „Запазване като…“ в лентата с менюта.

Как да улавяте UDP пакети

Следването на стъпките по-горе ще подкани програмата да улови всички пакети. Въпреки че различните видове трафик са лесно различими в Wireshark благодарение на цветното кодиране, все пак ще трябва да пресеете много данни. Ако търсите само информация за определени пакети, можете да използвате филтри, за да улесните работата си.

Wireshark поддържа филтри за заснемане и показване. Използването на филтър за улавяне ще означава, че програмата улавя само пакетите, които дефинирате. Филтрите за показване просто филтрират през вече заснети пакети. Двата филтъра работят по различен начин и използват различни команди, така че ще трябва да решите кой най-добре отговаря на вашите нужди.

Ако искате да уловите само UDP трафик, използвайте филтър за заснемане, преди да започнете процеса на заснемане.

  1. Стартирайте Wireshark.
  2. Потърсете лентата на филтъра за заснемане на началния екран. Това е точно над вашия мрежов списък.
  3. Въведете „udp“ в лентата на филтъра за улавяне и натиснете Enter, за да започнете да прихващате UDP трафик. Можете също така да добавите конкретен порт след „udp“, ако искате да укажете допълнително вашия филтър.

Съвет: Друг начин да настроите вашите филтри за заснемане е да щракнете върху „Заснемане“, след това върху „Опции“ в менюто. Филтърната лента ще бъде в долната част на интерфейса за заснемане.

Wireshark Как да улавяте DHCP пакети

За да улавяте изключително DHCP пакети, ще трябва да въведете съответния номер на порт във филтъра за заснемане. Използвайте филтъра за улавяне „порт 67“ или „порт 68“ или комбинацията от двата „порт 67 или порт 68“, за да прихванете DHCP пакети.

По същия начин филтърът на дисплея може да филтрира DHCP пакети в екрана за заснемане. Не забравяйте обаче, че филтрите за показване използват различен синтаксис от филтрите за улавяне. Ще трябва да въведете „udp.port == 68“ в лентата за филтър на дисплея.

Как да заснемате Ping пакети

Най-добрият начин за улавяне на ping пакети (известен още като трафик на ехо на протокол за контролни съобщения в Интернет (ICMP)) в Wireshark е чрез използване на филтър за показване в режим на улавяне. Ето го процеса.

  1. Отворете Wireshark и започнете процеса на заснемане, както е описано по-горе.
  2. Отворете командния си ред и изпратете ping на адреса по ваш избор.
  3. Върнете се в Wireshark и спрете процеса на заснемане.
  4. Създайте филтър за ping пакети, като напишете „icmp“ в лентата за филтриране на дисплея, след което натиснете Enter.

Ще видите както заявките, така и отговорите на ping в списъка с пакети.

Wireshark Как да улавяте пакети от конкретен IP адрес

Ако искате да фокусирате улавянето си върху конкретен IP адрес, въведете следния филтър за улавяне, преди да започнете улавянето: „хост (IP адресът, който искате да запишете).“ Например прихващането на пакети, свързани с IP адреса 111.11.1.1, ще изисква филтъра „хост 111.11.1.1“ в лентата на филтъра за улавяне.

Можете също така да определите дали искате да уловите трафик към или от конкретен IP адрес, като добавите „src“ за източник или „dst“ за местоназначение в началото вместо „хост:“

  • въведете „src 111.11.1.1“ за пакети, идващи от въпросния IP адрес
  • въведете „dst 111.11.1.1“ за пакети, които се изпращат до въпросния IP адрес

Естествено, можете да комбинирате тези филтри, за да посочите трафика, който искате да уловите допълнително. Свържете двата филтъра с „и“, за да накарате пакетите да пътуват между двата IP адреса, които дефинирате. Например „src 111.11.1.1 и dst 222.22.2.2“ ще улови само пакетите, изпратени от 111.11.1.1 до 222.22.2.2.

Използвайте филтри за показване, за да филтрирате пакети, свързани с конкретен IP адрес във вече уловен набор от данни. За горепосочения IP адрес въведете „ip.addr == 111.11.1.1“ в лентата за филтриране на дисплея и т.н.

Често задавани въпроси

Как да заснема пакети от рутера в Wireshark?

Можете да улавяте пакети от рутер с Wireshark само ако имате рутер, който поддържа дублиране на портове. Първо, ще трябва да отразявате трафика в LAN порт. Процесът може да се различава в зависимост от вашето устройство.

1. Отидете на LAN и след това на LAN Port Mirror.

2. Разрешете дублиране на портове.

3. Конфигурирайте изходната и крайната точка.

Ако можете да огледате трафика си по този начин, ще можете да улавяте пакети от рутера нормално в режим на заснемане на Wireshark.

Защо не мога да заснема пакети в Wireshark?

Ако вашият Wireshark не улавя никакви пакети, разгледайте следните възможности за отстраняване на проблема:

• Уверете се, че нямате активирани прекалено специфични филтри за улавяне.

• Потърсете актуализации на Wireshark в менюто Помощ.

• Проверете дали защитната стена не блокира вашето приложение Wireshark.

Ако нито един от горните фактори не се отнася за вас, проблемът най-вероятно е във вашия хардуер.

Трябва да заснема всички

Улавянето на пакети с Wireshark отнема само няколко кликвания. Това вероятно ще бъде най-лесната част от вашата задача за отстраняване на неизправности. Уловете целия трафик и филтрирайте пакетите по-късно или използвайте филтри за улавяне, за да запишете само определен тип данни.

Успяхте ли да заснемете желаните пакети с тези съвети? Кои филтри за улавяне на Wireshark намирате за най-полезни? Уведомете ни в секцията за коментари по-долу.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Подобни статии

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *