###### tags: Wireshark # Обзор на работу с Wireshark. Используемые источники: 1. [Wireshark Sample Captures](https://wiki.wireshark.org/SampleCaptures). 2. [Используем Wireshark для анализа трафика](https://losst.pro/kak-polzovatsya-wireshark-dlya-analiza-trafika). :::info По началу вам может показаться программа жутко не понятной и страшной, но помере изучения сетевых протоколов с помощью нее вы будете все лучше в ней разбираться и по итогу поймете на сколько это крутой инструмент в жизни админа. ::: ## Мини-обзор Wireshark. На [странице загрузки](https://www.wireshark.org/download.html) лежит исполняемый файл для установки. Довольно просто ставится и драйвер захвата пакетов, с помощью которого сетевая карта переходит в **«неразборчивый» режим** (promiscuous mode позволяет принимать все пакеты независимо от того, кому они адресованы). ### Начало работы с Wireshark. И так программа встречает нас следующим интерфейсом:  Вот тут показанны сетевые интефейсы и активность сетевого трафика на них.  Кликнув по интерфейсу вы перейдете в режим захвата трафика.  Что тут можно увидить: Во первых это поле управления. Для начало достаточно знать что синий плавник это режим захвата, а красный квадрат останавливает захват трафика.  А вот тут есть "поисковик", здесь вы можете указывать различные фильтры чтобы отобразить тот трафик который вас интересует. Можно фильтровать по протоколу, IP адресу, mac адресу и много почему еще.  Вот тут у нас указанны колонки отображаемой информации из пакета (по умолчанию) они беруться из профиля Wireshark и вы можете создовать профили для разных задач.  В данном случае у нас есть: **No** - Номер захваченного пакета. **Time** - Указываеться время когда был захвачен пакет с момента запуска захвата трафика. **Source** - В этом столбце отображаеться IP адрес отправителя пакета. **Destination** - В этом столбце отображаеться IP адрес того кому отправляеться пакет. **Protocol** - Ту указываеться к какому протоколу относиться пакет. **Length** - Размер пакета. **Info** - Разная полезная информация. Список захваченных пакетов с "быстрой информацией" по пакету.  Если кликнуть по пакету то у нас появиться следующее меню:  Тут у нас есть две области: 1. В содержимое пакета в читаемом для человека виде.  2. В этом поле у нас байт код. Справа иногда можно увидить полезную информацию.  Вы можете разворачивать списки и смотреть подробную информацию по пакету:  ### Фильтры Wireshark ^[2]^. Как говорилось раннее в Wireshark можно фильтровать трафик. Давайте рассмотрем основные фильтры: - ip.dst - целевой IP-адрес; - ip.src - IP-адрес отправителя; - ip.addr - IP отправителя или получателя; - ip.proto - протокол; - tcp.dstport - порт назначения; - tcp.srcport - порт отправителя; - ip.ttl - фильтр по ttl, определяет сетевое расстояние; - http.request_uri - запрашиваемый адрес сайта. Для указания отношения между полем и значением в фильтре можно использовать такие операторы: - == - равно; - != - не равно; - < - меньше; - \> - больше; - <= - меньше или равно; - \>= - больше или равно; - matches - регулярное выражение; - contains - содержит. Для объединения нескольких выражений можно применять: - && - оба выражения должны быть верными для пакета; - || - может быть верным одно из выражений. ### Итог На данный момент вы ознакомились с Wireshark, ваша задача установить программу и попробывать позахватывать пакеты потыкать разные кнопочки. Походу лабораторных работ вы будете узновать новые моменты связанные с Wireshark.