tags: Wireshark

Обзор на работу с Wireshark.

Используемые источники:

По началу вам может показаться программа жутко не понятной и страшной, но помере изучения сетевых протоколов с помощью нее вы будете все лучше в ней разбираться и по итогу поймете на сколько это крутой инструмент в жизни админа.

Мини-обзор Wireshark.

На странице загрузки лежит исполняемый файл для установки. Довольно просто ставится и драйвер захвата пакетов, с помощью которого сетевая карта переходит в «неразборчивый» режим (promiscuous mode позволяет принимать все пакеты независимо от того, кому они адресованы).

Начало работы с Wireshark.

И так программа встречает нас следующим интерфейсом:

Image Not Showing Possible Reasons

The image file may be corrupted
The server hosting the image is unavailable
The image path is incorrect
The image format is not supported

Вот тут показанны сетевые интефейсы и активность сетевого трафика на них.

Image Not Showing Possible Reasons

The image file may be corrupted
The server hosting the image is unavailable
The image path is incorrect
The image format is not supported

Кликнув по интерфейсу вы перейдете в режим захвата трафика.

Image Not Showing Possible Reasons

The image file may be corrupted
The server hosting the image is unavailable
The image path is incorrect
The image format is not supported

Что тут можно увидить:

Во первых это поле управления. Для начало достаточно знать что синий плавник это режим захвата, а красный квадрат останавливает захват трафика.

Image Not Showing Possible Reasons

The image file may be corrupted
The server hosting the image is unavailable
The image path is incorrect
The image format is not supported

А вот тут есть "поисковик", здесь вы можете указывать различные фильтры чтобы отобразить тот трафик который вас интересует. Можно фильтровать по протоколу, IP адресу, mac адресу и много почему еще.

Image Not Showing Possible Reasons

The image file may be corrupted
The server hosting the image is unavailable
The image path is incorrect
The image format is not supported

Вот тут у нас указанны колонки отображаемой информации из пакета (по умолчанию) они беруться из профиля Wireshark и вы можете создовать профили для разных задач.

Image Not Showing Possible Reasons

The image file may be corrupted
The server hosting the image is unavailable
The image path is incorrect
The image format is not supported

В данном случае у нас есть:

No - Номер захваченного пакета.
Time - Указываеться время когда был захвачен пакет с момента запуска захвата трафика.
Source - В этом столбце отображаеться IP адрес отправителя пакета.
Destination - В этом столбце отображаеться IP адрес того кому отправляеться пакет.
Protocol - Ту указываеться к какому протоколу относиться пакет.
Length - Размер пакета.
Info - Разная полезная информация.

Список захваченных пакетов с "быстрой информацией" по пакету.

Image Not Showing Possible Reasons

The image file may be corrupted
The server hosting the image is unavailable
The image path is incorrect
The image format is not supported

Если кликнуть по пакету то у нас появиться следующее меню:

Image Not Showing Possible Reasons

The image file may be corrupted
The server hosting the image is unavailable
The image path is incorrect
The image format is not supported

Тут у нас есть две области:

В содержимое пакета в читаемом для человека виде.
Image Not Showing Possible Reasons
- The image file may be corrupted
- The server hosting the image is unavailable
- The image path is incorrect
- The image format is not supported
Learn More →
В этом поле у нас байт код. Справа иногда можно увидить полезную информацию.
Image Not Showing Possible Reasons
- The image file may be corrupted
- The server hosting the image is unavailable
- The image path is incorrect
- The image format is not supported
Learn More →

Вы можете разворачивать списки и смотреть подробную информацию по пакету:

Image Not Showing Possible Reasons

The image file may be corrupted
The server hosting the image is unavailable
The image path is incorrect
The image format is not supported

Фильтры Wireshark ^[2].

Как говорилось раннее в Wireshark можно фильтровать трафик. Давайте рассмотрем основные фильтры:

ip.dst - целевой IP-адрес;
ip.src - IP-адрес отправителя;
ip.addr - IP отправителя или получателя;
ip.proto - протокол;
tcp.dstport - порт назначения;
tcp.srcport - порт отправителя;
ip.ttl - фильтр по ttl, определяет сетевое расстояние;
http.request_uri - запрашиваемый адрес сайта.

Для указания отношения между полем и значением в фильтре можно использовать такие операторы:

== - равно;
!= - не равно;
< - меньше;
> - больше;
<= - меньше или равно;
>= - больше или равно;
matches - регулярное выражение;
contains - содержит.

Для объединения нескольких выражений можно применять:

&& - оба выражения должны быть верными для пакета;
|| - может быть верным одно из выражений.

Итог

На данный момент вы ознакомились с Wireshark, ваша задача установить программу и попробывать позахватывать пакеты потыкать разные кнопочки. Походу лабораторных работ вы будете узновать новые моменты связанные с Wireshark.