Jak používat Wireshark pro monitorování sítě?

  • Co je Wireshark?
  • Jaké jsou základní funkce Wiresharku?
  • Jak nainstalovat nebo stáhnout Wireshark?
  • Jak zachytit a analyzovat datové pakety pomocí programu Wireshark?
  • Jak analyzovat zachycené síťové pakety?
  • Jak pomáhá Wireshark při monitorování výkonu sítě?
  • Jaká je role filtrů v programu Wireshark?
  • Jak používat barevné kódování v programu Wireshark?
  • Jak zobrazit síťové statistiky v programu Wireshark?
  • Jak vizualizovat síťové pakety pomocí IO grafů?
  • Jak rozšířit možnosti programu Wireshark?

S nárůstem poptávky po dostupných službách a aplikacích se kvalitní síť stala důležitější než kdy dříve. Problémy, jako je ztráta paketů, latence, výpadky sítě, časté chyby a záškuby, mohou zhoršit celkový uživatelský zážitek. Monitorování sítě se stalo klíčovým a základním požadavkem pro malé, střední i velké podniky. Je považováno za první linii obrany, když se výkon síťového serveru začne zhoršovat. Nástroje pro monitorování sítě pomáhají týmům vyhodnocovat dostupnost síťových zařízení, kontrolovat celkový stav sítě a řešit problémy s výkonem, jako je spotřeba/využití šířky pásma a výpadky sítě.

Jelikož je trh zaplaven širokou škálou nástrojů pro monitorování sítě, stává se rozhodování o výběru spolehlivého monitorovacího řešení náročným. Různé nástroje pro monitorování sítě nabízejí různou míru výkonu a možností integrace. Některé nabízejí plně integrovanou architekturu, zatímco jiné obsahují více komponent, jako jsou databáze, dotazovací enginy, konzoly pro správu a další. Výběr nejlepšího řešení se spolehlivými a efektivními monitorovacími funkcemi může být pro správce sítě matoucí. Před výběrem proto musí organizace zvážit, zda správcům položit následující otázky:

  • Která zařízení je třeba monitorovat?
  • Je třeba monitorovat celou síť organizace nebo více sítí?
  • Jak se bude nástroj pro monitorování sítě integrovat se stávajícím systémem?
  • Jaký typ základních funkcí musí nástroj mít?

Je třeba provést důkladný průzkum, aby bylo možné určit, který nástroj nabízí pro organizaci dlouhodobě nejvýhodnější funkce. Tento příspěvek se zabývá jedním z nejspolehlivějších síťových analyzátorů dostupných na trhu, známým jako Wireshark. Podívejme se, co je to Wireshark, jak pomáhá při odhalování bezpečnostních problémů, odstraňování chyb v síti, ladění protokolů a jak lze rozšířit možnosti nástroje Wireshark pro pokročilé monitorování sítě.

Co je Wireshark?

Wireshark je známý jako přední světový analyzátor síťového provozu. Je to nejlepší nástroj pro správce systémů a IT profesionály pro odstraňování chyb v síti v reálném čase. Wireshark rychle odhalí síťové problémy, jako je latence, podezřelá aktivita a zahozené pakety. Dokáže proniknout do provozu a zjistit hlavní příčinu problému. Správci sítí obvykle používají Wireshark k řešení problémů s latencí způsobenou zařízeními používanými ke směrování provozu po celém světě a ke sledování pokusů o exfiltraci dat proti podnikovým operacím. Wireshark je výkonný, ale bezplatný nástroj vyžadující rozsáhlé znalosti základů síťování. Aby správci mohli nástroj co nejlépe využívat, musí dobře rozumět protokolům, jako jsou TCP/IP a DHCP.

Jak funguje?

Wireshark je populární open-source nástroj pro zachytávání síťových paketů a jejich převod do binárního formátu čitelného pro člověka. Poskytuje každý detail síťové infrastruktury organizace. Skládá se ze zařízení navržených tak, aby pomohla měřit vnitřnosti sítě. Informace shromážděné pomocí nástroje Wireshark lze využít k různým účelům, jako je analýza sítě v reálném čase nebo offline, identifikace provozu přicházejícího do sítě, jeho frekvence a latence mezi konkrétními skoky. To pomáhá správcům sítě vytvářet statistiky na základě dat v reálném čase.

Kromě monitorování sítě používají organizace nástroj Wireshark k ladění programů, zkoumání bezpečnostních problémů a poznávání vnitřností síťových protokolů. Wireshark je navržen tak, aby efektivně prováděl funkce související s pakety a analyzoval a zobrazoval síťové metriky prostřednictvím konzoly pro správu.

  • Zobrazení informací o paketech ve formě grafů, diagramů a dalších
  • Zachycení, export, vyhledávání, uložení, a importovat živá data paketů
  • Vytvářet sestavy na základě statistických dat v reálném čase
  • Filtrovat pakety na základě priority

Wireshark nabízí také skvělé uživatelské rozhraní, protože se snadno používá, jakmile se týmy seznámí se základy zachytávání paketů.

Jaké jsou základní funkce programu Wireshark?

Wireshark se skládá z bohaté sady funkcí, která zahrnuje následující:

  • Živé zachycení a offline analýza
  • Bohatá analýza VoIP
  • Čtení/zápis mnoha různých formátů zachycených souborů
  • Zachycení komprimovaných souborů (gzip) a jejich dekomprimace za běhu
  • Hloubková kontrola stovek protokolů
  • Standardní tři-panelový prohlížeč paketů
  • Zachycené síťové pakety lze prohlížet pomocí grafického rozhraní nebo nástroje TShark
  • Multiplatformní, snadno spustitelný v systému Linux, Windows, OS X a FreeBSD
  • Výkonné zobrazovací filtry
  • Výstup lze exportovat do XML, CSV, PostScriptu nebo jako prostý text
  • Seznam paketů může využívat barevná pravidla pro rychlou a intuitivní analýzu

Jak nainstalovat nebo stáhnout Wireshark?

Chce-li uživatel používat Wireshark, musí si nejprve stáhnout a nainstalovat Wireshark do systému. Ujistěte se, že jste si stáhli nejnovější verzi nástroje přímo z webových stránek společnosti, abyste mohli lépe pracovat. Níže je uvedeno několik kroků, podle kterých lze Wireshark snadno stáhnout a nainstalovat.

  1. Instalace na Macu

    Pro úspěšnou instalaci Wiresharku na Macu si uživatelé musí stáhnout instalační program, například xquartz. Po stažení instalačního programu otevřete Terminál a zadejte následující příkaz:
    <% /Applications/Wireshark.app/Contents/Mac0S/Wireshark>
    Jen počkejte, až se Wireshark spustí.

  2. Instalace v systému Windows

    Chcete-li spustit Wireshark v systému Windows, navštivte webové stránky společnosti (Wireshark) a stáhněte si program. Po jeho dokončení jednoduše spusťte proces instalace. Nainstalujte také program WinPcap, jakmile vás k tomu během instalačního procesu vyzve. WInPcap je důležité nainstalovat, protože pomáhá při zachycování živého síťového provozu a bez něj mají uživatelé přístup pouze k již uloženým souborům zachycení. Chcete-li nainstalovat WinPcap, zaškrtněte políčko Instalovat WinPcap.

  3. Instalace v systému Unix

    Instalace programu Wireshark v systému Unix zahrnuje stažení několika nástrojů, například Glib, GTK+ a libcap. Glib i GTK+ lze nainstalovat ze stejné sady nástrojů. Jakmile jsou všechny tyto tři podpůrné nástroje spolu s Wiresharkem staženy, lze Wireshark ze souboru tar rozbalit.
    gzip -d wireshark-1.2-tar.gz
    tar xvf wireshark-1.2-tar
    Přepněte soubor tar do adresáře Wireshark a zadejte následující příkazy:
    ./configure
    make
    make install

    Spustit Wireshark v systému Unix.

Jak zachytávat a analyzovat datové pakety pomocí programu Wireshark?

Jednou z hlavních funkcí programu Wireshark je zachytávání datových paketů pro provádění podrobné analýzy sítě. Pro začátečníky, kteří nejsou obeznámeni s příslušnými kroky, to však může být složité. Existují hlavně tři důležité kroky:

  • Získejte přístup k právům správce, abyste mohli začít zachytávat data v reálném čase přímo na zařízení
  • Vyberte správné síťové rozhraní pro zachytávání datových paketů
  • Vyberte správné místo v síti pro zachytávání datových paketů

Po provedení výše uvedených kroků je Wireshark připraven k zachytávání paketů. Obvykle existují dva režimy zachytávání: promiskuitní a monitorovací. Promiskuitní režim nastaví síťové rozhraní tak, aby zachytávalo pouze pakety, pro které je přiřazeno. Režim monitor se používá v systémech Unix/Linux a nastavuje bezdrátové rozhraní tak, aby zachytilo co největší část sítě. Data shromážděná při zachycování paketů se zobrazují v lidsky čitelném formátu, takže jsou snáze uchopitelná. Protože Wireshark rozdělí zachycené pakety do čitelného formátu, mohou uživatelé provádět různé další úkoly, například vybírat filtry pro vyhledání přesných informací a barevně označovat klíčové informace. Pomocí nástroje Wireshark mohou správci také sledovat více sítí současně.

Obvykle správci systémů používají promiskuitní režim, aby získali pohled na přenos síťových paketů z ptačí perspektivy. Při vypnutí tohoto režimu je k dispozici pouze malý snímek sítě, který nestačí k provedení kvalitní analýzy. Promiskuitní režim lze snadno aktivovat klepnutím na možnosti snímání uvedené v dialogovém okně. Režim promiskuitního snímání však není k dispozici v každém softwaru nebo operačním systému. Uživatelé si proto musí kompatibilitu softwaru křížově ověřit buď na webových stránkách aplikace Wireshark, nebo pomocí Správce zařízení (v případě, že jste uživatelem systému Windows).

Jak analyzovat zachycené síťové pakety?

Po zachycení síťových dat se seznam síťových paketů zobrazí na centralizované konzole pro správu nebo na ovládacím panelu. Obrazovka se skládá ze tří panelů: seznam paketů, bajty paketů a podrobnosti o paketech. Pro získání důležitých informací o jednotlivých paketech však uživatelé musí kliknout na některý z výše uvedených panelů.

Seznam paketů

Panel seznamu paketů se skládá z procházení zachycených síťových paketů na základě časového razítka, které přesně ukazuje, kdy byl paket zachycen, název protokolu paketu, zdroj a cíl paketu a informace o podpoře.

Podrobnosti o paketu

Panel podrobností o paketu poskytuje informace o vybraném paketu. Uživatelé mohou rozbalit jednotlivé části a použít filtry pro získání informací o konkrétních položkách.

Packet Bytes

Panel bytes paketu obsahuje vnitřní data paketu, který uživatel vybral. Data jsou ve výchozím nastavení zobrazena v hexadecimálním formátu.

Jak Wireshark pomáhá při sledování výkonu sítě?

Po zachycení síťových paketů je dalším krokem jejich sledování a analýza. Wireshark je skvělý nástroj pro analýzu a monitorování aktivní sítě organizace. Předtím je důležité ukončit všechny aktivní aplikace v síti, aby se snížil provoz, což pomůže získat jasný obraz o síti. Vypnutí všech aplikací nebude mít za následek ztrátu paketů; odesílání a přijímání paketů je totiž stále probíhající proces.

Konceptualizace obrovského množství dat dohromady však není jednodušší. Proto program Wireshark rozděluje tyto komponenty do různých forem, aby bylo možné zjistit, co se v síti děje. Aby Wireshark pomohl uživatelům rychle pochopit a analyzovat přicházející data, používá barevné kódování, filtry a síťové statistiky k rozdělení síťových dat.

Jaká je role filtrů ve Wiresharku?

Filtry jsou přínosné při analýze velkých souborů a značného množství dat. Filtry pomáhají správcům najít konkrétní síťová data z tisíců paketů, které každou sekundu procházejí sítí. Wireshark používá dva nejběžnější typy filtrů: Capture a Display, které slouží k rozdělení dat podle jejich významu. Filtr zachycení shromažďuje data živého monitorování zmenšením velikosti příchozích paketů. To pomáhá při odfiltrování nedůležitých paketů během živého zachycování. Filtry zachycení se však nastavují před zahájením procesu filtrování a po jeho spuštění je nelze měnit. Naproti tomu filtry zobrazení slouží k filtrování již zaznamenaných dat.

Jak používat barevné kódování ve Wiresharku?

Barevné kódování slouží ke zvýraznění různých paketů na základě určitých faktorů. To pomáhá uživatelům identifikovat pakety na základě barev. Například UDP je označen světle modrou barvou, ICMP světle růžovou, provoz TCP světle fialovou a pakety s chybami jsou zvýrazněny černou barvou. Výchozí nastavení aplikace Wireshark používá dvacet různých barev pro označení různých parametrů. Uživatelé mohou nastavení měnit, upravovat, přidávat nebo odstraňovat podle svých požadavků. Vybarvování lze také vypnout vypnutím pole Colorize Packet List (Vybarvit seznam paketů).

Jak zobrazit síťové statistiky v aplikaci Wireshark?

Statistická data jsou přínosná při poskytování podrobných informací o síti. Chcete-li tyto statistiky zobrazit, klikněte na rozbalovací nabídku statistik, která poskytuje metriky od časování a velikosti až po vykreslování grafů a diagramů. Uživatelé mohou také použít filtr zobrazení, aby zúžili seznam možností a zjistili relevantní informace. Rozbalovací nabídka statistik zobrazuje následující metriky:

  • Konverzace: Zobrazuje konverzace dvou koncových bodů, jako jsou dvě různé adresy IP
  • Koncové body: Zobrazí seznam koncových bodů
  • IO Graphs: Zobrazí seznam koncových bodů
  • : Hierarchie protokolů: Zobrazí všechny grafy
  • Hierarchie protokolů: Zobrazí tabulku zachycených paketů
  • RTP_statistics: Pomáhá uživatelům uložit obsah RTP audio streamu do Au-souboru
  • Multicast Stream: Zobrazí obsah RTP audio streamu: Měří rychlost ostatních komponent pomocí identifikace multicastových proudů
  • TcpPduTime: Čas potřebný k přenosu dat z jednotky datového protokolu
  • VoIP_Calls: Počet volání VolP přijatých z živých snímků
  • Service Response Time: Doba, za kterou síť odpoví na požadavek

How to Visualize Network Packets Wfith IO Graphs?

Datové pakety nebo síťový provoz lze znázornit ve vizuálním formátu známém jako IO grafy. Uživatelé mohou zobrazit IO grafy kliknutím na nabídku statistik a výběrem karty IP graf. Po otevření okna grafu si uživatelé mohou zobrazit data, která si přejí, a to tak, že odpovídajícím způsobem nakonfigurují nastavení grafu. Vzhledem k výchozímu nastavení programu Wireshark se zobrazuje vždy pouze jeden graf. Pokud chtějí uživatelé aktivovat více grafů současně, stačí je povolit. Uživatelé si navíc mohou grafy přizpůsobit pomocí filtrů a barevných kódů, aby zjistili relevantní informace pro daný účel. Uživatelé mohou také upravit strukturu grafu ze sloupce stylů a mohou si vybrat libovolný z nich: Line, Dot, Impulse, Fbar. Uživatelé také mohou nejen upravovat styl grafů, ale mohou také zasahovat do metrik na osách X a Y grafů. Po dokončení nastavení lze grafy uložit ve formátu souboru pro budoucí účely.

Jak rozšířit možnosti Wiresharku?

Wireshark je nepochybně skvělý sniffer paketů, ale chybí mu několik pokroků, pokud jde o uspokojení rostoucích potřeb monitorování sítě. Monitorovací schopnosti nástroje Wireshark lze vylepšit pomocí doplňkových nástrojů, jako jsou SolarWinds® Response Time Viewer for Wireshark, Show Traffic, Cloudshark a NetworkMiner. Níže jsou uvedeny vlastnosti, možnosti a funkce těchto nástrojů a způsob, jakým pomáhají rozšiřovat možnosti monitorování sítě nástrojem Wireshark.

SolarWinds Network Performance Monitor

SolarWinds Network Performance Monitor (NPM) je výkonný software pro monitorování sítě, který slouží k odhalování, diagnostice a řešení problémů a výpadků sítě. Nástroj je speciálně navržen pro pokročilé řešení problémů se sítí pro lokální, hybridní a cloudové služby a odhaluje problémy pomocí analýzy hop-by-hop. Pomáhá nejen zajistit škálovatelnost sítě, ale také její bezpečnost. NPM také dokáže zkrátit prostoje, což vede ke zlepšení provozní efektivity, dostupnosti sítě a vysoce výkonným aplikacím. Nabízí hotové funkce včetně intuitivních ovládacích panelů, pokročilých systémů upozornění, vlastních reportů, analýzy paketů a dalších. Kromě analýzy hop-by-hop nabízí NPM monitorování dostupnosti, korelaci síťových dat napříč stacky, přizpůsobitelnou topologii, zjišťování sítě, možnosti mapování, analýzu zachycení paketů, grafy výkonnosti sítě založené na přetahování, statistické výchozí hodnoty výkonnosti sítě a monitorování stavu hardwaru. Pomocí NPM lze rychle identifikovat oblasti se slabým signálem nebo mrtvé zóny sítě pomocí tepelných map Wi-Fi. Vyzkoušejte si jej pomocí bezplatné, plně funkční zkušební verze.

SolarWinds Response Time Viewer for Wireshark

SolarWinds Response Time Viewer for Wireshark umožňuje uživatelům detekovat a analyzovat zachycené pakety Wireshark a řešit výpadky výkonu sítě v reálném čase. Dokáže provádět více úloh, jako je identifikace více než 1200 aplikací, výpočet jejich doby odezvy v síti, zobrazení dat a hodnoty transakcí, vizualizace kritické cesty pomocí funkce Netpath a monitorování a správa bezdrátové sítě. Vyhodnocení těchto parametrů pomáhá uživatelům určit nedostatky a závady sítě.

Cloudshark

Cloudshark je platforma určená k zobrazení souborů zachycujících síť přímo v prohlížeči bez nutnosti použití desktopových aplikací nebo nástrojů. Stačí nahrát, odeslat e-mailem nebo propojit soubory zachycení a získat výsledky. Pomáhá rychleji a bezchybně řešit síťové problémy. Kromě toho obsahuje funkce, jako je přetahování zachycených souborů, činnost podobná drop-boxu, umožňuje sdílení odkazů se spolupracovníky a nabízí pokročilou analýzu.

Sysdig

Sysdig je výkonný, multiplatformní a flexibilní systém monitorování sítě s otevřeným zdrojovým kódem navržený speciálně pro Linux. Funguje také pro Windows a Mac OSX, ale s omezenými funkcemi, jako je kontrola, ladění a analýza systému. Sysdig používá různé nástroje pro monitorování a řešení problémů s výkonem systému Linux, jako např:

  • Strace (pro zjišťování systémových volání)
  • htop (pro sledování procesů v reálném čase)
  • iftop (pro sledování procesů v reál-sledování šířky pásma v reálném čase)
  • netstat (pro sledování síťového připojení)
  • tcpdump (pro sledování surového síťového provozu)
  • Isof (pro zjištění procesu použitého k zobrazení otevřených souborů)

Sysdig integruje všechny výše uvedené nástroje a nabízí je v jediném programu. Uživatelé mohou snadno zachytávat, filtrovat, ukládat, upravovat, sledovat a zkoumat síťový provoz a skutečné chování systémů Linux. Mezi funkce programu Sysdig patří:

  • Integrace s nástrojem Orchestrator
  • Intuitivní ovládací panely
  • Cloud-platformy
  • Integrace aplikací
  • Upozorňování a správa událostí
  • Správa zranitelností
  • Generování zpráv o shodě/auditu
  • Mapy topologie
  • Detekce chyb v běhu
  • Zachytávání souborů
  • Jednotný podpis-on

Debooke

Debooke je jeden z nejjednodušších a nejvýkonnějších nástrojů pro monitorování sítě a analýzu provozu pro macOS. Nástroj umožňuje uživatelům zachytit a sledovat síťový provoz libovolného zařízení ve stejné podsíti. Pomáhá zachytit data síťových paketů z libovolného zařízení, jako je mobilní telefon, tiskárna, Mac, televizor a další, bez použití proxy serveru. Funkce aplikace Debooke:

  • Sledujte využití a spotřebu šířky pásma Wi-Fi
  • Pomáhá s monitorováním sítě a hloubkovou analýzou
  • Zobrazuje klienty Wi-Fi a rozhraní API, ke kterým jsou připojeni
  • Skenuje IP, LAN pro sledování všech aktivních a připojených zařízení

Závěrečné myšlenky

Wireshark je jednoduchý, ale všestranný a výkonný nástroj pro monitorování sítě. Snadno se používá a snadno se učí. Kromě monitorování nabízí Wireshark další funkce pro analýzu sítě, např:

  • IO grafy, které pomáhají uživatelům vizuálně pochopit jejich síť
  • Barevné kódování pro zvýraznění různých parametrů nebo informací o síti pro budoucí použití
  • Filtry pro získání relevantních informací potřebných pro daný účel

Pro nové uživatele, kteří chtějí vyzkoušet Wireshark, je však vhodné provést další průzkum a získat podrobné informace o Wiresharku návštěvou webových stránek. Stávající uživatelé, kteří hledají pokročilejší funkce pro monitorování a analýzu sítě a chtějí si vytvořit vlastní dissektory protokolů, mohou zkusit použít výše zdůrazněné externí zásuvné moduly a podpůrné programy.

SolarWinds Network Performance Monitor a Response Time Viewer pro Wireshark jsou profesionální nástroje a fungují úžasně. Dokážou nejen identifikovat a řešit problémy se sítí v reálném čase, ale také provádět více úloh současně, například zobrazovat základní data, vypočítávat dobu odezvy sítě a další. Tyto nástroje výrazně zvyšují hloubku úsilí při analýze sítě.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.