Hvordan bruger man Wireshark til netværksovervågning?

Posted on
  • Hvad er Wireshark?
  • Hvad er de vigtigste funktioner i Wireshark?
  • Hvordan installerer eller downloader man Wireshark?
  • Hvordan opfanges og analyseres datapakker ved hjælp af Wireshark?
  • Hvordan analyseres de opfangede netværkspakker?
  • Hvordan hjælper Wireshark med at overvåge netværkets ydeevne?
  • Hvad er filtrenes rolle i Wireshark?
  • Hvordan bruges farvekodning i Wireshark?
  • Hvordan vises netværksstatistik på Wireshark?
  • Hvordan visualiseres netværkspakker med IO-diagrammer?
  • Sådan udvider du Wireshark-funktionerne?

Med en stigning i efterspørgslen efter tilgængelige tjenester og applikationer er et godt netværk blevet vigtigere end nogensinde før. Problemer som f.eks. pakketab, latenstid, netværksnedbrud, hyppige fejl og rystelser kan hæmme den samlede brugeroplevelse. Netværksovervågning er blevet et afgørende og grundlæggende krav for små, mellemstore og store virksomheder. Det betragtes som den første forsvarslinje, når netværksserverens ydeevne begynder at blive forringet. Netværksovervågningsværktøjer hjælper teams med at vurdere netværksenhedernes tilgængelighed, kontrollere netværkets generelle tilstand og fejlfinding af præstationsproblemer som f.eks. båndbreddeforbrug/udnyttelse og nedetid i netværket.

Da markedet er oversvømmet af en lang række netværksovervågningsværktøjer, bliver det en udfordring at træffe en beslutning om at vælge en pålidelig overvågningsløsning. Forskellige netværksovervågningsværktøjer tilbyder forskellige grader af ydeevne og integrationsmuligheder. Nogle tilbyder fuldt integreret arkitektur, mens andre omfatter flere komponenter såsom databaser, polling engines, managementkonsoller og meget mere. Det kan være forvirrende for netværksadministratorer at vælge den bedste løsning med pålidelige og effektive overvågningsfunktioner. Derfor skal organisationer, før de foretager et valg, overveje at stille administratorerne følgende spørgsmål.

  • Hvilke enheder skal overvåges?
  • Er der behov for at overvåge hele organisationens netværk eller flere netværk?
  • Hvordan skal netværksovervågningsværktøjet integreres med det eksisterende system?
  • Hvilken type kernefunktionaliteter skal et værktøj have?

Der skal foretages grundig research for at afgøre, hvilket værktøj der tilbyder de mest fordelagtige funktioner for organisationen på lang sigt. Dette indlæg dækker en af de mest pålidelige netværksanalysatorer, der findes på markedet, kendt som Wireshark. Lad os tage et kig på, hvad Wireshark er, hvordan det hjælper med at opdage sikkerhedsproblemer, fejlfinding af netværksfejl, fejlfinding af protokoller, og hvordan Wireshark’s muligheder kan forbedres til avanceret netværksovervågning.

Hvad er Wireshark?

Wireshark er kendt som verdens førende analysator for netværkstrafik. Det er det bedste værktøj for systemadministratorer og it-professionelle til fejlfinding af netværksfejl i realtid. Wireshark opdager hurtigt netværksproblemer som f.eks. latenstid, mistænkelig aktivitet og tabte pakker. Den kan bore ned i trafikken og finde frem til den grundlæggende årsag til et problem. Normalt bruger netværksadministratorer Wireshark til at løse latensproblemer forårsaget af udstyr, der bruges til at dirigere trafik rundt i verden, og til at overvåge forsøg på dataekfiltrering mod forretningsaktiviteterne. Wireshark er et kraftfuldt, men gratis værktøj, der kræver omfattende viden om netværkets grundprincipper. For at udnytte værktøjet bedst muligt skal administratorer have en solid forståelse af protokoller som TCP/IP og DHCP.

Hvordan virker det?

Wireshark er et populært open source-værktøj til at opsamle netværkspakker og konvertere dem til et binært format, der kan læses af mennesker. Det giver hver eneste detalje af organisationens netværksinfrastruktur. Det består af enheder, der er designet til at hjælpe med at måle netværkets ins og outs. De oplysninger, der indsamles via Wireshark, kan bruges til forskellige formål, f.eks. til netværksanalyse i realtid eller offline, identifikation af den trafik, der kommer ind i dit netværk, dens frekvens og dens latenstid mellem specifikke hop. Dette hjælper netværksadministratorer med at generere statistikker baseret på data i realtid.

Flere end netværksovervågning bruger organisationer Wireshark til fejlfinding af programmer, undersøgelse af sikkerhedsproblemer og til at lære netværksprotokollens interne funktioner. Wireshark er designet til effektivt at udføre pakkerelaterede funktioner og analysere og vise netværksmetrikker over managementkonsollen.

  • Vis pakkeoplysninger i form af grafer, diagrammer og meget mere
  • Optag, eksporter, søg, gem, og importere live datapakker
  • Opbygge rapporter baseret på statistiske data i realtid
  • Filtrere pakker baseret på prioritet

Wireshark tilbyder også en fantastisk brugergrænseflade, da den er nem at bruge, når først holdene er blevet fortrolige med det grundlæggende i at opsamle pakker.

Hvad er de centrale funktioner i Wireshark?

Wireshark består af et rigt funktionssæt, herunder følgende:

  • Live capture og offline analyse
  • Rigtig VoIP-analyse
  • Læs/skriv mange forskellige capture-filformater
  • Fang komprimerede filer (gzip) og dekomprimer dem i farten
  • Dybdegående inspektion af hundredvis af protokoller
  • Standard tre-pane packet browser
  • De opfangede netværkspakker kan gennemses via en GUI eller TShark utility
  • Multi-platform let kørt på Linux, Windows, OS X og FreeBSD
  • Kraftige visningsfiltre
  • Output kan eksporteres til XML, CSV, PostScript eller som almindelig tekst
  • Pakkeliste kan bruge farvelægningsregler til hurtig og intuitiv analyse

Hvordan installerer eller downloader man Wireshark?

For at bruge Wireshark er det første, brugerne skal gøre, at downloade og installere Wireshark på systemet. Sørg for at downloade den nyeste version af værktøjet direkte fra virksomhedens websted for at få en bedre køreoplevelse. Nedenfor er angivet nogle få trin, som Wireshark nemt kan downloades og installeres efter.

  1. Installer på Mac

    For at installere Wireshark på Mac med succes skal brugerne downloade et installationsprogram som xquartz. Når installationsprogrammet er downloadet, skal du åbne Terminal og indtaste følgende kommando:
    <% /Applications/Wireshark.app/Contents/Mac0S/Wireshark>
    Venter på, at Wireshark starter.

  2. Installer på Windows

    For at køre Wireshark på Windows skal du besøge virksomhedens hjemmeside (Wireshark) og downloade programmet. Når det er gjort, skal du blot starte installationsprocessen. Installer også WinPcap, når den beder om det i løbet af installationsprocessen. WInPcap er vigtigt at installere, da det hjælper med at optage live netværkstrafik, og uden det kan brugerne kun få adgang til de allerede gemte optagelsesfiler. Hvis du vil installere WinPcap, skal du markere feltet Installer WinPcap.

  3. Installer på Unix

    Installation af Wireshark på Unix indebærer downloading af et par værktøjer såsom Glib, GTK+ og libcap. Både Glib og GTK+ kan installeres fra den samme værktøjskasse. Når alle disse tre understøttende værktøjer sammen med Wireshark er downloadet, kan Wireshark udtrækkes fra tar-filen.
    gzip -d wireshark-1.2-tar.gz
    tar xvf wireshark-1.2-tar
    Opfør tar-filen til Wireshark-mappen, og indtast følgende kommandoer:
    ./configure
    make
    make install
    Start Wireshark på Unix-systemet.

Hvordan opfanges og analyseres datapakker ved hjælp af Wireshark?

En af hovedfunktionerne i Wireshark er at optage datapakker for at foretage detaljerede netværksanalyser. Det kan dog være vanskeligt for begyndere, som ikke er bekendt med de involverede trin. Der er hovedsageligt tre vigtige trin:

  • Få adgang til administrative rettigheder for at begynde at opsamle realtidsdata direkte på enheden
  • Vælg den rigtige netværksgrænseflade til at opsamle pakkedata
  • Vælg den rigtige placering i netværket til at opsamle pakkedata

Når du har fulgt ovenstående trin, er Wireshark klar til at opsamle pakker. Normalt er der to opfangningstilstande: promiscuous og monitor. Promiscuous-tilstand indstiller netværksgrænsefladen til kun at opsamle de pakker, som den er tildelt til. Monitor-tilstand bruges af Unix/Linux-systemer og indstiller den trådløse grænseflade til at opfange så meget af netværket som muligt. De data, der indsamles under opsamling af pakker, vises i et menneskeligt læsbart format, så de er lettere at forstå. Da Wireshark opdeler de opfangede pakker i et læsbart format, kan brugerne udføre forskellige andre opgaver såsom at vælge filtre for at finde præcise oplysninger og farvekode de afgørende oplysninger. Med Wireshark kan administratorer også overvåge flere netværk samtidigt.

Usuelt bruges promiscuous mode af systemadministratorer til at få et fugleperspektiv af netværkspakkernes overførsel. Ved at deaktivere denne tilstand fås kun et lille øjebliksbillede af netværket, hvilket ikke er nok til at foretage kvalitetsanalyser. Promiscuous-tilstanden kan nemt aktiveres ved at klikke på de optagelsesmuligheder, der findes i dialogboksen. Promiscuous mode er dog ikke tilgængelig på alle programmer eller styresystemer. Derfor skal brugerne krydsbekræfte om softwarekompatibilitet enten ved at besøge Wireshark’s websted eller ved at bruge Enhedshåndtering til at kontrollere indstillingerne (hvis du er Windows-bruger).

Hvordan analyserer man de opfangede netværkspakker?

Når netværksdataene er opfanget, vises listen over netværkspakker på den centraliserede administrationskonsol eller dashboardet. Skærmbilledet består af tre ruder: pakkeliste, pakkebytes og pakkedetaljer. For at få vigtige oplysninger om de enkelte pakker skal brugerne dog klikke på et af de ovennævnte paneler for at få vigtige oplysninger om de enkelte pakker.

Pakkeliste

Fanebladet med pakkelisten består af opfangede netværkspakker, der kan gennemses, baseret på tidsstemplet for at vise præcis, hvornår pakken blev opfanget, pakkens protokolnavn, pakkens kilde og destination og supportoplysninger.

Pakkeoplysninger

Fanebladet med pakkeoplysninger giver oplysninger om den valgte pakke. Brugere kan udvide hvert afsnit og anvende filtre for at få oplysninger om specifikke elementer.

Packet Bytes

Packet bytes ruden består af de interne data for den pakke, som brugeren vælger. Dataene vises som standard i et hexadecimalt format.

Hvordan hjælper Wireshark med at overvåge netværkets ydeevne?

Når netværkspakkerne er opfanget, er det næste skridt at overvåge og analysere dem. Wireshark er et fantastisk værktøj til at analysere og overvåge organisationens aktive netværk. Inden dette gøres, er det vigtigt at lukke alle aktive applikationer på netværket ned for at reducere trafikken, hvilket er med til at give et klart billede af netværket. Hvis alle programmerne slukkes, vil det ikke resultere i tab af pakker; faktisk er afsendelse og modtagelse af pakker stadig en løbende proces.

Det er dog ikke nemmere at konceptualisere den enorme mængde data i det hele taget. Derfor opdeler Wireshark disse komponenter i forskellige former for at se, hvad der foregår i netværket. For at hjælpe brugerne med hurtigt at forstå og analysere de data, der kommer ind, bruger Wireshark farvekodning, filtre og netværksstatistik til at adskille netværksdataene.

Hvad er filtrenes rolle i Wireshark?

Filtre er fordelagtige, når man analyserer store filer og en betydelig mængde data. Filtre hjælper administratorer med at finde specifikke netværksdata ud af tusindvis af pakker, der rejser gennem netværket hvert sekund. Wireshark bruger de to mest almindelige typer filtre: Capture og Display, til at adskille data baseret på deres relevans. Capture-filteret samler data fra live-overvågning ved at reducere størrelsen af de indkommende pakker. Dette hjælper med at filtrere de ikke-væsentlige pakker fra under liveoptagelserne. Optagelsesfiltre indstilles dog, før filterprocessen begynder, og kan ikke ændres, når processen er startet. Visningsfiltre bruges derimod til at filtrere de allerede registrerede data.

Hvordan bruger man farvekodning i Wireshark?

Farvekodning foretages for at fremhæve de forskellige pakker baseret på visse faktorer. Dette hjælper brugerne til at identificere pakker baseret på farver. For eksempel betegnes UDP med lyseblå, ICMP med lyserød, TCP-trafik med lyslilla, og pakker med fejl fremhæves med sort. Wireshark’s standardindstillinger bruger tyve forskellige farver til at angive forskellige parametre. Brugere kan ændre, redigere, tilføje eller slette indstillingerne efter deres behov. Farvelægning kan også deaktiveres ved at slå feltet Colorize Packet List fra.

Hvordan kan man se netværksstatistik på Wireshark?

Statistiske data er gavnlige til at give dybdegående oplysninger om dit netværk. Hvis du vil se disse statistikker, skal du klikke på drop-down-menuen Statistik, der giver metrikker, der spænder fra timing og størrelse til plotning af grafer og diagrammer. Brugere kan også anvende et visningsfilter for at indsnævre listen over muligheder og finde frem til de relevante oplysninger. Drop-down-menuen med statistikker viser følgende metrikker:

  • Samtaler: Viser samtaler for to slutpunkter som to forskellige IP-adresser
  • Slutpunkter: Viser samtaler for to slutpunkter som to forskellige IP-adresser
  • Slutpunkter: Viser listen over slutpunkter
  • IO-grafer: Viser listen over slutpunkter
  • IO-grafer: Viser alle grafer
  • Protokolhierarki: Viser alle grafer
  • Protokolhierarki: Viser alle grafer: Viser tabellen over opfangede pakker
  • RTP_statistics: Viser tabellen over opfangede pakker
  • RTP_statistics: Viser tabellen over opfangede pakker: Hjælp brugerne til at gemme RTP-lydstrømsindholdet til Au-fil
  • Multicast Stream: Hjælp brugerne til at gemme RTP-lydstrømsindholdet til Au-fil
  • Måler hastigheden af andre komponenter ved at identificere multicast-strømme
  • TcpPduTime: Den tid, det tager at overføre data fra Data Protocol Unit
  • VoIP_Calls: Antallet af VolP-opkald modtaget fra liveoptagelser
  • Service Response Time: Den tid, det tager netværket at reagere på en anmodning

Hvordan visualiseres netværkspakker med IO-grafer?

Datapakker eller netværkstrafikken kan repræsenteres i et visuelt format, der kaldes IO-grafer. Brugere kan få vist IO-grafer ved at klikke på statistikmenuen og vælge fanen IP-graf. Når grafvinduet åbnes, kan brugerne se de data, de ønsker, ved at konfigurere grafindstillingerne i overensstemmelse hermed. På grund af Wireshark’s standardindstillinger vises kun én graf ad gangen. Hvis brugerne ønsker at aktivere flere grafer samtidig, skal de blot aktivere dem. Desuden kan brugerne også tilpasse graferne ved hjælp af filtre og farvekoder for at finde frem til de relevante oplysninger til formålet. Brugerne kan også ændre grafstrukturen fra stilkolonnen og kan vælge en hvilken som helst af dem: Line, Dot, Impulse, Fbar. Brugerne kan også ikke kun justere stilen på graferne, men kan også interagere med X- og Y-aksens metrikker i graferne. Når indstillingerne er foretaget, kan graferne gemmes i et filformat til fremtidige formål.

Hvordan kan man udvide Wireshark-funktionerne?

Wireshark er uden tvivl en fantastisk pakkesniffer, men der mangler nogle få fremskridt, når det gælder om at opfylde de voksende behov for netværksovervågning. Wireshark’s overvågningsmuligheder kan forbedres ved hjælp af supplerende værktøjer som SolarWinds® Response Time Viewer for Wireshark, Show Traffic, Cloudshark og NetworkMiner. Nedenfor beskrives disse værktøjers egenskaber, muligheder og funktioner, og hvordan de bidrager til at forbedre Wireshark’s netværksovervågningsmuligheder.

SolarWinds Network Performance Monitor

SolarWinds Network Performance Monitor (NPM) er en kraftfuld netværksovervågningssoftware, der bruges til at opdage, diagnosticere og løse netværksproblemer og -afbrydelser. Værktøjet er specielt designet til avanceret fejlfinding på netværket for on-premises, hybride og cloud-tjenester, og det opdager problemer med sin hop-by-hop-analyse. Det hjælper ikke kun med at gøre netværket skalerbart, men også sikkert. NPM er også i stand til at reducere nedetid, hvilket resulterer i forbedret driftseffektivitet, netværkstilgængelighed og højtydende applikationer. Den tilbyder out-of-the-box-funktioner, herunder intuitive dashboards, avancerede varslingssystemer, brugerdefinerede rapporter, pakkeanalyse og meget mere. Ud over hop-by-hop-analyse tilbyder NPM tilgængelighedsovervågning, korrelation af netværksdata på tværs af stakken, tilpasselig topologi, netværksopdagelse, kortlægningsfunktioner, pakkeoptagelsesanalyse, træk-og-deteknik-netværkspræstationsdiagrammer, statistiske basislinjer for netværkspræstationer og overvågning af hardwaretilstand. Med NPM kan områder med svage signaler eller døde zoner i netværket hurtigt identificeres ved hjælp af Wi-Fi-varmekort. Prøv det med en gratis, fuldt funktionsdygtig prøveversion.

SolarWinds Response Time Viewer for Wireshark

SolarWinds Response Time Viewer for Wireshark giver brugerne mulighed for at opdage og analysere Wiresharks pakkeoptagelser og fejlfinde udfald af netværkspræstationer i realtid. Den kan udføre flere opgaver såsom at identificere over 1200 applikationer, beregne deres netværksresponstid, vise data og transaktionsværdi, visualisering af kritiske stier med Netpath og overvågning og styring af trådløse netværk. Evaluering af disse parametre hjælper brugerne med at bestemme netværksfejl og fejl.

Cloudshark

Cloudshark er en platform, der er designet til at vise netværksoptagelsesfiler direkte i browseren uden behov for desktop-programmer eller værktøjer. Du skal blot uploade, e-maile eller linke optagelsesfilerne og få resultaterne. Det hjælper med at løse netværksproblemer hurtigere og fejlfrit. Desuden indeholder den funktioner som drag-and-drop capture-filer, drop-box-lignende aktivitet, giver mulighed for at dele links med kolleger og tilbyder avanceret analyse.

Sysdig

Sysdig er et kraftfuldt, cross-platform og open-source fleksibelt netværksovervågningssystem, der er designet specielt til Linux. Det fungerer også til Windows og Mac OSX, men med begrænsede funktionaliteter såsom inspektion, fejlfinding og systemanalyse. Sysdig bruger forskellige overvågnings- og fejlfindingsværktøjer til Linux-systemets ydeevne, f.eks:

  • Strace (til opdagelse af systemkald)
  • htop (til overvågning af processer i realtid)
  • iftop (til real-time båndbreddeovervågning)
  • netstat (til overvågning af netværksforbindelser)
  • tcpdump (til overvågning af rå netværkstrafik)
  • Isof (for at kende den proces, der bruges til at se de åbnede filer)

Sysdig integrerer alle de værktøjer, der er nævnt ovenfor, og tilbyder dem i et enkelt program. Brugere kan nemt optage, filtrere, gemme, ændre, spore og undersøge netværkstrafikken og den reelle adfærd i Linux-systemer. Sysdig funktioner omfatter:

  • Orchestrator-integrationer
  • Intuitive dashboards
  • Cloud-platformintegrationer
  • Anvendelsesintegrationer
  • Advarsler og hændelsesstyring
  • Sårbarhedsstyring
  • Generering af compliance/revisionsrapporter
  • Topologikort
  • Detektion af runtime-fejl
  • Filer til opsamling
  • Single sign-on

Debooke

Debooke er et af de enkleste og mest kraftfulde værktøjer til netværksovervågning og trafikanalyse til macOS. Værktøjet giver brugerne mulighed for at opsnappe og overvåge netværkstrafikken for enhver enhed i det samme undernet. Det hjælper med at fange data netværkspakke data fra enhver enhed som f.eks. en mobil, printer, Mac, TV og mere uden brug af en proxy. Funktioner af Debooke:

  • Hold styr på Wi-Fi båndbreddeforbrug og forbrug
  • Hjælp med netværksovervågning og dybdegående analyse
  • Vis Wi-Fi-klienterne og de API’er, som de er tilknyttet
  • Skan IP, LAN for at holde styr på alle aktive og tilsluttede enheder

Sluttanker

Wireshark er et simpelt, men alsidigt og kraftfuldt værktøj til netværksovervågning. Det er let at bruge og let at lære. Udover overvågning tilbyder Wireshark yderligere netværksanalysefunktioner som f.eks:

  • IO grafer for at hjælpe brugerne med at forstå deres netværk visuelt
  • Farvekodning for at fremhæve forskellige parametre eller netværksoplysninger til fremtidig brug
  • Filtre for at få de relevante oplysninger, der kræves til formålet

Men for de nye brugere, der er villige til at prøve Wireshark, er det tilrådeligt at foretage nogle yderligere undersøgelser og få detaljerede oplysninger om Wireshark ved at besøge hjemmesiden. For eksisterende brugere, der er på udkig efter mere avancerede netværksovervågnings- og analysefunktioner og ønsker at oprette deres protokoldissektorer, kan du prøve at bruge de eksterne plugins og støtteprogrammer, der er fremhævet ovenfor.

SolarWinds Network Performance Monitor og Response Time Viewer for Wireshark er professionelle værktøjer og fungerer fantastisk. De kan ikke kun identificere og fejlfinding af netværksproblemer i realtid, men også udføre flere opgaver samtidig, såsom visning af vigtige data, beregning af netværkets responstid og meget mere. Disse værktøjer øger dybden af netværksanalyseindsatsen dramatisk.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.