Sådan bruger du Wireshark til at inspicere netværkstrafik

Wireshark er en gratis pakkeanalysator med åben kildekode. Det bruges til fejlfinding, analyse, software og udvikling af kommunikationsprotokoller i netværk. Den giver dig mulighed for at se, hvad der sker på dit netværk på et mikroskopisk niveau, og den er de facto (og ofte de jure) standard på tværs af mange kommercielle og non-profit virksomheder, offentlige myndigheder og uddannelsesinstitutioner. Wireshark er et værktøj på tværs af platforme, der kører på Linux, Microsoft Windows, macOS, BSD, Solaris og andre Unix-lignende operativsystemer.

Indholdsfortegnelse

Sådan installeres Wireshark i Linux?

For at installere Wireshark skal du blot indtaste følgende kommando i din terminal – sudo apt-get install Wireshark Wireshark Wireshark vil derefter blive installeret og være tilgængelig til brug. Hvis du kører Wireshark som en ikke-root-bruger (hvilket du bør gøre), vil du på dette tidspunkt støde på en fejlmeddelelse, der siger:
“No interface can be used for capturing in this system with the current configuration”.Følgende trin vil rette op på dette.

Opret en Wireshark-gruppe.

sudo groupadd wireshark 

Føj dit brugernavn til Wireshark-gruppen –

sudo usermod -a -G wireshark USERNAME 

Ændre gruppens ejerskab af filen dumpcap til wireshark –

sudo chgrp wireshark /usr/bin/dumpcap 

Ændre tilstanden for filen. dumpcap til at tillade udførelse af gruppen wireshark –

sudo chmod 750 /usr/bin/dumpcap 

Giv kapacitet med setcap –

sudo setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap 

Verificer ændringen –

sudo getcap /usr/bin/dumpcap 

Hvad bruges Wireshark til?

Wireshark har en ganske omfattende anvendelse eller brug. Her er et par eksempler på, hvad folk bruger Wireshark til:

  • Netværksadministratorer bruger det til at fejlfinde netværksproblemer
  • Netværkssikkerhedsingeniører bruger det til at undersøge sikkerhedsproblemer
  • Udviklere bruger det til at fejlfinde protokolimplementeringer
  • Andre bruger det til at lære netværksprotokollers interne funktioner

Funktioner i et overblik

Det følgende er nogle af de mange funktioner, som Wireshark tilbyder:

  • Optag levende pakkedata fra en netværksgrænseflade.
  • Åbn filer, der indeholder pakkedata, der er optaget med tcpdump/WinDump, Wireshark og en række andre pakkeoptagelsesprogrammer.
  • Importér pakker fra tekstfiler, der indeholder hex-dumps af pakkedata.
  • Vis pakker med meget detaljerede protokoloplysninger.
  • Spar pakkedata, der er opfanget.
  • Eksportér nogle eller alle pakker i en række opfangningsfilformater.
  • Filtrer pakker på mange kriterier.
  • Søg efter pakker på mange kriterier.
  • Kolorér pakkevisningen baseret på filtre.
  • Opret forskellige statistikker.

Hvordan bruger man Wireshark til at inspicere netværkspakker i Linux?

Optagelse af pakker

Når du har downloadet og installeret Wireshark, kan du starte det og klikke på navnet på en grænseflade under Grænsefladelisten for at begynde at opsamle pakker på den pågældende grænseflade. Hvis du f.eks. ønsker at registrere trafik på det trådløse netværk, skal du klikke på din trådløse grænseflade. Du kan konfigurere avancerede funktioner ved at klikke på Capture Options (Indstillinger for opsamling).

Så snart du klikker på grænsefladens navn, kan du se, at pakkerne begynder at blive vist i realtid. Wireshark opfanger hver enkelt pakke, der sendes til eller fra dit system. Hvis du opfanger på en trådløs grænseflade og har promiscuous mode aktiveret i dine optagelsesindstillinger, vil du også se andre de andre pakker på netværket.

Farvekodning

Du vil sandsynligvis se pakker, der er fremhævet med grøn, blå og sort. Wireshark bruger farver til at hjælpe dig med at identificere trafiktyperne ved et hurtigt overblik. Som standard er grøn TCP-trafik, mørkeblå er DNS-trafik, lyseblå er UDP-trafik, og sort identificerer TCP-pakker med problemer – de kan f.eks. være blevet leveret i forkert rækkefølge.

Konklusion

Som jeg nævnte tidligere, er Wireshark tilgængelig på alle platforme, men ingen af disse andre platforme har samme funktionsniveau som Linux.

Wireshark er et ekstremt kraftfuldt værktøj, og denne vejledning kradser kun på overfladen af, hvad du kan gøre med det. Fagfolk bruger det til at fejlfinde netværksprotokolimplementeringer, undersøge sikkerhedsproblemer og inspicere netværksprotokollers interne dele. Tjek denne officielle DOKUMENTATION for at se mere om, hvad du kan gøre med Wireshark.


LinuxAndUbuntu-hosting er sponsoreret af massiveGRID

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.