Jak używać Wiresharka do monitorowania sieci?

Posted on
  • Co to jest Wireshark?
  • Jakie są podstawowe cechy Wiresharka?
  • Jak zainstalować lub pobrać Wiresharka?
  • Jak przechwytywać i analizować pakiety danych za pomocą Wiresharka?
  • Jak analizować przechwycone pakiety sieciowe?
  • Jak Wireshark pomaga w monitorowaniu wydajności sieci?
  • Jaka jest rola filtrów w Wiresharku?
  • Jak używać kodowania kolorami w Wiresharku?
  • Jak wyświetlać statystyki sieciowe w Wiresharku?
  • Jak wizualizować pakiety sieciowe za pomocą wykresów IO?
  • How to Expand Wireshark Capabilities?

Wraz ze wzrostem zapotrzebowania na dostępne usługi i aplikacje, dobra sieć stała się ważniejsza niż kiedykolwiek wcześniej. Problemy takie jak utrata pakietów, opóźnienia, przestoje sieci, częste błędy i zakłócenia mogą utrudniać ogólne wrażenia użytkownika. Monitorowanie sieci stało się kluczowym i podstawowym wymogiem dla małych, średnich i dużych przedsiębiorstw. Jest on uważany za pierwszą linię obrony, gdy wydajność serwera sieciowego zaczyna się pogarszać. Narzędzia do monitorowania sieci pomagają zespołom ocenić dostępność urządzeń sieciowych, aby sprawdzić ogólny stan sieci i rozwiązywać problemy z wydajnością, takie jak zużycie/wykorzystanie pasma i przestoje sieci.

Jak rynek jest zalany szeroką gamą narzędzi do monitorowania sieci, staje się wyzwaniem do podjęcia decyzji o wyborze wiarygodnego rozwiązania do monitorowania. Różne narzędzia do monitorowania sieci oferują różny stopień wydajności i możliwości integracji. Niektóre oferują w pełni zintegrowaną architekturę, podczas gdy inne zawierają wiele komponentów, takich jak bazy danych, silniki pollingu, konsole zarządzania i inne. Wybór najlepszego rozwiązania z niezawodnymi i efektywnymi funkcjami monitorowania może być mylący dla administratorów sieci. Dlatego przed dokonaniem wyboru organizacje powinny rozważyć zadanie administratorom następujących pytań.

  • Jakie urządzenia wymagają monitorowania?
  • Czy istnieje potrzeba monitorowania całej sieci organizacji lub wielu sieci?
  • Jak narzędzie do monitorowania sieci zintegruje się z istniejącym systemem?
  • Jakiego rodzaju podstawowe funkcjonalności musi posiadać narzędzie?

Dokładne badania należy wykonać w celu określenia, które narzędzie oferuje najbardziej korzystne funkcje dla organizacji w dłuższej perspektywie. Ten post dotyczy jednego z najbardziej niezawodnych analizatorów sieci dostępnych na rynku, znanego jako Wireshark. Przyjrzyjmy się, czym jest Wireshark, jak pomaga w wykrywaniu problemów bezpieczeństwa, rozwiązywaniu problemów z błędami sieciowymi, debugowaniu protokołów oraz jak można zwiększyć możliwości Wiresharka w celu zaawansowanego monitorowania sieci.

Czym jest Wireshark?

Wireshark jest znany jako wiodący na świecie analizator ruchu sieciowego. Jest to najlepsze narzędzie dla administratorów systemów i specjalistów IT do rozwiązywania problemów z błędami sieciowymi w czasie rzeczywistym. Wireshark szybko wykrywa problemy sieciowe, takie jak opóźnienia, podejrzana aktywność i porzucone pakiety. Wireshark potrafi zagłębić się w ruch sieciowy i znaleźć przyczynę problemu. Zwykle administratorzy sieci używają Wiresharka do rozwiązywania problemów związanych z opóźnieniami powodowanymi przez sprzęt używany do trasowania ruchu na całym świecie oraz do monitorowania prób eksfiltracji danych przeciwko operacjom biznesowym. Wireshark jest potężnym, ale darmowym narzędziem wymagającym szerokiej wiedzy z zakresu podstaw sieci komputerowych. Aby jak najlepiej wykorzystać to narzędzie, administratorzy muszą mieć solidną wiedzę na temat protokołów takich jak TCP/IP i DHCP.

Jak to działa?

Wireshark jest popularnym narzędziem open-source do przechwytywania pakietów sieciowych i konwertowania ich na format binarny czytelny dla człowieka. Zapewnia on każdy szczegół infrastruktury sieciowej organizacji. Składa się z urządzeń zaprojektowanych tak, aby pomóc zmierzyć tajniki działania sieci. Informacje zebrane za pomocą Wiresharka mogą być wykorzystane do różnych celów, takich jak analiza sieci w czasie rzeczywistym lub offline, identyfikacja ruchu przychodzącego do sieci, jego częstotliwości i opóźnień pomiędzy poszczególnymi węzłami. Pomaga to administratorom sieci generować statystyki na podstawie danych w czasie rzeczywistym.

Poza monitorowaniem sieci, organizacje używają Wiresharka do debugowania programów, badania kwestii bezpieczeństwa i poznawania wewnętrznych protokołów sieciowych. Wireshark został zaprojektowany do efektywnego wykonywania funkcji związanych z pakietami oraz analizowania i wyświetlania metryk sieciowych za pomocą konsoli zarządzania.

  • Wyświetlanie informacji o pakietach w postaci wykresów, diagramów i innych
  • Przechwytywanie, eksportowanie, wyszukiwanie, zapisywanie, i importuj pakiety danych na żywo
  • Buduj raporty na podstawie danych statystycznych w czasie rzeczywistym
  • Filtruj pakiety na podstawie priorytetu

Wireshark oferuje również świetny interfejs użytkownika, ponieważ jest łatwy w użyciu, gdy tylko zespoły zapoznają się z podstawami przechwytywania pakietów.

Jakie są główne cechy Wiresharka?

Wireshark składa się z bogatego zestawu funkcji obejmującego następujące elementy:

  • Przechwytywanie na żywo i analiza w trybie offline
  • Bogata analiza VoIP
  • Odczyt/zapis wielu różnych formatów plików przechwytywania
  • Przechwytywanie plików skompresowanych (gzip) i dekompresja w locie
  • Głęboka inspekcja setek protokołów
  • Standardowa przeglądarka pakietów z trzema panelami
  • Przeglądarka pakietów
  • Szeroki zestaw funkcji.okienko przeglądarki pakietów
  • Złapane pakiety sieciowe mogą być przeglądane za pomocą GUI lub narzędzia TShark
  • Wieloplatformowy, łatwy do uruchomienia na Linuksie, Windows, OS X i FreeBSD
  • Wspaniałe filtry wyświetlania
  • Wyjście może być eksportowane do XML, CSV, PostScript lub jako zwykły tekst
  • Lista pakietów może używać reguł kolorowania dla szybkiej i intuicyjnej analizy

Jak zainstalować lub pobrać Wireshark?

Aby używać Wiresharka, pierwszą rzeczą, którą użytkownicy muszą zrobić, jest pobranie i zainstalowanie Wiresharka w systemie. Upewnij się, że pobierasz najnowszą wersję narzędzia bezpośrednio ze strony internetowej firmy, aby uzyskać lepsze wrażenia podczas pracy. Poniżej przedstawiono kilka kroków, po których można łatwo pobrać i zainstalować Wireshark.

  1. Instalacja na Macu

    Aby pomyślnie zainstalować Wireshark na Macu, użytkownicy muszą pobrać instalator, taki jak xquartz. Po pobraniu instalatora należy otworzyć Terminal i wpisać następujące polecenie:
    <% /Applications/Wireshark.app/Contents/Mac0S/Wireshark>
    Poczekaj, aż Wireshark się uruchomi.

  2. Instalacja w systemie Windows

    Aby uruchomić Wireshark w systemie Windows, należy odwiedzić stronę internetową firmy (Wireshark) i pobrać program. Gdy już to zrobisz, po prostu rozpocznij proces instalacji. Zainstaluj również WinPcap, gdy zostanie o to poproszony podczas procesu instalacji. WInPcap jest ważny do zainstalowania, ponieważ pomaga w przechwytywaniu ruchu sieciowego na żywo, a bez niego użytkownicy mogą tylko uzyskać dostęp do już zapisanych plików przechwytywania. Aby zainstalować WinPcap, zaznacz pole Install WinPcap.

  3. Install on Unix

    Instalacja Wiresharka na Uniksie wymaga pobrania kilku narzędzi, takich jak Glib, GTK+ i libcap. Zarówno Glib, jak i GTK+ mogą być zainstalowane z tego samego zestawu narzędzi. Po pobraniu wszystkich tych trzech narzędzi pomocniczych, wraz z Wiresharkiem, można wyodrębnić Wiresharka z pliku tar.
    gzip -d wireshark-1.2-tar.gz
    tar xvf wireshark-1.2-tar
    Zmień plik tar na katalog Wireshark i wprowadź następujące polecenia:
    ./configure
    make
    make install
    Uruchom Wiresharka w systemie Unix.

Jak przechwytywać i analizować pakiety danych za pomocą programu Wireshark?

Jedną z głównych funkcji programu Wireshark jest przechwytywanie pakietów danych w celu przeprowadzenia szczegółowej analizy sieci. Jednakże, może to być trudne dla początkujących, którzy nie znają odpowiednich kroków. Istnieją głównie trzy ważne kroki:

  • Uzyskanie dostępu do uprawnień administracyjnych, aby rozpocząć przechwytywanie danych w czasie rzeczywistym bezpośrednio na urządzeniu
  • Wybór właściwego interfejsu sieciowego do przechwytywania danych pakietów
  • Wybór właściwej lokalizacji w sieci do przechwytywania danych pakietów

Po wykonaniu powyższych kroków, Wireshark jest gotowy do przechwytywania pakietów. Zazwyczaj dostępne są dwa tryby przechwytywania: promiscuous i monitor. Tryb promiscuous ustawia interfejs sieciowy tak, aby przechwytywał tylko te pakiety, do których jest przypisany. Tryb monitora jest używany w systemach Unix/Linux i ustawia interfejs sieciowy tak, aby przechwytywał jak największą część sieci. Dane zebrane podczas przechwytywania pakietów są wyświetlane w formacie czytelnym dla człowieka, dzięki czemu są łatwiejsze do zrozumienia. Ponieważ Wireshark przekształca przechwycone pakiety w czytelny format, użytkownicy mogą wykonywać różne inne zadania, takie jak wybieranie filtrów w celu znalezienia dokładnych informacji i kolorowanie kluczowych informacji. Dzięki Wiresharkowi administratorzy mogą również monitorować wiele sieci jednocześnie.

Zwykle tryb promiscuous jest używany przez administratorów systemów, aby uzyskać widok z lotu ptaka na transfer pakietów sieciowych. Po wyłączeniu tego trybu, otrzymujemy jedynie mały wycinek sieci, który nie jest wystarczający do przeprowadzenia analizy jakościowej. Tryb promiscuous może być łatwo aktywowany poprzez kliknięcie na opcje przechwytywania dostępne w oknie dialogowym. Jednakże, tryb promiscuous nie jest dostępny w każdym oprogramowaniu i systemie operacyjnym. Dlatego użytkownicy muszą sprawdzić kompatybilność oprogramowania, odwiedzając stronę internetową Wiresharka lub korzystając z Menedżera urządzeń w celu sprawdzenia ustawień (w przypadku użytkowników systemu Windows).

Jak analizować przechwycone pakiety sieciowe?

Po przechwyceniu danych sieciowych, lista pakietów sieciowych jest wyświetlana w centralnej konsoli zarządzania lub na pulpicie nawigacyjnym. Ekran składa się z trzech paneli: lista pakietów, bajty pakietów oraz szczegóły pakietów. Aby uzyskać ważne informacje na temat poszczególnych pakietów, użytkownik musi kliknąć na dowolny z wyżej wymienionych paneli.

Lista pakietów

Panel listy pakietów składa się z przeglądanych przechwyconych pakietów sieciowych w oparciu o znacznik czasu, aby pokazać dokładnie, kiedy pakiet został przechwycony, nazwę protokołu pakietu, źródło i miejsce docelowe pakietu oraz informacje pomocnicze.

Szczegóły pakietów

Panel szczegółów pakietów dostarcza informacji o wybranym pakiecie. Użytkownicy mogą rozwinąć każdą sekcję i zastosować filtry, aby uzyskać informacje o konkretnych elementach.

Pakiet bajtów

Pakiet bajtów zawiera wewnętrzne dane pakietu, który użytkownik wybrał. Dane te są domyślnie wyświetlane w formacie szesnastkowym.

Jak Wireshark pomaga w monitorowaniu wydajności sieci?

Po przechwyceniu pakietów sieciowych, następnym krokiem jest ich monitorowanie i analiza. Wireshark jest doskonałym narzędziem do analizy i monitorowania aktywnej sieci organizacji. Zanim to zrobimy, ważne jest, aby zamknąć wszystkie aktywne aplikacje w sieci w celu zmniejszenia ruchu, co pomaga w uzyskaniu jasnego obrazu sieci. Wyłączenie wszystkich aplikacji nie spowoduje utraty pakietów; w rzeczywistości, wysyłanie i odbieranie pakietów jest nadal trwającym procesem.

Jednakże, konceptualizacja ogromnej ilości danych razem nie jest łatwiejsza. Dlatego Wireshark rozbija te komponenty na różne formy, aby zobaczyć, co dzieje się w sieci. Aby pomóc użytkownikom szybko zrozumieć i przeanalizować napływające dane, Wireshark używa kodowania kolorami, filtrów i statystyk sieciowych do segregowania danych sieciowych.

Jaka jest rola filtrów w Wiresharku?

Filtry są korzystne przy analizie dużych plików i znacznej ilości danych. Filtry pomagają administratorom znaleźć konkretne dane sieciowe spośród tysięcy pakietów przemieszczających się przez sieć w każdej sekundzie. Wireshark używa dwóch najbardziej popularnych typów filtrów: Capture i Display, do segregowania danych w oparciu o ich istotność. Filtr przechwytujący gromadzi dane monitorowane na żywo poprzez zmniejszenie rozmiaru przychodzących pakietów. Pomaga to w odfiltrowaniu nieistotnych pakietów podczas przechwytywania na żywo. Jednakże, filtry przechwytywania są ustawiane przed rozpoczęciem procesu filtrowania i nie mogą być modyfikowane po jego rozpoczęciu. Filtry wyświetlania, z drugiej strony, są używane do filtrowania już zarejestrowanych danych.

Jak używać kodowania kolorami w Wiresharku?

Kodowanie kolorami jest wykonywane w celu wyróżnienia różnych pakietów w oparciu o pewne czynniki. Pomaga to użytkownikom w identyfikacji pakietów na podstawie kolorów. Na przykład, UDP jest oznaczane kolorem jasnoniebieskim, ICMP kolorem jasnoróżowym, ruch TCP kolorem jasnofioletowym, a pakiety z błędami są wyróżnione kolorem czarnym. Domyślne ustawienia Wiresharka wykorzystują dwadzieścia różnych kolorów do oznaczania różnych parametrów. Użytkownicy mogą modyfikować, edytować, dodawać lub usuwać te ustawienia zgodnie z własnymi wymaganiami. Kolorowanie może być również wyłączone przez wyłączenie pola Colorize Packet List.

Jak wyświetlić statystyki sieci w Wiresharku?

Dane statystyczne są korzystne w dostarczaniu dogłębnych informacji o sieci. Aby wyświetlić te statystyki, kliknij menu rozwijane Statystyki, w którym dostępne są metryki, od czasu i rozmiaru do wykresów i diagramów. Użytkownicy mogą również zastosować filtr wyświetlania, aby zawęzić listę opcji i znaleźć odpowiednie informacje. W rozwijanym menu statystyk wyświetlane są następujące wskaźniki:

  • Rozmowy: Wyświetla konwersacje dwóch punktów końcowych jak dwa różne adresy IP
  • Punkty końcowe: Wyświetla listę punktów końcowych
  • IO Graphs: Wyświetla wszystkie wykresy
  • Hierarchia protokołów: Wyświetla tabelę przechwyconych pakietów
  • RTP_statistics: Pomaga użytkownikom zapisać zawartość strumienia audio RTP do pliku Au
  • Multicast Stream: Mierzy szybkość innych komponentów poprzez identyfikację strumieni multicast
  • TcpPduTime: Czas potrzebny do przesłania danych z Data Protocol Unit
  • VoIP_Calls: The number of VolP calls received from live captures
  • Service Response Time: The time taken by network to respond to a request

How to Visualize Network Packets Wfith IO Graphs?

Pakiety danych lub ruch sieciowy mogą być reprezentowane w formacie wizualnym znanym jako wykresy IO. Wykresy IO można wyświetlić, klikając menu Statystyki i wybierając zakładkę Wykres IP. Po otwarciu okna wykresu, użytkownik może wyświetlić dane, które chce, odpowiednio konfigurując ustawienia wykresu. Ze względu na domyślne ustawienia Wiresharka, w danym momencie wyświetlany jest tylko jeden wykres. Jeśli użytkownik chce aktywować więcej wykresów jednocześnie, wystarczy je włączyć. Ponadto, użytkownicy mogą również dostosować wykresy za pomocą filtrów i kodów kolorystycznych, aby znaleźć odpowiednie informacje dla danego celu. Użytkownicy mogą również modyfikować strukturę wykresu z kolumny stylu i mogą wybrać dowolny z nich: Line, Dot, Impulse, Fbar. Użytkownicy mogą również nie tylko dostosować styl wykresów, ale mogą również wchodzić w interakcje z metrykami osi X i Y wykresów. Po dokonaniu ustawień, wykresy mogą być przechowywane w formacie pliku dla przyszłych celów.

Jak rozszerzyć możliwości Wiresharka?

Niewątpliwie Wireshark jest świetnym snifferem pakietów, ale brakuje mu kilku zaawansowanych rozwiązań, jeśli chodzi o spełnienie rosnących potrzeb monitorowania sieci. Możliwości monitorowania Wireshark’a można poprawić używając komplementarnych narzędzi, takich jak SolarWinds® Response Time Viewer for Wireshark, Show Traffic, Cloudshark i NetworkMiner. Poniżej przedstawiono cechy, możliwości, funkcje tych narzędzi oraz sposób, w jaki pomagają one zwiększyć możliwości Wiresharka w zakresie monitorowania sieci.

SolarWinds Network Performance Monitor

SolarWinds Network Performance Monitor (NPM) to potężne oprogramowanie do monitorowania sieci używane do wykrywania, diagnozowania i rozwiązywania problemów i przestojów w sieci. Narzędzie jest specjalnie zaprojektowane do zaawansowanego rozwiązywania problemów z siecią dla usług on-premises, hybrydowych i chmurowych, i wykrywa problemy dzięki analizie hop-by-hop. Narzędzie to nie tylko pomaga uczynić sieć skalowalną, ale również bezpieczną. NPM jest również w stanie zredukować czas przestojów, co skutkuje zwiększoną wydajnością operacyjną, dostępnością sieci i wysoką wydajnością aplikacji. Oferuje funkcje out-of-the-box, w tym intuicyjne pulpity, zaawansowane systemy alertów, niestandardowe raportowanie, analizę pakietów i wiele innych. Oprócz analizy hop-by-hop, NPM oferuje monitorowanie dostępności, korelację danych sieciowych cross-stack, konfigurowalną topologię, odkrywanie sieci, możliwości mapowania, analizę przechwytywania pakietów, wykresy wydajności sieci metodą „przeciągnij i odkryj”, statystyczne linie bazowe wydajności sieci oraz monitorowanie stanu sprzętu. Dzięki NPM, obszary o słabym sygnale lub martwe strefy sieci mogą być szybko zidentyfikowane przy użyciu map cieplnych Wi-Fi. Wypróbuj go dzięki bezpłatnej, w pełni funkcjonalnej wersji próbnej.

SolarWinds Response Time Viewer for Wireshark

SolarWinds Response Time Viewer for Wireshark pozwala użytkownikom wykrywać i analizować zrzuty pakietów Wireshark oraz rozwiązywać problemy z wydajnością sieci w czasie rzeczywistym. Może wykonywać wiele zadań, takich jak identyfikacja ponad 1200 aplikacji, obliczanie ich czasu reakcji sieci, wyświetlanie danych i wartości transakcji, wizualizacja ścieżki krytycznej z Netpath oraz monitorowanie i zarządzanie siecią bezprzewodową. Ocena tych parametrów pomaga użytkownikom określić wady i usterki sieci.

Cloudshark

Cloudshark jest platformą zaprojektowaną do wyświetlania plików przechwytywania sieci bezpośrednio w przeglądarce bez potrzeby stosowania aplikacji lub narzędzi desktopowych. Wystarczy przesłać, wysłać pocztą elektroniczną lub połączyć pliki zrzutów i uzyskać wyniki. To pomaga rozwiązać problemy sieciowe szybciej i bezbłędnie. Poza tym, zawiera takie funkcje jak przeciągnij i upuść pliki zrzutów, aktywność przypominającą drop-box, pozwala na udostępnianie linków współpracownikom i oferuje zaawansowaną analizę.

Sysdig

Sysdig jest potężnym, wieloplatformowym i open-source elastycznym systemem monitorowania sieci zaprojektowanym specjalnie dla systemu Linux. Działa również dla systemów Windows i Mac OSX, ale z ograniczonymi funkcjami, takimi jak inspekcja, debugowanie i analiza systemu. Sysdig wykorzystuje różne narzędzia do monitorowania i rozwiązywania problemów z wydajnością systemu Linux, takie jak:

  • netstat (do monitorowania połączeń sieciowych)
  • tcpdump (do monitorowania surowego ruchu sieciowego)
  • Isof (aby poznać proces używany do przeglądania otwartych plików)

    • Sysdig integruje wszystkie narzędzia wymienione powyżej i oferuje je w jednym programie. Użytkownicy mogą łatwo przechwytywać, filtrować, zapisywać, modyfikować, śledzić i badać ruch sieciowy oraz rzeczywiste zachowanie systemów Linux. Funkcje Sysdig obejmują:

    • Intuicyjne pulpity nawigacyjne
    • Intuicyjne pulpity nawigacyjne
    • Integracje z chmurą.platform integrations
    • Application integrations
    • Alerting and event management
    • Vulnerability management
    • Compliance/Audit report generation
    • Topology maps
    • Runtime error detection
    • Capture files
    • Single sign-on

    Debooke

    Debooke jest jednym z najprostszych i najpotężniejszych narzędzi do monitorowania sieci i analizowania ruchu dla macOS. Narzędzie pozwala użytkownikom na przechwytywanie i monitorowanie ruchu sieciowego dowolnego urządzenia w tej samej podsieci. Pomaga przechwytywać dane pakietów sieciowych danych z dowolnego urządzenia, takiego jak telefon komórkowy, drukarka, Mac, TV i więcej bez użycia proxy. Cechy Debooke:

    • Śledzenie wykorzystania i zużycia pasma Wi-Fi
    • Pomoc w monitorowaniu sieci i dogłębnej analizie
    • Wyświetlanie klientów Wi-Fi i API, z którymi są związani
    • Skanowanie IP, LAN, aby śledzić wszystkie aktywne i podłączone urządzenia

    Myślenie końcowe

    Wireshark jest prostym, ale wszechstronnym i potężnym narzędziem do monitorowania sieci. Jest łatwy w użyciu i łatwy do nauczenia. Oprócz monitorowania, Wireshark oferuje dodatkowe funkcje analizy sieci, takie jak:

    • WykresyIO, aby pomóc użytkownikom w wizualnym zrozumieniu ich sieci
    • Kodowanie kolorami, aby podkreślić różne parametry lub informacje o sieci do wykorzystania w przyszłości
    • Filtry, aby uzyskać odpowiednie informacje wymagane do danego celu

    Jednakże dla nowych użytkowników, którzy chcą wypróbować Wireshark, zaleca się przeprowadzenie dodatkowych badań i uzyskanie szczegółowych informacji na temat Wireshark poprzez odwiedzenie strony internetowej. Dla istniejących użytkowników, którzy szukają bardziej zaawansowanych funkcji monitorowania i analizy sieci i chcą tworzyć własne dissektory protokołów, spróbuj użyć zewnętrznych wtyczek i programów wspierających, które zostały wymienione powyżej.

    SolarWinds Network Performance Monitor i Response Time Viewer for Wireshark są profesjonalnymi narzędziami i działają niesamowicie. Mogą nie tylko identyfikować i rozwiązywać problemy sieciowe w czasie rzeczywistym, ale także wykonywać wiele zadań jednocześnie, takich jak wyświetlanie istotnych danych, obliczanie czasu reakcji sieci i wiele innych. Narzędzia te znacznie zwiększają głębokość analizy sieci.

    Dodaj komentarz

    Twój adres e-mail nie zostanie opublikowany.