Hur använder man Wireshark för nätverksövervakning?

publicerat den
  • Vad är Wireshark?
  • Vad är de viktigaste funktionerna i Wireshark?
  • Hur installerar eller laddar man ner Wireshark?
  • Hur man fångar och analyserar datapaket med Wireshark?
  • Hur man analyserar de fångade nätverkspaketen?
  • Hur hjälper Wireshark till att övervaka nätverkets prestanda?
  • Vad är filtrens roll i Wireshark?
  • Hur använder man färgkodning i Wireshark?
  • Hur visar man nätverksstatistik i Wireshark?
  • Hur visualiserar man nätverkspaket med IO-grafer?
  • Hur man utökar Wireshark-funktionerna?

Med en ökad efterfrågan på tillgängliga tjänster och applikationer har ett bra nätverk blivit viktigare än någonsin tidigare. Problem som paketförlust, latens, nätverksavbrott, frekventa fel och ryckighet kan hämma den övergripande användarupplevelsen. Nätverksövervakning har blivit ett avgörande och grundläggande krav för små, medelstora och stora företag. Det anses vara den första försvarslinjen när nätverksserverns prestanda börjar försämras. Nätverksövervakningsverktyg hjälper team att bedöma tillgängligheten hos nätverksenheter, kontrollera nätverkets övergripande hälsa och felsöka prestandaproblem som bandbreddskonsumtion/utnyttjande och nätverksstopp.

Då marknaden översvämmas av ett brett utbud av nätverksövervakningsverktyg blir det en utmaning att fatta ett beslut om att välja en pålitlig övervakningslösning. Olika nätverksövervakningsverktyg erbjuder olika grader av prestanda och integrationsmöjligheter. Vissa erbjuder en helt integrerad arkitektur, medan andra innehåller flera komponenter som databaser, pollingmotorer, hanteringskonsoler med mera. Det kan vara förvirrande för nätverksadministratörer att välja den bästa lösningen med tillförlitliga och effektiva övervakningsfunktioner. Innan organisationer gör ett val måste de därför överväga att ställa följande frågor till administratörerna.

  • Vilka enheter behöver övervakas?
  • Behövs det övervakning av hela organisationens nätverk eller flera nätverk?
  • Hur kommer verktyget för nätverksövervakning att integreras med det befintliga systemet?
  • Vilken typ av kärnfunktioner måste ett verktyg ha?

Grundlig forskning måste göras för att avgöra vilket verktyg som erbjuder de mest fördelaktiga funktionerna för organisationen på lång sikt. Det här inlägget behandlar en av de mest tillförlitliga nätverksanalysatorerna som finns på marknaden, kallad Wireshark. Låt oss ta en titt på vad Wireshark är, hur det hjälper till att upptäcka säkerhetsproblem, felsöka nätverksfel, felsöka protokoll och hur funktionerna i Wireshark kan förbättras för avancerad nätverksövervakning.

Vad är Wireshark?

Wireshark är känt som världens ledande nätverkstrafikanalysator. Det är det bästa verktyget för systemadministratörer och IT-proffs för att felsöka nätverksfel i realtid. Wireshark upptäcker snabbt nätverksproblem som latens, misstänkt aktivitet och tappade paket. Det kan borra ner i trafiken och ta reda på grundorsaken till ett problem. Vanligtvis använder nätverksadministratörer Wireshark för att lösa latensproblem som orsakas av utrustning som används för att dirigera trafik runt om i världen och för att övervaka dataexfiltrationsförsök mot affärsverksamheten. Wireshark är ett kraftfullt men gratis verktyg som kräver omfattande kunskaper om nätverkets grunder. För att kunna använda verktyget på bästa sätt måste administratörer ha en gedigen förståelse för protokoll som TCP/IP och DHCP.

Hur fungerar det?

Wireshark är ett populärt verktyg med öppen källkod för att fånga nätverkspaket och omvandla dem till ett binärt format som kan läsas av människor. Det ger varje enskild detalj av organisationens nätverksinfrastruktur. Den består av enheter som är utformade för att hjälpa till att mäta nätverkets ins och outs. Den information som samlas in genom Wireshark kan användas för olika ändamål, t.ex. nätverksanalys i realtid eller offline, identifiering av den trafik som kommer in i ditt nätverk, dess frekvens och dess latens mellan specifika hopp. Detta hjälper nätverksadministratörer att generera statistik baserad på data i realtid.

Förutom nätverksövervakning använder organisationer Wireshark för att felsöka program, undersöka säkerhetsproblem och lära sig nätverksprotokollens interna delar. Wireshark är utformad för att effektivt utföra paketrelaterade funktioner och analysera och visa nätverksmetrikerna över hanteringskonsolen.

  • Visa paketinformation i form av grafer, diagram med mera
  • Fånga, exportera, sök, spara, och importera levande datapaket
  • Bygg rapporter baserat på statistiska data i realtid
  • Filtrera paket baserat på prioritet

Wireshark erbjuder också ett bra användargränssnitt eftersom det är lätt att använda när teamen väl är bekanta med grunderna för att fånga paket.

Vad är kärnfunktionerna i Wireshark?

Wireshark består av en rik funktionsuppsättning med bland annat följande:

  • Live capture and offline analysis
  • Rich VoIP analysis
  • Read/write many different capture file formats
  • Capture compressed files (gzip) and decompress them on the fly
  • Deep inspection of hundreds of protocols
  • Standard three-paketbrowser med tre rutor
  • Fångade nätverkspaket kan bläddras via ett GUI eller TShark-verktyget
  • Multiplattform som lätt kan köras på Linux, Windows, OS X och FreeBSD
  • Kraftfulla visningsfilter
  • Output kan exporteras till XML, CSV, PostScript eller som vanlig text
  • Paketlista kan använda färgningsregler för snabb och intuitiv analys

Hur installerar eller laddar man ner Wireshark?

För att använda Wireshark måste användarna först ladda ner och installera Wireshark på systemet. Se till att du laddar ner den senaste versionen av verktyget direkt från företagets webbplats för en bättre körupplevelse. Nedan följer några steg som Wireshark enkelt kan laddas ner och installeras.

  1. Installera på Mac

    För att lyckas installera Wireshark på Mac måste användarna ladda ner ett installationsprogram som xquartz. När installationsprogrammet har laddats ner öppnar du terminalen och skriver in följande kommando:
    <% /Applications/Wireshark.app/Contents/Mac0S/Wireshark>
    Vänta tills Wireshark startar.

  2. Installera på Windows

    För att köra Wireshark på Windows besöker du företagets webbplats (Wireshark) och laddar ner programmet. När det är gjort är det bara att starta installationsprocessen. Installera även WinPcap när det uppmanas att göra det under installationsprocessen. WInPcap är viktigt att installera eftersom det hjälper till att fånga live-nätverkstrafik, och utan det kan användarna bara få tillgång till de redan sparade fångstfilerna. Om du vill installera WinPcap markerar du rutan Install WinPcap.

  3. Installera på Unix

    Installation av Wireshark på Unix innebär att du måste ladda ner ett par verktyg som Glib, GTK+ och libcap. Både Glib och GTK+ kan installeras från samma verktygslåda. När alla dessa tre stödverktyg tillsammans med Wireshark har laddats ner kan Wireshark extraheras från tar-filen.
    gzip -d wireshark-1.2-tar.gz
    tar xvf wireshark-1.2-tar
    Ändra tar-filen till Wireshark-katalogen och ange följande kommandon:
    ./configure
    make
    make install
    Starta Wireshark på Unix-systemet.

Hur man fångar och analyserar datapaket med Wireshark?

En av de viktigaste funktionerna i Wireshark är att fånga datapaket för att genomföra en detaljerad nätverksanalys. Det kan dock vara knepigt för nybörjare som inte är bekanta med de steg som ingår. Det finns huvudsakligen tre viktiga steg:

  • Få tillgång till administrativa privilegier för att börja fånga realtidsdata direkt på enheten
  • Välj rätt nätverksgränssnitt för att fånga paketdata
  • Välj rätt plats i nätverket för att fånga paketdata

När du följt ovanstående steg är Wireshark redo att fånga paket. Vanligtvis finns det två fångstlägen: promiscuous och monitor. Promiscuous-läget ställer in nätverksgränssnittet så att det endast fångar de paket som det är tilldelat. Monitor-läget används av Unix/Linux-system och ställer in det trådlösa gränssnittet så att det fångar upp så mycket av nätverket som möjligt. De data som samlas in när paket fångas upp visas i ett människoläsbart format, så att de är lättare att förstå. Eftersom Wireshark bryter de fångade paketen till ett läsbart format kan användarna utföra olika andra uppgifter, t.ex. välja filter för att hitta exakt information och färgkoda den viktiga informationen. Med Wireshark kan administratörer också övervaka flera nätverk samtidigt.

Utomatiskt används promiscuous mode av systemadministratörer för att få ett fågelperspektiv på nätverkspaketöverföringen. När man inaktiverar det här läget får man bara en liten ögonblicksbild av nätverket, vilket inte räcker för att göra en kvalitetsanalys. Promiscuous-läget kan enkelt aktiveras genom att klicka på de fångaalternativ som finns i dialogrutan. Promiscuous mode är dock inte tillgängligt i alla programvaror eller operativsystem. Därför måste användarna korsbekräfta om mjukvarukompatibilitet antingen genom att besöka Wiresharks webbplats eller använda Enhetshanteraren för att kontrollera inställningarna (om du är Windows-användare).

Hur man analyserar de fångade nätverkspaketen?

När nätverksdatan har fångats visas listan över nätverkspaket på den centraliserade hanteringskonsolen eller instrumentbrädan. Skärmen består av tre rutor: paketlista, paketbytes och paketdetaljer. För att få viktig information om enskilda paket måste användarna dock klicka på någon av de paneler som nämns ovan.

Paketlista

Fönstret för paketlistan består av bläddringsbara fångade nätverkspaket baserat på tidsstämpeln för att visa exakt när paketet fångades, paketets protokollnamn, paketets källa och destination samt supportinformation.

Paketdetaljer

Fönstret för paketdetaljer ger information om det valda paketet. Användaren kan expandera varje avsnitt och tillämpa filter för att få information om specifika objekt.

Packet Bytes

Fönstret Packet bytes består av interna data för det paket som användaren väljer. Data visas som standard i hexadecimalt format.

Hur hjälper Wireshark till att övervaka nätverksprestanda?

När nätverkspaketen har fångats är nästa steg att övervaka och analysera dem. Wireshark är ett utmärkt verktyg för att analysera och övervaka organisationens aktiva nätverk. Innan detta görs är det viktigt att stänga ner alla aktiva program i nätverket för att minska trafiken, vilket bidrar till att ge en tydlig bild av nätverket. Att stänga av alla program kommer inte att resultera i paketförlust; i själva verket är sändning och mottagning av paket fortfarande en pågående process.

Det är dock inte lättare att konceptualisera den enorma mängden data totalt sett. Därför bryter Wireshark ner dessa komponenter i olika former för att se vad som händer i nätverket. För att hjälpa användarna att snabbt förstå och analysera de data som kommer in använder Wireshark färgkodning, filter, nätverksstatistik för att separera nätverksdata.

Vad är filtrens roll i Wireshark?

Filter är fördelaktiga när man analyserar stora filer och en betydande mängd data. Filtren hjälper administratörer att hitta specifika nätverksdata bland tusentals paket som reser genom nätverket varje sekund. Wireshark använder de två vanligaste typerna av filter: Capture och Display, för att separera data baserat på deras relevans. Kapningsfiltret samlar in data för direktövervakning genom att minska storleken på de inkommande paketen. Detta hjälper till att filtrera bort de icke väsentliga paketen under direktupptagningen. Kapningsfilter ställs dock in innan filterprocessen börjar och kan inte ändras när processen väl har startat. Visningsfilter, å andra sidan, används för att filtrera redan inspelade data.

Hur man använder färgkodning i Wireshark?

Färgkodning görs för att framhäva de olika paketen baserat på vissa faktorer. Detta hjälper användarna att identifiera paket baserat på färger. Till exempel betecknas UDP med ljusblått, ICMP med ljusrosa, TCP-trafik med ljuslila och paket med fel markeras med svart. Wiresharks standardinställningar använder tjugo olika färger för att ange olika parametrar. Användare kan ändra, redigera, lägga till eller ta bort inställningarna enligt sina behov. Färgningen kan också inaktiveras genom att stänga av fältet Colorize Packet List.

Hur man visar nätverksstatistik i Wireshark?

Statistiska data är fördelaktiga för att ge djupgående information om ditt nätverk. Om du vill visa denna statistik klickar du på rullgardinsmenyn för statistik som tillhandahåller mätvärden som sträcker sig från timing och storlek till att plotta grafer och diagram. Användare kan också tillämpa ett visningsfilter för att begränsa listan med alternativ och hitta relevant information. Den nedrullningsbara statistikmenyn visar följande mätvärden:

  • Samtal: Visar samtalen för två slutpunkter som två olika IP-adresser
  • Slutpunkter: Visar listan över slutpunkter
  • IO-grafer: Visar alla grafer
  • Protokollhierarki: Visar tabellen över fångade paket
  • RTP_statistics: Visar tabellen över fångade paket
  • RTP_statistics: Visar tabellen över fångade paket: Hjälp användarna att spara innehållet i RTP-ljudströmmen till Au-fil
  • Multicast Stream: Mäter hastigheten hos andra komponenter genom att identifiera multicastströmmarna
  • TcpPduTime: Den tid som går åt för att överföra data från Data Protocol Unit
  • VoIP_Calls: Antalet VolP-samtal som tagits emot från direktupptagningar
  • Service Response Time: Den tid det tar för nätverket att svara på en begäran

Hur man visualiserar nätverkspaket med IO-grafer?

Datapaket eller nätverkstrafik kan representeras i ett visuellt format som kallas IO-grafer. Användare kan visa IO-grafer genom att klicka på statistikmenyn och välja fliken IP-graf. När diagramfönstret öppnas kan användarna visa de data de önskar genom att konfigurera diagraminställningarna i enlighet med detta. På grund av Wiresharks standardinställningar visas endast en graf åt gången. Om användare vill aktivera fler grafer samtidigt är det bara att aktivera dem. Dessutom kan användarna också anpassa graferna med hjälp av filter och färgkoder för att hitta relevant information för ändamålet. Användarna kan också ändra grafstrukturen från stilkolumnen och kan välja vilken som helst av dem: Linje, prick, impuls, Fbar. Användarna kan inte bara justera stilen på graferna utan även interagera med X- och Y-axelns mätvärden i graferna. När inställningarna är gjorda kan graferna lagras i ett filformat för framtida ändamål.

Hur kan man utöka Wireshark-funktionerna?

Om Wireshark är utan tvekan en bra paketsniffare, men den saknar några framsteg när det gäller att möta de växande behoven av nätverksövervakning. Wiresharks övervakningsmöjligheter kan förbättras med hjälp av kompletterande verktyg som SolarWinds® Response Time Viewer for Wireshark, Show Traffic, Cloudshark och NetworkMiner. Nedan beskrivs dessa verktygs egenskaper, kapacitet, funktioner och hur de bidrar till att förbättra Wiresharks nätverksövervakningsmöjligheter.

SolarWinds Network Performance Monitor

SolarWinds Network Performance Monitor (NPM) är ett kraftfullt program för nätverksövervakning som används för att upptäcka, diagnostisera och åtgärda nätverksproblem och avbrott. Verktyget är speciellt utformat för avancerad felsökning av nätverk för lokala, hybrid- och molntjänster och upptäcker problem med sin hop-by-hop-analys. Det hjälper inte bara till att göra nätverket skalbart utan också säkert. NPM kan också minska stilleståndstiden vilket resulterar i förbättrad driftseffektivitet, nätverkstillgänglighet och högpresterande applikationer. Den erbjuder färdiga funktioner som intuitiva instrumentpaneler, avancerade varningssystem, anpassad rapportering, paketanalys med mera. Förutom hop-by-hop-analys erbjuder NPM tillgänglighetsövervakning, korrelation av nätverksdata över stacken, anpassningsbar topologi, nätverksupptäckt, kartläggningsfunktioner, analys av paketfångst, dra-och-upptäckt-grafikkort över nätverksprestanda, statistiska baslinjer för nätverksprestanda och övervakning av maskinvaruhälsa. Med NPM kan områden med svaga signaler eller döda zoner i nätverket snabbt identifieras med hjälp av Wi-Fi värmekartor. Testa det med en gratis, fullt fungerande testversion.

SolarWinds Response Time Viewer for Wireshark

SolarWinds Response Time Viewer for Wireshark gör det möjligt för användare att upptäcka och analysera Wiresharks paketfångster och felsöka nätverksavbrott i realtid. Den kan utföra flera uppgifter som att identifiera över 1200 applikationer, beräkna deras nätverksresponstid, visa data och transaktionsvärde, visualisering av kritiska vägar med Netpath samt övervakning och hantering av trådlösa nätverk. Utvärdering av dessa parametrar hjälper användare att fastställa nätverksbrister och fel.

Cloudshark

Cloudshark är en plattform som är utformad för att visa nätverksfångstfiler direkt i webbläsaren utan behov av skrivbordsprogram eller verktyg. Det är bara att ladda upp, mejla eller länka upptagningsfilerna och få resultaten. Det hjälper till att lösa nätverksproblem snabbare och felfritt. Dessutom innehåller den funktioner som dra-och-släpp-fångstfiler, drop-box-liknande aktivitet, tillåter delning av länkar med kollegor och erbjuder avancerad analys.

Sysdig

Sysdig är ett kraftfullt, plattformsoberoende och flexibelt nätverksövervakningssystem med öppen källkod som är utformat speciellt för Linux. Det fungerar även för Windows och Mac OSX men med begränsade funktioner som inspektion, felsökning och systemanalys. Sysdig använder olika övervaknings- och felsökningsverktyg för Linuxsystemets prestanda, t.ex:

  • Strace (för att upptäcka systemanrop)
  • htop (för processövervakning i realtid)
  • iftop (för real-tid bandbreddsövervakning)
  • netstat (för övervakning av nätverksanslutningar)
  • tcpdump (för övervakning av obearbetad nätverkstrafik)
  • Isof (för att känna till den process som används för att visa de öppnade filerna)

Sysdig integrerar alla de verktyg som nämns ovan och erbjuder dem i ett enda program. Användare kan enkelt fånga, filtrera, spara, ändra, spåra och undersöka nätverkstrafik och Linuxsystemens verkliga beteende. Sysdig har bland annat följande funktioner:

  • Orchestrator integrationer
  • Intuitiva instrumentpaneler
  • Cloud-plattformsintegrationer
  • Applikationsintegrationer
  • Alarm- och händelsehantering
  • Sårbarhetshantering
  • Generering av compliance/revisionsrapporter
  • Topologikartor
  • Fejlupptäckt vid igångsättning
  • Förlustavläsning
  • Filter som kan fångas upp
  • Enkla signatur-on

Debooke

Debooke är ett av de enklaste och mest kraftfulla verktygen för nätverksövervakning och trafikanalys för macOS. Verktyget gör det möjligt för användare att avlyssna och övervaka nätverkstrafiken för alla enheter i samma subnät. Det hjälper till att fånga datanätverkspaketdata från vilken enhet som helst, till exempel en mobil, skrivare, Mac, TV med mera utan att använda en proxy. Funktioner av Debooke:

  • Håll koll på Wi-Fi-bandbreddsanvändning och -förbrukning
  • Hjälp till nätverksövervakning och djupgående analys
  • Visa Wi-Fi-klienterna och de API:er som de är associerade med
  • Skanna IP, LAN för att hålla reda på alla aktiva och anslutna enheter

Sluttliga tankar

Wireshark är ett enkelt, men ändå mångsidigt och kraftfullt verktyg för nätverksövervakning. Det är lätt att använda och lätt att lära sig. Förutom övervakning erbjuder Wireshark ytterligare nätverksanalysfunktioner som t.ex:

  • IO-grafer för att hjälpa användare att förstå sitt nätverk visuellt
  • Färgkodning för att markera olika parametrar eller nätverksinformation för framtida användning
  • Filter för att få fram relevant information som krävs för ändamålet

För de nya användarna som är villiga att prova Wireshark, är det dock tillrådligt att göra ytterligare forskning och få detaljerad information om Wireshark genom att besöka webbplatsen. För befintliga användare som letar efter mer avancerade nätverksövervaknings- och analysfunktioner och som vill skapa sina egna protokolldissektorer, prova att använda de externa plugins och stödprogram som lyfts fram ovan.

SolarWinds Network Performance Monitor och Response Time Viewer for Wireshark är professionella verktyg och fungerar fantastiskt bra. De kan inte bara identifiera och felsöka nätverksproblem i realtid utan även utföra flera uppgifter samtidigt, t.ex. visa viktiga data, beräkna nätverkets svarstid med mera. Dessa verktyg ökar djupet i nätverksanalysarbetet dramatiskt.

Lämna ett svar

Din e-postadress kommer inte publiceras.