A Wireshark a világ egyik leghíresebb hálózati elemző eszköze, mind ingyenesen, mert jól működik, és nem túl nehéz használni. Hírneve azonban abból a tényből fakad, hogy ezzel a programmal szűrhetők, rögzíthetők és kémkedhetnek a számítógépes hálózaton átmenő csomagok és információk .
A csomagokon való kémkedés, amint az egy általános útmutatóban látható (Védett wifi hálózatba való belépés a csomagok elfogására és az interneten végzett tevékenységek kémlelése), bármilyen információt elolvashat, amely titkosítatlanul átadja a PC és az internet közötti kommunikációt.
Ez azt jelenti, hogy ha két ember ugyanabban az irodában vagy otthon van, és ugyanahhoz a hálózathoz (vagy ugyanahhoz az útválasztóhoz) csatlakozik, és internetezni szeretne, akkor a két számítógép látható, és az egyikből a Wireshark segítségével rögzítheti a egyéb, beleértve a meglátogatott webhelyeket, egyszerű szöveges jelszavak (a nem https-oldalakon), e-mailek, csevegések és így tovább.
A Wireshark mindenekelőtt egy nagyon hatékony hálózati elemző program, amelyet a profi szakemberek is használnak, majd nézzük meg, hogyan lehet komolyan használni.
A Wireshark for Windows vagy Mac OS X letölthető hivatalos webhelyéről.
Ha Linuxot vagy más UNIX-szerű rendszert használ, akkor a Wireshark-nak a terjesztési szoftver tárolójában kell lennie.
A Wireshark letöltése és telepítése után elindíthatja, és azonnal ki kell választania a megfelelő hálózati interfészt az elemzéshez .
Például, ha forgalmat szeretne szerezni a vezeték nélküli hálózaton, akkor kattintson a wifi hálózati kártyára, ellenkező esetben, ha a használt hálózat vezetékes, akkor a LAN-kapcsolatot kell választania, és így tovább.
Amint kiválaszt egy interfészt, azonnal látni fogja, hogy a hálózaton áthaladó minden információ látható a folyamatos görgetési listában.
Ha engedélyezte a vezérlést több számítógép (például wifi) által megosztott hálózaton, és az adatgyűjtést szinkron módban aktiválta, látni fogja az ugyanahhoz a hálózathoz csatlakoztatott többi számítógép csomagjait .
A megkönnyítő módban történő megszerzés csak Windows PC-n lehetséges, ha telepíti a WinPCap illesztőprogramokat, amelyek a Wireshark telepítőcsomagjában vannak.
A bal felső sarokban valós időben megállíthatja a rögzítési folyamatot, és megállíthatja a forgalom begyűjtését.
A Wireshark eltérő színű elfogott adatokat jelenít meg, hogy könnyebben azonosítsák a forgalom típusait.
Alapértelmezés szerint a TCP forgalom zöld, a DNS forgalom sötétkék, az UDP forgalom inkább világoskék; a fekete csomagok problémás TCP-csomagok.
Az induláshoz és annak működésének ellenőrzéséhez meg kell győződnie arról, hogy az internetes böngészés során néhány webhely megnyitásával az adatokat és információkat a Wireshark rögzíti.
A HTTP-hívások az internetes forgalommal kapcsolatosak, amelyek akkor lehetnek a legérdekesebbek, ha olyan böngészési információkat szeretne találni, mint például a meglátogatott webhelyek.
Letölthet egy mintafájlt elemzésre a Wireshark for
A csomagszűrési szabályok használata nem fontos, hogy elkerülje a keletkező adatok tengerét.
A szűrő alkalmazásának legegyszerűbb módja, ha beír egy keresési kulcsot az ablak tetején található szűrőmezőbe, és kattintson az Alkalmaz gombra.
Például a " http " beírásával csak az internetes böngészőn keresztül létrejött kapcsolatok láthatók.
Mindegyik csomagot meg lehet vizsgálni, és kattintson a jobb gombbal a további részletek és a TCP adatfolyam, vagy a végrehajtott lépések előzményeinek megtekintéséhez (például ha több dolgot keres a Google-on, akkor átnézheti a teljes folyamatot).
Specifikusabb szűrők alkalmazhatók az Elemzés menüből.
Csomagok beszerzésekor kényelmetlen és bonyolult lehet megérteni a hálóban lehorgonyzott adatok és információk áramlását, mivel csak az IP-címek jelennek meg.
Az IP-címeket domainnevekké konvertálhatja (a http-forgalomhoz ez azt jelenti, hogy látni kell a webhelyek nevét), ha aktiválja a funkciókat a Szerkesztés menü -> Beállítások -> Névmegoldás menüpontból, és aktiválja az „ Enable Network Name Resolution ” menüpontot.
Ha engedélyezi ezt az opciót, akkor az IP-címek helyett domain neveket fog látni, de mivel a Wiresharknak minden domain nevet meg kell keresnie, a DNS-kérelmek növekednek az adatáramlás növekedésével.
Ha automatikus csomagkapcsolatot szeretne beállítani a számítógépén, létrehozhat egy asztali parancsikont a Wireshark gyors elindításához.
A link létrehozása után kattintson a jobb egérgombbal, írja be a tulajdonságokat, és ahol a " Cél " van írva, adjon szóközt a sorhoz az utolsó idézőjelek után, majd -i # -k .
# helyett be kell helyeznie az ellenőrizendő hálózati kártya számát, a Wireshark által a kiválasztási szakaszban megadott sorrend szerint.
A forgalom megragadása ugyanahhoz a hálózathoz csatlakoztatott más számítógépektől talán a legviccesebb célja, ami kicsit hackerekré tesz minket a saját kicsi módunkban (ez azonban nem olyan könnyű).
Ha rögzíteni kívánja a hálózati forgalmat, és kémkedni szeretne egy útválasztón, szerveren vagy más számítógépen áthaladó információkról, akkor a Wireshark távoli rögzítését kell használnia, amely Windows rendszeren a WinPcap illesztőprogramot használja.
A telepítés után meg kell nyitnia a Windows szolgáltatások ablakot (kattintson a Start gombra, és írja be a Services.msc parancsot a Keresés vagy Futtatás mezőbe).
A szolgáltatások listájában keresse meg és aktiválja a Remote Packet Capture Protocol-t .
Ez a szolgáltatás alapértelmezés szerint le van tiltva.
A kezdő Wireshark ablakban kattintson az Opciók rögzítés elemre, majd az Interfész mezőben válassza a Remote lehetőséget.
Ezután írja be a távoli rendszer címét (például 192.168.2.3 ) és 2002-es portként.
A működéshez hozzáféréssel kell rendelkeznie a 2002-es porthoz a távoli rendszeren, így ezt a portot meg kell nyitnia a számítógép tűzfalon vagy útválasztón.
A csatlakozás után kiválaszthatja a távoli rendszeren egy interfészt a hálózati kártyák felsorolásának mezőjéből, és a Start gombra kattintva kezdheti el a számítógépről létesített kapcsolatok rögzítését.
Ebben a videóban egy bevezető bemutató található, amely nagyon jól elkészült a Wireshark használatának megtanulásához.
A Wireshark egy rendkívül nagy teljesítményű eszköz, még akkor is, ha csak a legtapasztaltabbok értik meg alaposan, és bármilyen típusú művelethez használják azt a hálózaton.
Ez az oktatóanyag csak bevezetést nyújt mindazt, amit tehet (itt található a teljes angol kézikönyv); csak tudd, hogy a szakemberek ezt használják a hálózati protokoll telepítésének hibakeresésére, a biztonsági problémák elemzésére és a vállalatok forgalmának ellenőrzésére.
Végül, egy utolsó ajánlás: sok szervezet nem engedi, hogy a Wireshark vagy hasonló eszközök működjenek a hálózatukban (adatvédelmi kérdés), ezért ne kockáztasson az irodában történő felhasználás nélkül, ha erre nincs engedély.
Ha egyszerűbb programokat szeretne kipróbálni, azt javasolom, hogy töltse le a Nirsoft eszközöket a számítógép-hálózat szippantásához, a meglátogatott webhelyek, az internetes keresések és a jelszavak megtekintéséhez .
