Wireshark เป็นแอปพลิเคชันฟรีที่คุณใช้ในการจับภาพและดูข้อมูลที่เดินทางไปมาบนเครือข่ายของคุณ ช่วยให้คุณสามารถเจาะลึกและอ่านเนื้อหาของแต่ละแพ็กเก็ตและกรองเพื่อตอบสนองความต้องการเฉพาะของคุณ โดยปกติจะใช้เพื่อแก้ปัญหาเครือข่ายและพัฒนาและทดสอบซอฟต์แวร์ เครื่องวิเคราะห์โปรโตคอลแบบโอเพนซอร์สนี้ได้รับการยอมรับอย่างกว้างขวางว่าเป็นมาตรฐานอุตสาหกรรมโดยได้รับรางวัลจากการได้รับรางวัลในช่วงหลายปีที่ผ่านมา
เดิมทีเรียกว่า Ethereal Wireshark มีอินเตอร์เฟสที่ใช้งานง่ายซึ่งสามารถแสดงข้อมูลจากโปรโตคอลที่แตกต่างกันนับร้อย ๆ ชนิดในทุกประเภทเครือข่ายหลัก ๆ สามารถดูแพ็คเก็ตข้อมูลได้แบบเรียลไทม์หรือแบบออฟไลน์ Wireshark รองรับรูปแบบไฟล์การจับภาพ / ร่องรอยที่รองรับรวมถึง CAP และ ERF นับสิบ เครื่องมือถอดรหัสรวมช่วยให้คุณสามารถดูแพ็คเก็ตที่เข้ารหัสสำหรับโปรโตคอลที่เป็นที่นิยมหลาย ๆ อย่างเช่น WEP และ WPA / WPA2
01 จาก 07การดาวน์โหลดและติดตั้ง Wireshark
Wireshark สามารถดาวน์โหลดได้ฟรีจากเว็บไซต์ Wireshark Foundation ทั้งระบบปฏิบัติการ macOS และ Windows ถ้าคุณไม่ใช่ผู้ใช้ขั้นสูงขอแนะนำให้คุณดาวน์โหลดเฉพาะรุ่นล่าสุดที่มีเสถียรภาพเท่านั้น ในระหว่างขั้นตอนการตั้งค่า Windows คุณควรเลือกติดตั้ง WinPcap หากได้รับพร้อมท์เนื่องจากมีไลบรารีที่จำเป็นสำหรับการจับภาพข้อมูลสด
แอพพลิเคชันนี้ยังมีให้ใช้กับ Linux และแพลตฟอร์มยูนิกซ์อื่น ๆ เช่น Red Hat, Solaris และ FreeBSD ไบนารีที่จำเป็นสำหรับระบบปฏิบัติการเหล่านี้สามารถพบได้ที่ด้านล่างของหน้าดาวน์โหลดในส่วนของแพคเกจของบุคคลที่สาม นอกจากนี้คุณยังสามารถดาวน์โหลดซอร์สโค้ด Wireshark จากหน้านี้
วิธีการจับข้อมูลแพ็คเก็ตข้อมูล
เมื่อคุณเปิด Wireshark เป็นครั้งแรกหน้าจอต้อนรับจะปรากฏขึ้นพร้อมรายการการเชื่อมต่อเครือข่ายที่พร้อมใช้งานบนอุปกรณ์ปัจจุบันของคุณ ในตัวอย่างนี้คุณจะสังเกตเห็นว่ามีการเชื่อมต่อประเภทการเชื่อมต่อต่อไปนี้: การเชื่อมต่อเครือข่าย Bluetooth, Ethernet, VirtualBox Host-Only Network และ Wi-Fi ที่ด้านขวาของแต่ละหน้าจะเป็นกราฟเส้นแบบ EKG ที่แสดงถึงการเข้าชมแบบสดบนเครือข่ายนั้น ๆ
ในการเริ่มเก็บข้อมูลแพ็คเก็ตให้เลือกเครือข่ายอย่างน้อยหนึ่งเครือข่ายโดยคลิกที่ตัวเลือกและใช้ปุ่ม เปลี่ยน หรือ Ctrl หากคุณต้องการบันทึกข้อมูลจากหลาย ๆ เครือข่ายพร้อมกัน หลังจากเลือกประเภทการเชื่อมต่อเพื่อเก็บภาพพื้นหลังของภาพจะถูกแรเงาด้วยสีฟ้าหรือสีเทา คลิกที่ การจับกุม ในเมนูหลักที่อยู่ด้านบนของส่วนติดต่อ Wireshark เมื่อเมนูแบบเลื่อนลงปรากฏขึ้นให้เลือก เริ่มต้น ตัวเลือก
คุณยังสามารถเริ่มต้นการจับภาพผ่านทางหนึ่งทางลัดต่อไปนี้ได้
- แป้นพิมพ์: กดCtrl + อี
- เมาส์: ในการเริ่มจับข้อมูลแพ็กเก็ตจากเครือข่ายหนึ่ง ๆ ให้ดับเบิลคลิกที่ชื่อ
- แถบเครื่องมือ: คลิกที่ปุ่มครีบฉลามสีฟ้าที่อยู่ทางด้านซ้ายสุดของแถบเครื่องมือ Wireshark
กระบวนการจับภาพเริ่มต้นจะเริ่มขึ้นและ Wireshark จะแสดงรายละเอียดแพ็คเก็ตตามที่บันทึกไว้ เพื่อหยุดการจับภาพ:
- แป้นพิมพ์: กด Ctrl + E
- แถบเครื่องมือ: คลิกที่สีแดง หยุด ที่อยู่ติดกับฉลามครีบบนแถบเครื่องมือ Wireshark
การดูและวิเคราะห์เนื้อหาแพคเก็ต
หลังจากที่คุณบันทึกข้อมูลเครือข่ายบางอย่างแล้วถึงเวลาที่จะตรวจสอบแพ็คเก็ตที่บันทึกไว้ ส่วนติดต่อข้อมูลที่จับได้มีสามส่วนหลักคือบานหน้าต่างรายการแพ็คเก็ตบานหน้าต่างรายละเอียดแพ็คเก็ตและบานหน้าต่างแพ็คเก็ตไบต์
รายการแพ็กเก็ต
บานหน้าต่างรายการแพ็กเกจซึ่งอยู่ที่ด้านบนของหน้าต่างจะแสดงแพ็คเก็ตทั้งหมดที่พบในไฟล์จับภาพที่ใช้งานอยู่ แต่ละแพ็กเก็ตมีแถวของตัวเองและหมายเลขที่ตรงกันซึ่งกำหนดให้กับแต่ละจุดข้อมูลเหล่านี้
- เวลา: เวลาในการจับภาพแพ็คเก็ตจะปรากฏในคอลัมน์นี้ รูปแบบเริ่มต้นคือจำนวนวินาทีหรือวินาทีบางส่วนเนื่องจากไฟล์จับภาพเฉพาะนี้ถูกสร้างขึ้นครั้งแรก ในการแก้ไขรูปแบบนี้เป็นสิ่งที่อาจมีประโยชน์มากกว่าเช่นเวลาที่เกิดขึ้นจริงในวันเลือก รูปแบบการแสดงผลเวลา จาก Wireshark's ดู เมนูที่อยู่ด้านบนของส่วนติดต่อหลัก
- ที่มา: คอลัมน์นี้มีที่อยู่ (IP หรืออื่น ๆ ) ที่มีต้นกำเนิดแพคเก็ต
- ปลายทาง: คอลัมน์นี้มีที่อยู่ที่กำลังส่งแพ็กเก็ต
- โปรโตคอล: ชื่อโพรโทคอลของแพคเก็ตเช่น TCP สามารถพบได้ในคอลัมน์นี้
- ความยาว: ความยาวแพ็กเก็ตเป็นไบต์จะแสดงในคอลัมน์นี้
- ข้อมูล: รายละเอียดเพิ่มเติมเกี่ยวกับแพคเก็ตจะถูกนำเสนอที่นี่ เนื้อหาของคอลัมน์นี้อาจแตกต่างกันไปขึ้นอยู่กับเนื้อหาของแพคเก็ต
เมื่อเลือกแพคเก็ตในบานหน้าต่างด้านบนคุณอาจเห็นหนึ่งหรือหลายสัญลักษณ์ปรากฏในคอลัมน์แรก วงเล็บเปิดหรือปิดและเส้นแนวนอนตรงแสดงว่าแพ็คเก็ตหรือกลุ่มของแพ็คเก็ตเป็นส่วนหนึ่งของการสนทนาแบบกลับไปกลับมาในเครือข่ายทั้งหมดหรือไม่ เส้นแนวราบแสดงว่าแพ็คเก็ตไม่ใช่ส่วนหนึ่งของการสนทนาดังกล่าว
รายละเอียดแพ็กเก็ต
บานหน้าต่างรายละเอียดที่พบในช่วงกลางจะแสดงโปรโตคอลและฟิลด์โปรโตคอลของแพ็คเก็ตที่เลือกในรูปแบบที่ยุบได้ นอกเหนือจากการขยายการเลือกแต่ละรายการแล้วคุณยังสามารถใช้ตัวกรอง Wireshark แต่ละตัวตามรายละเอียดที่ระบุและติดตามข้อมูลจากประเภทโปรโตคอลผ่านทางเมนูบริบทรายละเอียดซึ่งสามารถเข้าถึงได้โดยการคลิกขวาเมาส์บนรายการที่ต้องการในบานหน้าต่างนี้
ไบต์ Packet
ที่ด้านล่างเป็นบานหน้าต่างแพ็คเก็ตไบต์ซึ่งจะแสดงข้อมูลดิบของแพ็คเก็ตที่เลือกในมุมมองเลขฐานสิบหกการถ่ายโอนข้อมูล hex นี้ประกอบด้วยไบต์ฐานสิบหก 16 ตัวและไบต์ ASCII 16 ชุดพร้อมกับข้อมูลออฟเซต
โดยอัตโนมัติไฮไลต์ส่วนที่เกี่ยวข้องในบานหน้าต่างรายละเอียดแพคเก็ตและในทางกลับกัน ไบต์ใด ๆ ที่ไม่สามารถพิมพ์ได้แทนด้วยระยะเวลาหนึ่ง
คุณสามารถเลือกที่จะแสดงข้อมูลนี้ในรูปแบบบิตแทนที่จะเป็นเลขฐานสิบหกโดยคลิกขวาที่ใดก็ได้ภายในบานหน้าต่างและเลือกตัวเลือกที่เหมาะสมจากเมนูบริบท
04 จาก 07ใช้ตัวกรอง Wireshark
คุณลักษณะที่สำคัญที่สุดชุดหนึ่งใน Wireshark คือความสามารถในการกรองข้อมูลโดยเฉพาะเมื่อคุณจัดการกับไฟล์ที่มีขนาดใหญ่ คุณสามารถตั้งค่าตัวกรองการจับภาพก่อนที่ข้อเท็จจริงจะสั่งให้ Wireshark บันทึกเฉพาะแพ็คเก็ตที่ตรงตามเกณฑ์ที่ระบุเท่านั้น
ตัวกรองยังสามารถใช้กับไฟล์การจับภาพที่สร้างขึ้นเพื่อให้มีการแสดงเฉพาะแพ็กเก็ตเท่านั้น เหล่านี้เรียกว่าตัวกรองการแสดงผล
Wireshark มีตัวกรองที่กำหนดไว้ล่วงหน้าเป็นจำนวนมากโดยค่าเริ่มต้นทำให้คุณสามารถ จำกัด จำนวนแพ็คเก็ตที่มองเห็นได้ด้วยการกดแป้นพิมพ์เพียงไม่กี่ครั้งหรือการคลิกเมาส์ หากต้องการใช้ตัวกรองที่มีอยู่เหล่านี้ให้วางชื่อไว้ในโฟลเดอร์ ใช้ตัวกรองการแสดงผล ป้อนอยู่ด้านล่างแถบเครื่องมือ Wireshark หรือใน ป้อนตัวกรองการจับภาพ ที่อยู่ตรงกลางของหน้าจอต้อนรับ
มีหลายวิธีที่จะบรรลุเป้าหมายนี้ หากคุณรู้จักชื่อของตัวกรองแล้วให้พิมพ์ลงในฟิลด์ที่เหมาะสม ตัวอย่างเช่นถ้าคุณต้องการแสดงแพ็คเก็ต TCP เพียงแค่พิมพ์ TCP. คุณลักษณะการเติมข้อมูลอัตโนมัติของ Wireshark จะแสดงชื่อที่แนะนำเมื่อคุณเริ่มพิมพ์ช่วยให้หาชื่อเล่นที่ถูกต้องสำหรับตัวกรองที่คุณต้องการได้ง่ายขึ้น
อีกวิธีหนึ่งในการเลือกตัวกรองคือคลิกที่ไอคอนบุ๊กมาร์กที่อยู่ทางด้านซ้ายของฟิลด์ป้อนข้อมูล นี่แสดงเมนูที่มีตัวกรองที่ใช้บ่อยและตัวเลือกในการ จัดการตัวกรองการจับภาพ หรือ จัดการตัวกรองดิสเพลย์. หากคุณเลือกที่จะจัดการกับทั้งสองประเภทอินเทอร์เฟซจะปรากฏขึ้นเพื่อให้คุณสามารถเพิ่มลบหรือแก้ไขตัวกรองได้
นอกจากนี้คุณยังสามารถเข้าถึงตัวกรองที่ใช้ก่อนหน้าได้ด้วยการเลือกลูกศรลงที่ด้านขวาของฟิลด์รายการเพื่อแสดงรายการแบบหล่นลงประวัติ
เมื่อตั้งค่าตัวกรองการจับภาพจะถูกใช้ทันทีที่คุณเริ่มบันทึกการรับส่งข้อมูลในเครือข่าย หากต้องการใช้ตัวกรองการแสดงผลคุณคลิกที่ปุ่มลูกศรขวาที่ด้านขวาสุดของฟิลด์ป้อนข้อมูล
05 จาก 07กฎสี
ในขณะที่ตัวกรองการจับภาพและการแสดงผลของ Wireshark ช่วยให้คุณสามารถ จำกัด การแพ็คเก็ตใดที่ถูกบันทึกหรือแสดงบนหน้าจอฟังก์ชันการทำงานของสีจะใช้ขั้นตอนต่อไปโดยทำให้ง่ายต่อการแยกแยะระหว่างประเภทแพ็คเก็ตที่ต่างกันขึ้นอยู่กับแต่ละสี คุณลักษณะที่มีประโยชน์นี้ช่วยให้คุณค้นหาแพ็คเก็ตบางอย่างได้อย่างรวดเร็วภายในชุดที่บันทึกไว้โดยสีของแถวในบานหน้าต่างรายการแพ็คเก็ต
Wireshark มาพร้อมกับกฎการสร้างสีเริ่มต้นประมาณ 20 แบบซึ่งแต่ละไฟล์สามารถแก้ไขปิดใช้งานหรือลบได้หากต้องการ นอกจากนี้คุณยังสามารถเพิ่มตัวกรองตามแรเงาใหม่โดยใช้อินเทอร์เฟซสำหรับการกำหนดสีและสามารถเข้าถึงได้จาก ดู เมนู. นอกเหนือจากการกำหนดชื่อและเกณฑ์การกรองสำหรับแต่ละกฎคุณจะได้รับคำขอให้เชื่อมโยงทั้งสีพื้นหลังและสีข้อความ
การบีบอัดข้อมูลแพ็คเก็ตสามารถปิดและเปิดได้ผ่านทาง Colorize Packet List นอกจากนี้ยังพบใน ดู เมนู.
06 จาก 07สถิติ
นอกเหนือจากข้อมูลรายละเอียดเกี่ยวกับข้อมูลเครือข่ายของคุณที่แสดงในหน้าต่างหลักของ Wireshark แล้วเมตริกที่เป็นประโยชน์อื่น ๆ ยังมีอยู่ใน สถิติ เมนูแบบเลื่อนลงที่ด้านบนของหน้าจอ ข้อมูลเหล่านี้รวมถึงข้อมูลขนาดและเวลาเกี่ยวกับไฟล์การจับภาพเองพร้อมกับแผนภูมิและกราฟที่หลากหลายในหัวข้อจากการแจกแจงการสนทนาของแพคเก็ตเพื่อโหลดการแจกจ่ายคำขอ HTTP
ตัวกรองดิสเพลย์สามารถใช้กับสถิติจำนวนมากเหล่านี้ผ่านทางอินเทอร์เฟซของตนและสามารถส่งออกผลลัพธ์ไปยังรูปแบบไฟล์ทั่วไปหลายรูปแบบ ได้แก่ CSV, XML และ TXT
07 จาก 07คุณสมบัติขั้นสูง
นอกเหนือจากฟังก์ชันการทำงานหลักของ Wireshark แล้วยังมีชุดคุณลักษณะเพิ่มเติมที่พร้อมใช้งานในเครื่องมือที่มีประสิทธิภาพนี้ซึ่งสงวนไว้สำหรับผู้ใช้ขั้นสูง ซึ่งรวมถึงความสามารถในการเขียน dissectors โปรโตคอลของคุณเองในภาษาการเขียนโปรแกรม Lua
