Wireshark - это инструмент анализатора сетевых протоколов с открытым исходным кодом, незаменимый для системного администрирования и обеспечения безопасности. Он позволяет анализировать и отображать данные, проходящие по сети. Wireshark позволяет захватывать сетевые пакеты в реальном времени или сохранять их для автономного анализа.
Одной из функций Wireshark, которую вы с удовольствием изучите, является фильтр отображения, позволяющий просматривать только тот трафик, который вас действительно интересует. Wireshark доступен для различных платформ, включая Windows, Linux, MacOS, FreeBSD и некоторые другие.
Некоторые из задач, которые можно выполнить с помощью Wireshark, следующие
- Захват и поиск трафика, проходящего через вашу сеть
- Проверка сотен различных протоколов
- Захват трафика в реальном времени/анализ в режиме оффлайн
- Устранение проблем с потерянными пакетами и задержками
- Поиск попыток атак или вредоносных действий.
Для процедуры установки мы использовали Терминал командной строки. Вы можете запустить Терминал с помощью сочетания клавиш Ctrl+Alt+T.
Вы должны быть пользователем root или иметь привилегии sudo, чтобы установить и использовать Wireshark для сбора данных в вашей системе.
Установка Wireshark
Для установки Wireshark вам необходимо добавить репозиторий "Universe". Для этого выполните следующую команду в Терминале:
1 | sudo add-apt-repository universe |
Теперь выполните следующую команду в Терминале, чтобы установить Wireshark на вашу систему:
1 | sudo apt install Wireshark |
Когда появится запрос на ввод пароля, введите sudo password.
После выполнения вышеуказанной команды у вас может появиться запрос на подтверждение, нажмите y, а затем Enter, после чего в вашей системе начнется установка Wireshark.
Во время установки Wireshark появится следующее окно с вопросом, хотите ли вы разрешить не-суперпользователям перехват пакетов. Включение этой опции может представлять угрозу безопасности, поэтому лучше оставить ее отключенной и нажать Enter.
После завершения установки Wireshark вы можете проверить его, используя следующую команду в терминале:Advertisement
1 | wireshark --version |
Если Wireshark установился успешно, вы увидите аналогичный вывод, отображающий версию установленного Wireshark.
Запуск Wireshark
Теперь вы готовы к запуску и использованию Wireshark на вашей машине Ubuntu. Чтобы запустить Wireshark, выполните следующую команду в Терминале:
1 | sudo wireshark |
Если вы вошли в систему как пользователь root, вы также можете запустить Wireshark через графический интерфейс. Нажмите клавишу super и введите wireshark в строке поиска. Когда появится значок Wireshark, нажмите на него, чтобы запустить программу.
Помните, что вы не сможете перехватить сетевой трафик, если запустите Wireshark без прав root или sudo.
Когда Wireshark откроется, вы увидите следующий вид по умолчанию:
Использование Wireshark
Wireshark - это мощный инструмент с большим количеством функций. Здесь мы рассмотрим только основы двух важных функций: захват пакетов и фильтр отображения.
Захват пакетов
Для захвата пакетов с помощью Wireshark выполните следующие простые действия:
- Из списка доступных сетевых интерфейсов в окне Wireshark выберите интерфейс, на котором вы хотите перехватывать пакеты.
- На панели инструментов в верхней части нажмите кнопку "Старт", чтобы начать захват пакетов на выбранном интерфейсе, как показано на следующем снимке экрана.Если в настоящее время трафик отсутствует, то вы можете сгенерировать некоторый трафик, посетив любой веб-сайт или получив доступ к файлу, совместно используемому в сети. После этого вы увидите отображение захваченных пакетов в режиме реального времени.
- Чтобы остановить захват пакетов, нажмите кнопку "Стоп", как показано на следующем снимке экрана.
На скриншоте выше вы можете видеть, что Wireshark разделен на три панели:
- На самой верхней панели отображаются все пакеты, захваченные Wireshark.
- В средней панели отображаются сведения о заголовках пакетов для каждого выбранного пакета.
- Третья панель показывает исходные данные каждого выбранного пакета.
Фильтр отображения
Как вы видели на скриншотах выше, Wireshark отображает большое количество пакетов для одной сетевой активности. В обычной сети тысячи пакетов перемещаются туда-сюда. Очень трудно найти конкретный пакет среди тысяч захваченных пакетов. Здесь на помощь приходит функция фильтрации отображения Wireshark.
С помощью фильтров отображения Wireshark вы можете отображать только те типы пакетов, которые вы ищете. Таким образом, результаты сужаются, и вам будет легче найти то, что вы ищете. Вы можете фильтровать результаты на основе протоколов, IP-адресов источника и назначения, номера порта и некоторых других.
В Wireshark есть множество предустановленных фильтров, которые вы можете использовать. Когда вы начинаете вводить имя фильтра, Wireshark помогает вам автоматически заполнить его, предлагая имена. Чтобы показывать только пакеты, содержащие определенный протокол, введите имя протокола в поле "Применить фильтр отображения" под панелью инструментов.
Пример:
Чтобы отобразить только пакеты TCP из всех захваченных пакетов, введите tcp. После ввода имени фильтра вы увидите только пакеты TCP.
Вот как вы можете установить и использовать Wireshark в системе Ubuntu 20.04 LTS. Мы только что обсудили основы работы с инструментом Wireshark. Для того чтобы хорошо освоить Wireshark, вам необходимо изучить все его функции и поэкспериментировать с ними.