Введение
Wireshark — это бесплатное программное обеспечение с открытым исходным кодом (FOSS), разработанное сообществом энтузиастов-разработчиков. Wireshark (ранее Ethereal) используется для захвата и исследования текущего трафика в сети. Это очень популярный анализатор сетевых протоколов среди сетевых специалистов, аналитиков безопасности и ученых во всем мире. Хорошо то, что он с открытым исходным кодом и доступен бесплатно по Стандартной общественной лицензии GNU версии 2. Он доступен для основных операционных систем, таких как Windows, macOS, Linux и UNIX.
Wireshark имеет множество функций, таких как глубокая проверка сетевого трафика, захват в реальном времени, автономный анализ, поддержка R/W для различных типов файлов захвата и т. д. Он также организует SharkFest, ежегодную образовательную конференцию по всему миру, чтобы поделиться знаниями о своем продукте. Эти конференции посвящены передовым методам использования Wireshark.
Что будем лечить?
В этом руководстве мы рассмотрим обзор пользовательского интерфейса Wireshark. Теперь давайте зайдем внутрь, чтобы изучить графический интерфейс Wireshark.
Стартовый экран Wireshark
Когда вы запускаете Wireshark, появляется следующий экран запуска:
Разобьем весь интерфейс на четыре части:
- Главное меню
- Панель инструментов главного меню
- Инструмент фильтра
- Список интерфейсов
Панель главного меню
Он расположен в верхней части главного окна и содержит 11 элементов. Мы не будем подробно описывать каждый элемент, но важные аспекты некоторых.
1. Меню «Файл»
Меню файла содержит базовый набор операций ввода-вывода. Вы можете открывать и закрывать файлы, импортировать и экспортировать операции, и, конечно же, отсюда вы можете выйти из Wireshark.
2. Меню редактирования
Пометить/снять отметку: Используйте эту опцию или ' Ctrl + M ', чтобы пометить/снять выделение с пакета. Это на самом деле помогает, когда вы позже захотите проверить пакет.
Комментарий к пакету: вы можете добавить комментарий к выбранному пакету с помощью этой опции или, в качестве альтернативы, использовать сочетание клавиш « Ctrl + Alt + C », чтобы сделать то же самое. Комментарии помогают нам сотрудничать с другими людьми или запоминать что-то самим, когда мы позже приближаемся к нашей работе.
Профили конфигурации: на самом деле это отличный инструмент для настройки Wireshark в соответствии с нашими потребностями. Например, мы можем организовать столбцы, добавив новый или переставив их. Профили можно добавлять, а также загружать, а затем импортировать в Wireshark. Профиль также можно изменить из нижней правой панели.
Настройки: здесь, когда вы нажимаете на нее, открывается окно подсказки, из которого вы можете проверить внешний вид графического интерфейса, установить параметры захвата и другие дополнительные функции, такие как добавление ключей RSA, изменение настроек протокола и т. д. Это подменю также можно использовать для настройки нашего профиля конфигурации.
3. Меню просмотра
Это меню касается отображения инструментов на главном экране, используемого формата времени, параметров раскраски пакета, параметров масштабирования и т. д. Например, вместо того, чтобы показывать время в секундах, вы можете показывать его в формате UTC. Мы можем окрасить и отбелить пакеты и даже изменить правила окраски.
4. Перейти в меню
На самом деле это меню управления пакетами. Вы можете использовать его для прохождения пакетов захвата. Кнопки «Следующий пакет» и «Предыдущий пакет» можно использовать для перехода между данными, отображаемыми на экране. Конечно, вы можете просто использовать кнопки « Ctrl + вверх /вниз » или прокрутку мыши, чтобы упростить перемещение.
5. Меню захвата
Используйте его для управления начальной и конечной позицией захвата, а также для редактирования и добавления фильтров захвата.
6. Анализировать меню
Здесь вы можете добавлять и редактировать фильтры просмотра, а также просматривать макросы фильтров, декодировать пакеты как определенные протоколы, следовать потоку TCP или UDP и т. д. Вы можете выбрать пакет, а затем на панели сведений о пакете применить фильтр, используя «Анализ -> Применить как фильтр».
7. Меню статистики
Это как инструмент отчетности. Мы можем статистически разложить весь захват пакета. Мы можем, например, увидеть, какой частью приобретения является IPv6 или UDP. Таким образом, это показывает различную статистику, такую как свойства файла захвата, блок-схему, иерархию протоколов, статистику IPv4 и IPv6 и т. д.
8. Меню телефонии
Здесь вы найдете параметры для просмотра различных окон статистики, связанных с телефонией, таких как блок-схемы, просмотр статистики иерархии протоколов и т. д.
9. Беспроводное меню
Он имеет дело с отображением статистики, относящейся к стандарту Bluetooth и IEEE 802.11.
10. Меню инструментов
Содержит несколько инструментов Wireshark, таких как создание правил ACL брандмауэра.
11. Меню помощи
В основном он предоставляет аспекты, связанные с помощью, такие как ссылки на справочное содержимое, справочные страницы, часто задаваемые вопросы, Wireshark Wiki, а также ссылки на получение образцов и т. д.
Основная панель инструментов
Проще говоря, панель инструментов на самом деле представляет собой набор ярлыков для наиболее часто используемых элементов главного меню. Как только вы познакомитесь с Wireshark, вы быстро запомните, какой значок для чего используется.
Панель инструментов фильтра
Есть две панели инструментов фильтра: View Filter и Acquire Filter. Между ними есть разница, однако обе они используются для облегчения поиска пакетов.
Список интерфейсов
На домашней странице Wireshark перечислены все интерфейсы, доступные на вашем устройстве для захвата. Если вы не видите здесь свой интерфейс, перейдите в «Получить> Обновить интерфейсы» или нажмите клавишу «F5», чтобы обновить список интерфейсов. Вы также можете управлять списком интерфейсов на домашней странице. Для этого выберите раскрывающееся меню в правой части окна поиска фильтра захвата.
Вывод
В этом руководстве мы рассмотрели пользовательский интерфейс Wireshark. Мы попытались охватить только важные аспекты, потому что объяснение каждого параметра выходит за рамки этого руководства.
