Jak przechwytywać pakiety w WireShark

Wireshark to nieocenione narzędzie do analizy sieci, które tłumaczy dane przesyłane przez twoje sieci na czytelny format. Możesz identyfikować problemy z siecią lub bezpieczeństwem, debugować implementacje protokołów lub po prostu monitorować ruch, przechwytując pakiety za pomocą Wireshark.

Przyjrzyj się bliżej temu, co dzieje się w Twojej sieci, przechwytując dokładne informacje, których potrzebujesz. Oto jak przechwytywać różne typy pakietów w Wireshark.

Jak przechwytywać pakiety

Rozpoczęcie procesu przechwytywania w Wireshark zajmuje zaledwie kilka kliknięć. Wszystko, co musisz zrobić, to uruchomić tryb przechwytywania, a dane zaczną napływać bez filtrowania. Chociaż ten niefiltrowany tryb jest świetny, gdy potrzebujesz pełnego raportu o tym, co się dzieje, ilość przechwyconych danych może być przytłaczająca. Aby ułatwić zarządzanie, możesz używać filtrów i przechwytywać tylko określony typ danych. Poniżej znajdziesz instrukcje, jak to zrobić.

Na razie zobaczmy, jak zacząć przechwytywać wszystkie pakiety w Wireshark:

1. Upewnij się, że masz zainstalowaną najnowszą wersję programu Wireshark. Możesz pobrać program za darmo z oficjalnej strony Wireshark .
   
   
2. Uruchom program. Powita Cię ekran powitalny z listą wykrytych sieci.
   
3. Rozpocznij przechwytywanie pakietów w jeden z następujących sposobów:
   • Kliknij dwukrotnie wybraną sieć na liście.
     
   • Wybierz jeden lub więcej interfejsów sieciowych, a następnie kliknij ikonę płetwy rekina na pasku narzędzi lub „Przechwyć”, a następnie „Start” na pasku menu.
     
     

Uwaga: Możesz dostosować opcje przechwytywania — takie jak tryb rozwiązły — przed rozpoczęciem, klikając „Przechwyć”, a następnie „Opcje”.

Gdy tylko klikniesz interfejs sieciowy lub przycisk Start, zostaniesz przeniesiony do ekranu przechwytywania. Zobaczysz, jak Wireshark przechwytuje pakiety danych w czasie rzeczywistym. Gdy ilość zebranych danych jest zadowalająca, możesz zatrzymać przechwytywanie, klikając czerwony przycisk zatrzymania na górnym pasku narzędzi. Rozpocznij analizę danych od razu lub zapisz je na później, klikając „Plik”, a następnie „Zapisz jako…” na pasku menu.

Jak przechwytywać pakiety UDP

Wykonanie powyższych kroków spowoduje, że program przechwyci wszystkie pakiety. Podczas gdy różne rodzaje ruchu są łatwo rozróżnialne w Wireshark dzięki kodowaniu kolorami, nadal będziesz musiał przesiać wiele danych. Jeśli szukasz tylko informacji o określonych pakietach, możesz użyć filtrów, aby ułatwić sobie pracę.

Wireshark obsługuje zarówno filtry przechwytywania, jak i wyświetlania. Użycie filtra przechwytywania oznacza, że ​​program przechwytuje tylko pakiety zdefiniowane przez użytkownika. Filtry wyświetlania jedynie filtrują już przechwycone pakiety. Te dwa filtry działają inaczej i używają różnych poleceń, więc musisz zdecydować, który z nich najlepiej odpowiada Twoim potrzebom.

Jeśli chcesz przechwytywać tylko ruch UDP, użyj filtra przechwytywania przed rozpoczęciem procesu przechwytywania.

1. Uruchom Wiresharka.
   
2. Poszukaj paska filtru przechwytywania na ekranie powitalnym. To ten bezpośrednio nad listą sieci.
   
3. Wpisz „udp” na pasku filtru przechwytywania i naciśnij klawisz Enter, aby rozpocząć przechwytywanie ruchu UDP. Możesz także dodać określony port po „udp”, jeśli chcesz dokładniej określić filtr.
   

Wskazówka: Innym sposobem dostosowania filtrów przechwytywania jest kliknięcie opcji „Przechwyć”, a następnie „Opcje” w menu. Pasek filtra będzie znajdować się na dole interfejsu przechwytywania.

Wireshark Jak przechwytywać pakiety DHCP

Aby przechwytywać wyłącznie pakiety DHCP, musisz wprowadzić odpowiedni numer portu w filtrze przechwytywania. Użyj filtra przechwytywania „port 67” lub „port 68” albo kombinacji obu „port 67 lub port 68”, aby przechwytywać pakiety DHCP.

Podobnie filtr wyświetlania może odfiltrować pakiety DHCP na ekranie przechwytywania. Należy jednak pamiętać, że filtry wyświetlania używają innej składni niż filtry przechwytywania. Będziesz musiał wpisać „udp.port == 68” w pasku filtra wyświetlacza.

Jak przechwytywać pakiety ping

Najlepszym sposobem przechwytywania pakietów ping (znanych również jako ruch Echo protokołu ICMP) w programie Wireshark jest użycie filtra wyświetlania w trybie przechwytywania. Oto proces.

1. Otwórz Wireshark i rozpocznij proces przechwytywania, jak opisano powyżej.
   
2. Otwórz wiersz polecenia i wykonaj polecenie ping na wybrany adres.
   
3. Wróć do Wireshark i zatrzymaj proces przechwytywania.
   
4. Utwórz filtr dla pakietów ping, wpisując „icmp” na pasku filtra wyświetlacza, a następnie naciśnij Enter.
   

Na liście pakietów zobaczysz zarówno żądania, jak i odpowiedzi na polecenie ping.

Wireshark Jak przechwytywać pakiety z określonego adresu IP

Jeśli chcesz skoncentrować przechwytywanie na określonym adresie IP, przed rozpoczęciem przechwytywania wprowadź następujący filtr przechwytywania: „host [adres IP, który chcesz nagrać]”. Na przykład przechwytywanie pakietów związanych z adresem IP 111.11.1.1 wymagałoby filtra „host 111.11.1.1” na pasku filtra przechwytywania.

Możesz także określić, czy chcesz przechwytywać ruch do lub z określonego adresu IP, dodając „src” dla źródła lub „dst” dla miejsca docelowego na początku zamiast „hosta”:

• wpisz „src 111.11.1.1” dla pakietów pochodzących z danego adresu IP
• wpisz „dst 111.11.1.1” dla pakietów wysyłanych na dany adres IP

Oczywiście możesz połączyć te filtry, aby określić ruch, który chcesz dalej przechwytywać. Połącz dwa filtry za pomocą „i”, aby uzyskać pakiety podróżujące między dwoma zdefiniowanymi adresami IP. Na przykład „src 111.11.1.1 i dst 222.22.2.2” przechwyci tylko pakiety wysłane z 111.11.1.1 do 222.22.2.2.

Użyj filtrów wyświetlania, aby filtrować pakiety związane z określonym adresem IP w już przechwyconym zestawie danych. Dla wyżej wymienionego adresu IP wpisz „ip.addr == 111.11.1.1” na pasku filtru wyświetlacza i tak dalej.

Często zadawane pytania

Jak przechwytywać pakiety routera w programie Wireshark?

Możesz przechwytywać pakiety routera za pomocą Wireshark tylko wtedy, gdy masz router obsługujący dublowanie portów. Najpierw musisz wykonać kopię lustrzaną ruchu w porcie LAN. Proces może się różnić w zależności od urządzenia.

1. Przejdź do LAN, a następnie LAN Port Mirror.

2. Włącz dublowanie portów.

3. Skonfiguruj punkt źródłowy i docelowy.

Jeśli możesz odzwierciedlać swój ruch w ten sposób, będziesz mógł normalnie przechwytywać pakiety routera w trybie przechwytywania Wireshark.

Dlaczego nie mogę przechwytywać pakietów w programie Wireshark?

Jeśli Twój Wireshark nie przechwytuje żadnych pakietów, zapoznaj się z poniższymi możliwościami rozwiązania problemu:

• Upewnij się, że nie masz włączonych zbyt szczegółowych filtrów przechwytywania.

• Poszukaj aktualizacji programu Wireshark w menu Pomoc.

• Sprawdź, czy zapora sieciowa nie blokuje aplikacji Wireshark.

Jeśli żaden z powyższych czynników nie dotyczy Ciebie, problem najprawdopodobniej dotyczy sprzętu.

Muszę uchwycić wszystko

Przechwytywanie pakietów za pomocą Wireshark zajmuje tylko kilka kliknięć. Prawdopodobnie będzie to najłatwiejsza część zadania rozwiązywania problemów. Przechwytuj cały ruch i filtruj pakiety później lub użyj filtrów przechwytywania, aby rejestrować tylko określony typ danych.

Czy udało Ci się przechwycić pakiety, które chciałeś, korzystając z tych wskazówek? Które filtry przechwytywania Wireshark uważasz za najbardziej przydatne? Daj nam znać w sekcji komentarzy poniżej.