Jak przechwytywać ruch HTTP w Wireshark

Wireshark pozwala analizować ruch w sieci za pomocą różnych narzędzi. Jeśli chcesz zobaczyć, co dzieje się w Twojej sieci lub masz problemy z ruchem sieciowym lub ładowaniem strony, możesz użyć Wireshark. Pozwala przechwycić ruch, dzięki czemu można zrozumieć, na czym polega problem lub wysłać go do pomocy technicznej w celu uzyskania dalszej pomocy. Czytaj dalej ten artykuł, a dowiesz się, jak przechwytywać ruch http w Wireshark.

Instalacja Wiresharka

Instalacja Wireshark to łatwy proces. Jest to bezpłatne narzędzie na różnych platformach, a oto jak możesz je pobrać i zainstalować:

Użytkownicy Windowsa i Maca

1. Otwórz przeglądarkę.
2. Odwiedź https://www.wireshark.org/download.html .
3. Wybierz wersję dla swojego urządzenia.
   
4. Wireshark zostanie pobrany na twoje urządzenie.
5. Zainstaluj go, postępując zgodnie z instrukcjami w paczce.
   

Użytkownicy Linuksa

Jeśli jesteś użytkownikiem Linuksa, możesz znaleźć Wireshark w Centrum oprogramowania Ubuntu. Pobierz go stamtąd i zainstaluj zgodnie z instrukcjami w paczce.

Przechwytywanie ruchu HTTP w Wireshark

Po zainstalowaniu programu Wireshark na komputerze możemy przejść do przechwytywania ruchu http. Oto kroki, aby to zrobić:

1. Otwórz przeglądarkę – Możesz użyć dowolnej przeglądarki.
2. Wyczyść pamięć podręczną – przed przechwyceniem ruchu należy wyczyścić pamięć podręczną przeglądarki. Możesz to zrobić, przechodząc do ustawień swojej przeglądarki.
   
3. Otwórz Wiresharka.
   
4. Stuknij „Przechwyć”.
   
5. Stuknij „Interfejsy”. Zobaczysz teraz wyskakujące okienko na ekranie.
6. Wybierz interfejs. Prawdopodobnie chcesz przeanalizować ruch przechodzący przez sterownik Ethernet.
   
7. Po wybraniu interfejsu dotknij „Start” lub naciśnij „Ctrl + E”.
   
8. Teraz wróć do przeglądarki i odwiedź adres URL, z którego chcesz przechwytywać ruch.
   
9. Gdy skończysz, przestań rejestrować ruch. Wróć do Wireshark i naciśnij „Ctrl + E”.
   
10. Zapisz przechwycony ruch. Jeśli masz problemy z siecią i chcesz wysłać przechwycony ruch do pomocy technicznej, zapisz go w pliku w formacie *.pcap.
    

Przechwytywanie pakietów w programie Wireshark

Oprócz przechwytywania ruchu HTTP, możesz przechwytywać dowolne dane sieciowe w Wireshark. Oto jak możesz to zrobić:

1. Otwórz Wiresharka.
   
2. Zobaczysz listę dostępnych połączeń sieciowych, które możesz sprawdzić. Wybierz to, które Cię interesuje. Jeśli chcesz, możesz przeanalizować wiele połączeń sieciowych jednocześnie, naciskając „Shift + lewy przycisk myszy”.
   
3. Teraz możesz rozpocząć przechwytywanie pakietów. Możesz to zrobić na kilka sposobów: Pierwszy polega na dotknięciu ikony płetwy rekina w lewym górnym rogu. Drugi to dotknięcie „Capture”, a następnie dotknięcie „Start”. Trzecim sposobem rozpoczęcia przechwytywania jest dotknięcie „Ctrl + E”.
   

Podczas przechwytywania Wireshark wyświetli wszystkie przechwycone pakiety w czasie rzeczywistym. Po zakończeniu przechwytywania pakietów możesz użyć tych samych przycisków/skrótów, aby zatrzymać przechwytywanie.

Filtry Wiresharka

Jednym z powodów, dla których Wireshark jest obecnie jednym z najbardziej znanych analizatorów protokołów, jest jego zdolność do stosowania różnych filtrów do przechwyconych pakietów. Filtry Wireshark można podzielić na filtry przechwytywania i wyświetlania.

Filtry przechwytywania

Te filtry są stosowane przed przechwyceniem danych. Jeśli Wireshark przechwyci dane, które nie pasują do filtrów, nie zapisze ich i nie zobaczysz ich. Jeśli więc wiesz, czego szukasz, możesz użyć filtrów przechwytywania, aby zawęzić wyszukiwanie.

Oto niektóre z najczęściej używanych filtrów przechwytywania, których możesz użyć:

• host 192.168.1.2 – przechwytuje cały ruch związany z 192.168.1.2.
• port 443 — przechwytuje cały ruch związany z portem 443.
• port inny niż 53 — Przechwytuj cały ruch oprócz ruchu związanego z portem 53.

Wyświetl filtry

W zależności od tego, co analizujesz, przechwycone pakiety mogą być bardzo trudne do przejścia. Jeśli wiesz, czego szukasz lub chcesz zawęzić wyszukiwanie i wykluczyć niepotrzebne dane, możesz użyć filtrów wyświetlania.

Oto niektóre z filtrów wyświetlania, których możesz użyć:

• http – Jeśli przechwyciłeś wiele różnych pakietów, ale chcesz zobaczyć tylko ruch oparty na protokole http, możesz zastosować ten filtr wyświetlania, a Wireshark pokaże ci tylko te pakiety.
• http.response.code == 404 – Jeśli masz problemy z ładowaniem niektórych stron internetowych, ten filtr może być przydatny. Jeśli go zastosujesz, Wireshark wyświetli tylko te pakiety, w których odpowiedź „404: Nie znaleziono strony” była odpowiedzią.

Należy zwrócić uwagę na różnicę między filtrami przechwytywania i wyświetlania. Jak widziałeś, stosujesz filtry przechwytywania przed i filtry wyświetlania po przechwyceniu pakietów. Dzięki filtrom przechwytywania odrzucasz wszystkie pakiety, które nie pasują do filtrów. Dzięki filtrom wyświetlania nie odrzucasz żadnych pakietów. Po prostu ukrywasz je na liście w Wireshark.

Dodatkowe funkcje Wiresharka

Chociaż przechwytywanie i filtrowanie pakietów jest tym, co czyni Wireshark sławnym, oferuje również różne opcje, które mogą ułatwić filtrowanie i rozwiązywanie problemów, zwłaszcza jeśli jesteś w tym nowy.

Opcja koloryzacji

Możesz pokolorować pakiety na liście pakietów zgodnie z różnymi filtrami wyświetlania. Pozwala to wyróżnić pakiety, które chcesz przeanalizować.

Istnieją dwa rodzaje zasad kolorowania: tymczasowe i trwałe. Reguły tymczasowe są stosowane tylko do momentu zamknięcia programu, a reguły stałe są zapisywane do czasu ich przywrócenia.

Możesz pobrać przykładowe zasady kolorowania tutaj lub stworzyć własne.

Tryb rozwiązły

Wireshark przechwytuje ruch przychodzący do lub z urządzenia, na którym działa. Włączając tryb rozwiązły, jesteś w stanie przechwycić większość ruchu w sieci LAN.

Wiersz poleceń

Jeśli używasz systemu bez GUI (graficznego interfejsu użytkownika), możesz użyć interfejsu wiersza poleceń programu Wireshark. Możesz przechwytywać pakiety i przeglądać je w graficznym interfejsie użytkownika.

Statystyka

Wireshark oferuje menu „Statystyki”, którego można użyć do analizy przechwyconych pakietów. Na przykład możesz przeglądać właściwości plików, analizować ruch między dwoma adresami IP itp.

Często zadawane pytania

Jak odczytać dane przechwycone w programie WireShark?

Po zakończeniu przechwytywania pakietów Wireshark wyświetli je wszystkie w okienku z listą pakietów. Jeśli chcesz skupić się na konkretnym przechwyceniu, kliknij je dwukrotnie, aby przeczytać więcej informacji na jego temat.

Możesz zdecydować o otwarciu konkretnego przechwycenia w osobnym oknie w celu ułatwienia analizy:

1. Wybierz pakiet, który chcesz przeczytać.

2. Kliknij go prawym przyciskiem myszy.

3. Stuknij „Wyświetl”.

4. Stuknij „Pokaż pakiet w nowym oknie”.

Oto kilka szczegółów z panelu listy pakietów, które pomogą ci w odczytywaniu przechwyconych danych:

1. Nr – Numer przechwyconego pakietu.

2. Czas – pokazuje, kiedy pakiet został przechwycony w odniesieniu do momentu rozpoczęcia przechwytywania. Możesz dostosować i dostosować wartość w menu „Ustawienia”.

3. Source – Jest to źródło przechwyconego pakietu w postaci adresu.

4. Destination – Adres docelowy przechwyconego pakietu.

5. Protokół – Typ przechwyconego pakietu.

6. Długość – pokazuje długość przechwyconego pakietu. Jest to wyrażone w bajtach.

7. Info – Dodatkowe informacje o przechwyconym pakiecie. Rodzaj wyświetlanych tutaj informacji zależy od typu przechwyconego pakietu.

Wszystkie powyższe kolumny można zawęzić za pomocą filtrów wyświetlania. W zależności od tego, co Cię interesuje, możesz łatwiej i szybciej interpretować przechwytywanie Wireshark, stosując różne filtry.

W świecie ryb zostań Wireshark

Teraz wiesz, jak przechwytywać ruch http w Wireshark, wraz z przydatnymi informacjami o programie. Jeśli chcesz sprawdzić swoją sieć, rozwiązać problemy lub upewnić się, że wszystko jest w porządku, Wireshark jest właściwym narzędziem dla Ciebie. Jest łatwy w użyciu i interpretacji oraz jest bezpłatny.

Czy korzystałeś już z Wiresharka? Powiedz nam w sekcji komentarzy poniżej.