Установив приложение Wireshark можно приступить к его изучению и перехвату пакетов в сети. Запустив Wireshark первым что увидите будет окно выбора сетевого интерфейса, которые могут быть использованы для перехвата пакетов.
Их количество зависит от того сколько сетевых адаптеров установлено в ПК. При наведение курсора на интерфейса можно увидеть подробную информацию (MAC-адрес, IP-адрес). В столбце Traffic в котором представлен линейный график, показывается объём сетевого трафика, проходящего через данный интерфейс в настоящий момент.
Для перехвата пакетов выберите интерфейс и щелкните на нём. Откроется главное окно Wireshark состоящее из 3 полей которые будут заполнятся перехваченными пакетами. Для остановки перехвата щелкните “Остановить перехват”, а для возобновления перехвата щёлкните “Запуск перехвата” на панели управления.
Главное окно разделено на 3 панели.
Packet list (список пакетов) – в ней отображается таблица содержащая все пакеты которые были перехвачены. Она состоит из столбцов: номер пакетов, относительное время перехвата, адрес источника и отправителя, тип сетевого протокола пакета и некоторые общие сведения находящиеся в пакете.
Packet Details (подробные сведения о пакете) – в ней в иерархическом виде отображается сведения об одном пакете выбранном в верхней панели Packet list.
Packet Bytes (байты из пакета) – отображаются исходные данные пакета в необработанном виде выбранного в средней панели Packet details.
В Wireshark есть возможность выделять цветом пакеты определённых протоколов, что позволяет быстро находить нужные пакеты различных сетевых протоколов. Цветовую схему можно изменить в окне Coloring Rules (Цветовые правила).
Для этого следует.
- Открыть Coloring Rules (View-Coloring rules/Просмотр – Цветовые правила)
- Выбрать правило для определённого сетевого протокола щелкнув по нему
- В нижней части экрана появится кнопка выбора цветов символов и фона
- Щелкните по кнопке Background (Фон)
- Выбрать цвет в палитре цветов и нажать кнопку “OK”
- Щелкнуть ещё раз кнопку “OK” чтобы принять внесённые изменения
В ходе работы по анализу трафика для поиска разных проблем в сети, придётся настраивать различные глобальные параметры, фильтры и т.д . Для того что бы не перенастраивать каждый раз, можно воспользоваться функцией создания профилей конфигурации.
В профиле хранятся следующие настройки.
- Глобальные параметры настройки
- Фильтры перехвата
- Фильтры отображения
- Правила выделения цветом
- Запрещённые сетевые протоколы
- Принудительные расшифровки
- Недавние установки (размеры панелей, ширина столбцов и т.д)
- Характерные для протоколов таблицы
Что бы создать профиль необходимо.
- Настроить конфигурацию с установками которые требуются
- Перейти в Edit – Configuration Profiles (Редактирование – Конфигурационные профили)
- Щёлкнуть кнопку “+” и присвоить имя профилю, затем щёлкнуть кнопку “OK”
Когда нужно будет сменить профиль щелкните левой кнопкой мыши в правом нижнем углу на заголовке “Profile(Профиль)” и выберете нужный профиль, также если щелкнуть правой кнопкой то можно быстро перейти в окно “Конфигурационные профили” или создать новый профиль.