Wireshark – это самый популярный анализатор сетевого трафика. Он бесплатен для всех. Это инструмент с открытым исходным кодом.
Данный продукт был изначально создан Джеральдом Комбсом, который назывался Ethereal. Позже название было изменено на Wireshark.
Существуют две версии, одна из которых используется разработчиками, а вторая предназначена для всех остальных.
Смысл в том, что если вторая цифра в наименовании версии четная, то это стабильный релиз, а если нечетная, то это версия для разработчиков.
Базовый функционал Wireshark.
Давайте поговорим про базовый функционал Wireshark. Когда компьютер подключается к сети, то он использует определенный драйвер, который зависит от сетевой карты. В случае, если компьютер работает как сниффер, то библиотеки «libpcap», и «WinPcap» используют дополнительный драйвер, который был создан, для того, чтобы получать доступ к необработанной информации в сети. За запись информации отвечает «dumpcap – capture engine». Он захватывает пакеты, которые проходят через драйвера «libpcap», и «WinPcap». Если включены фильтры захвата, то пакеты будут выбраны до того, как они отправятся в «dumpcap». Основное назначение «dumpcap», состоит в том, чтобы добавлять условия остановки, когда необходимо остановить захват трафика. Движок захвата «dumpcap», отправляет пакеты в «Core Engine». Это ядро Wireshark, в котором находятся тысячи диссекторов, которые разбивают пакеты на слои и поля. Это помогает нам выполнить анализ, вместо того, чтобы шифровать шестнадцатеричный дамп трафика.
Библиотека «Wiretap», читает захваченные файлы с диска, а не из сети, и она поддерживает фактически любой доступный формат захваченного трафика. Затем она также обращается к «Core Engine».
Есть две версии Wireshark: графический и консольный, который называется «tshark». «Tshark» очень полезен, когда нам нужно выполнить некоторые автоматизированные задачи, которые выполняются в Linux.
Давайте познакомимся с интерфейсом Wireshark.
После первого запуска Wireshark, Вы увидите такое окно:
Вы можете начать захват с любого интерфейса, который указан на скриншоте выше.
Мы также можем изменить опции захвата, перейдя на вкладку «Capture», затем «Options»:
На вкладке «File», мы можем просмотреть недавно захваченные пакеты, а также создать новый:
На вкладке «Help», мы можем найти полезные ссылки на документацию, официальный сайт, и много чего еще, касательно этого инструмента:
Теперь перейдем непосредственно к интерфейсу этой программы.
Первое, на что стоит обратить внимание – это главное меню:
Тут Вы можете найти все, что поддерживает Wireshark. Но не используйте его слишком часто. Вам понадобится время для того, чтобы разобраться с интерфейсом инструмента, чтобы пользоваться другими возможностями в самом ПО. Например, можно использовать главную панель, которой Вы будете пользоваться довольно часто:
Далее идет панель «Filter», которая позволяет отображать только интересующие Вас пакеты.
Всю рабочую область можно разделить на три части, где мы можем работать с пакетами:
Начнем рассматривать окна сверху-вниз. В самом верху у нас есть область, которая называется «Packet list», и в ней Вы можете посмотреть, с каким сервером идет обмен данными, протокол, который используется, и общую информацию о кадрах. По-умолчанию, Вы увидите столбцы:
Начинается все с нумерации (это первый выделенный столбец). В Wireshark по-дефолту пакеты упорядочены в нумерации.
В колонке «Time», Вы можете увидеть, какой кадр был захвачен, по отношению к первому кадру.
В колонках «Source» и «Destination» Вы можете увидеть адреса самых высоких слоев, и если это пакет «IP», то Вы увидите ip-адрес, но если это пакет «ARP», то будет отображаться только MAC-адрес.
В колонке «Protocol», отображается текущий протокол.
В колонке «Length», показана длина пакета. И, наконец, последняя колонка «Info», которая отображает общую информацию о кадре.
Вы с легкостью можете изменить порядок колонок так, как Вам захочется.
Мы также можем проводить дополнительные манипуляции с колонками. К примеру, колонку «No», можно выводить в обратном порядке, а также выбирать параметры правой клавишей мыши:
Следующая область, называется «Package Details»:
В ней отображаются детали пакета, который был выбран в «Packet List».
Вот тут проявляется вся мощь Wireshark, где Вы можете видеть все поля и слои указанного пакета.
И последнее поле служит для отображения шестнадцатеричного представления пакета:
Также смещение пакета отображается в виде ASCII:
Вы также можете посмотреть, как все это выглядит в битах. Для этого необходимо кликнуть правой кнопкой мыши, и выбрать:
И последнее, на чем мы остановим наше внимание – это «Status Bar»:
Он состоит из двух кнопок и трех колонок, которые можно изменить, при необходимости.