Программа Wireshark предназначена для анализа пакетов, проходящих в сети Ethernet в операционной системе Linux. Запустить программу можно выбрав пункт меню "Интернет", далее пункт "Wireshark (root)". Одной из наиболее интересных возможностей программы EtherPeek является захват проходящих по сети пакетов, их декодирование и предоставление пользователю как самих пакетов, так и содержащейся в них информации в наглядном и удобном виде.
При запуске главное окно программы выглядит следующим образом. В верхней части окна расположено меню, позволяющее вызывать команды в соответствии с выполняемыми задачами. В частности пункт меню "File" позволяет загружать и сохранять файлы, содержащие данные о выбранных пакетах.
Прежде чем начинать новый сеанс захвата пакетов следует выбрать пункт "Capture", далее пункт меню "Interfaces"
Чтобы начать сеанс захвата пакетов по этому интерфейсу, нужно щелкнуть на кнопке "Start" для выбранного интерфейса.
В результате этого в главном окне программы появится список захваченных пакетов, который постоянно пополняется сетевыми пакетами, проходящими по сети. Для прекращения захвата пакетов нужно выбрать пункты меню "Capture" и "Stop".
Выделяя какую-либо строку таблицы мы можем более детально узнать что из себя представляет данный пакет с помощью нижних окон.
В самом нижнем окне представлено содержимое пакета в двоичном виде с помощью шестнадцатеричных цифр. Именно в таком виде пакеты передаются по сети и хранятся в компьютере. Информация и данные пакета здесь содержатся в виде, закодированном посредством комбинаций двоичных цифр.
В среднем окне представлена расшифровка данных, содержащихся в пакете. Важным преимуществом программы является то, что расшифрованные данные представлены в удобном и структурированном виде. Представленная структура четко отражает структуру уровней стека протоколов TCP/IP и соответствующую им вложенность заголовков. Понять эту взаимосвязь помогает то, что при выделении в среднем окне какого-либо участка декодированной информации, программа автоматически выделяет соответствующий участок в двоичном представлении пакета в нижнем окне.
Использование программы позволяет сразу убедиться в том, что в сети происходит интенсивный обмен пакетами, даже если мы не передаем какие-либо данные. Таким образом можно наглядно видеть, что для поддержания работоспособности сети, компьютеры, подключенные к сети, постоянно и интенсивно обмениваются служебной информацией. Однако, для решения конкретных задач администрирования необходимо уметь фильтровать пакеты, отбирая лишь те, которые интересуют нас непосредственно.
Для задания фильтра используются пункты меню "Analyze" и "Display Filters...".
В результате появляется окно "Wireshark Display Filter", позволяющее задать и применить наиболее подходящий фильтр.
В центре этого окна находится список "Filter" предустановленных фильтров. Выбирая какой-либо из этих фильтров, в поле "Filter name" видим название выбранного фильтра, а в поле "Filter string" строку, задающую этот фильтр. Например, на представленном рисунке показан фильтр, позволяющий выбрать лишь те пакеты, IP-адреса которых равны 192.168.0.1. Аналогичным образом можно создать и собственные фильтры. При создании сложных фильтров помощь в составлении соответствующих выражений может оказать построитель выражений "Wireshark Filter Expression", который можно увидеть, нажав кнопку "Expression...".