Основы работы с анализатором протоколов Wireshark

Программа Wireshark предназначена для анализа пакетов, проходящих в сети Ethernet в операционной системе Linux. Запустить программу можно выбрав пункт меню "Интернет", далее пункт "Wireshark (root)". Одной из наиболее интересных возможностей программы EtherPeek является захват проходящих по сети пакетов, их декодирование и предоставление пользователю как самих пакетов, так и содержащейся в них информации в наглядном и удобном виде.

При запуске главное окно программы выглядит следующим образом. В верхней части окна расположено меню, позволяющее вызывать команды в соответствии с выполняемыми задачами. В частности пункт меню "File" позволяет загружать и сохранять файлы, содержащие данные о выбранных пакетах.

Прежде чем начинать новый сеанс захвата пакетов следует выбрать пункт "Capture", далее пункт меню "Interfaces"

в результате чего появится окно "Wireshark Capture Interfaces", отображающее доступные сетевые интерфейсы, с которых может осуществляться захват пакетов.
Интерфейс eth0 представляет подключение сетевой платы к локальной сети и, как правило, представляет наибольший интерес.

Чтобы начать сеанс захвата пакетов по этому интерфейсу, нужно щелкнуть на кнопке "Start" для выбранного интерфейса.

В результате этого в главном окне программы появится список захваченных пакетов, который постоянно пополняется сетевыми пакетами, проходящими по сети. Для прекращения захвата пакетов нужно выбрать пункты меню "Capture" и "Stop".

Рассмотрим содержимое и значение трех горизонтальных окон. В самом верхнем окне содержится последовательный список всех пакетов, захваченных в течение текущего сеанса захвата. Информация о захваченных пакетах в данном окне представлена в строках таблицы. По умолчанию колонки таблицы содержат данные о номере пакета, времени его получения, адресах отправителя и получателя, флагах, о протоколе пакета, а также дополнительную информацию, содержимое которой зависит от типа пакета.

Выделяя какую-либо строку таблицы мы можем более детально узнать что из себя представляет данный пакет с помощью нижних окон.

В самом нижнем окне представлено содержимое пакета в двоичном виде с помощью шестнадцатеричных цифр. Именно в таком виде пакеты передаются по сети и хранятся в компьютере. Информация и данные пакета здесь содержатся в виде, закодированном посредством комбинаций двоичных цифр.

В среднем окне представлена расшифровка данных, содержащихся в пакете. Важным преимуществом программы является то, что расшифрованные данные представлены в удобном и структурированном виде. Представленная структура четко отражает структуру уровней стека протоколов TCP/IP и соответствующую им вложенность заголовков. Понять эту взаимосвязь помогает то, что при выделении в среднем окне какого-либо участка декодированной информации, программа автоматически выделяет соответствующий участок в двоичном представлении пакета в нижнем окне.

Использование программы позволяет сразу убедиться в том, что в сети происходит интенсивный обмен пакетами, даже если мы не передаем какие-либо данные. Таким образом можно наглядно видеть, что для поддержания работоспособности сети, компьютеры, подключенные к сети, постоянно и интенсивно обмениваются служебной информацией. Однако, для решения конкретных задач администрирования необходимо уметь фильтровать пакеты, отбирая лишь те, которые интересуют нас непосредственно.

Для задания фильтра используются пункты меню "Analyze" и "Display Filters...".

В результате появляется окно "Wireshark Display Filter", позволяющее задать и применить наиболее подходящий фильтр.

В центре этого окна находится список "Filter" предустановленных фильтров. Выбирая какой-либо из этих фильтров, в поле "Filter name" видим название выбранного фильтра, а в поле "Filter string" строку, задающую этот фильтр. Например, на представленном рисунке показан фильтр, позволяющий выбрать лишь те пакеты, IP-адреса которых равны 192.168.0.1. Аналогичным образом можно создать и собственные фильтры. При создании сложных фильтров помощь в составлении соответствующих выражений может оказать построитель выражений "Wireshark Filter Expression", который можно увидеть, нажав кнопку "Expression...".

Чтобы с помощью заданного фильтра отфильтровать пакеты достаточно нажать кнопку "Применить"
Hosted by uCoz