Wireshark - podstawy

Z SOISK systemy operacyjne i sieci komputerowe
Przejdź do nawigacji Przejdź do wyszukiwania

Co to jest Wireshark?

Wireshark jest snifferem na licencji GNU GPL. Umożliwia przechwytywanie i nagrywanie pakietów danych, a także ich dekodowanie. Wykorzystywany jest przez administratorów sieci oraz hakerów do śledzenia pakietów. Program można pobrać ze strony wireshark.org

Instalacja programu

Generalnie dalej, dalej i tak do końca :)

Przechwytywanie pakietów

Musimy wybrać interfejs sieciowy na którym będziemy nasłuchiwać. Interfejs ten musi być podłączony do sieci.

Wirehark-podstawy1.png

Aby zakończyć przechwytywanie klikamy tak jak widac na obrazku.

Wirehark-podstawy2.png

Przechwycone pakiety możemy zapisać.

Filtry wyświetlania

Przechwyconych pakietów jest z reguły bardzo dużo, dlatego możemy ułatwić sobie wyszukiwanie stosując fitry. Na poniższym obrazku widąc, że wyszukałem tylko pakiety dotyczące protokołu DNS. To samo mogłem uzyskać udp.port ==53 Przy wpisywaniu program podpowiada, jakie są opcje.

Wirehark-podstawy3.png

A tu poniżej wpisałem ip.addr == 192.168.0.17 wyświetlając pakiety tylko z jednego adresu IP.

Wirehark-podstawy5.png

Fitry można definiować. Analizuj => Filtry wyświetlania

Wirehark-podstawy4.png

Przykłady filtrów

tcp.port eq 25 Port TCP równy 25, czyli SMTP. Można użyć innych operatorów.

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24 Wyszukiwanie w LAN 192.168.0.0

ip.addr != 192.168.0.100 wykluczenie tego adresu IP

Więcej o filtrach wyświetlania [1]

Więcej o operatorach [2]

Filtry przechwytywania

Filtry możemy wpisać przy starcie programu, wtedy nie przechwytujemy nadmiarowego ruchu.

Wirehark-podstawy6.png

Fitry można definiować. Przechwytuj => Filtry przechwytywania

Wirehark-podstawy7.png

Przykłady filtrów

host 172.18.5.4 Przechwytywanie z jednego hosta. Ruch w obie strony (z, i do).

net 192.168.0.0/24 lub net 192.168.0.0 mask 255.255.255.0 Przechwytywanie z całej sieci. Ruch w obie strony (z, i do).

src net 192.168.0.0/24 lub src net 192.168.0.0 mask 255.255.255.0 Przechwytywanie ruchu z sieci (nie do niej).

dst net 192.168.0.0/24 lub dst net 192.168.0.0 mask 255.255.255.0 Przechwytywanie ruchu do sieci (nie z niej).

port 80przechwytywanie ruchu na porcie 80.

port not 53 and not arp Przechwytywanie ruchu z wyjątkiem portu 53 i protokołu ARP.

tcp portrange 1501-1549 Przechwytywanie ruchu związanego z protokołem TCP z portów 1501 - 1549.

Więcej na [3]