Wireshark - podstawy
Co to jest Wireshark?
Wireshark jest snifferem na licencji GNU GPL. Umożliwia przechwytywanie i nagrywanie pakietów danych, a także ich dekodowanie. Wykorzystywany jest przez administratorów sieci oraz hakerów do śledzenia pakietów. Program można pobrać ze strony wireshark.org
Instalacja programu
Generalnie dalej, dalej i tak do końca :)
Przechwytywanie pakietów
Musimy wybrać interfejs sieciowy na którym będziemy nasłuchiwać. Interfejs ten musi być podłączony do sieci.
Aby zakończyć przechwytywanie klikamy tak jak widac na obrazku.
Przechwycone pakiety możemy zapisać.
Filtry wyświetlania
Przechwyconych pakietów jest z reguły bardzo dużo, dlatego możemy ułatwić sobie wyszukiwanie stosując fitry. Na poniższym obrazku widąc, że wyszukałem tylko pakiety dotyczące protokołu DNS. To samo mogłem uzyskać udp.port ==53 Przy wpisywaniu program podpowiada, jakie są opcje.
A tu poniżej wpisałem ip.addr == 192.168.0.17 wyświetlając pakiety tylko z jednego adresu IP.
Fitry można definiować. Analizuj => Filtry wyświetlania
Przykłady filtrów
tcp.port eq 25 Port TCP równy 25, czyli SMTP. Można użyć innych operatorów.
ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24 Wyszukiwanie w LAN 192.168.0.0
ip.addr != 192.168.0.100 wykluczenie tego adresu IP
Więcej o filtrach wyświetlania [1]
Więcej o operatorach [2]
Filtry przechwytywania
Filtry możemy wpisać przy starcie programu, wtedy nie przechwytujemy nadmiarowego ruchu.
Fitry można definiować. Przechwytuj => Filtry przechwytywania
Przykłady filtrów
host 172.18.5.4 Przechwytywanie z jednego hosta. Ruch w obie strony (z, i do).
net 192.168.0.0/24 lub net 192.168.0.0 mask 255.255.255.0 Przechwytywanie z całej sieci. Ruch w obie strony (z, i do).
src net 192.168.0.0/24 lub src net 192.168.0.0 mask 255.255.255.0 Przechwytywanie ruchu z sieci (nie do niej).
dst net 192.168.0.0/24 lub dst net 192.168.0.0 mask 255.255.255.0 Przechwytywanie ruchu do sieci (nie z niej).
port 80przechwytywanie ruchu na porcie 80.
port not 53 and not arp Przechwytywanie ruchu z wyjątkiem portu 53 i protokołu ARP.
tcp portrange 1501-1549 Przechwytywanie ruchu związanego z protokołem TCP z portów 1501 - 1549.
Więcej na [3]