Як користуватися Wireshark? Аналіз трафіку

Іноді при використанні інтернету виникають ситуації, при яких відбувається витік трафіку або непередбачений витрата системних ресурсів. Щоб швидко провести аналіз і виявити джерело проблеми, використовують спеціальні мережеві інструменти. Про один з них, WireShark, піде мова в статті.

Загальна інформація

Перед тим, як користуватися WireShark, потрібно ознайомитися з областю її застосування, функціоналом і можливостями. Коротко: програма дозволяє перехоплювати пакети в режимі реального часу в дротяних і бездротових мережевих підключеннях. Застосовується в протоколах Ethernet, IEEE 80211 PPP та аналогічних. Можна використовувати і перехоплення трафіку дзвінків VoIP.


Програма поширюється під ліцензією GNU GPL, що означає - безкоштовно і з відкритим вихідним кодом. Можна запустити її на багатьох дистрибутивах Linux, MacOS, і є також версія для операційної системи Windows.

Як користуватися WireShark?

По-перше, спочатку варто встановити її в систему. Так як одним з найбільш часто використовуваних Linux дистрибутивів є Ubuntu, то і всі приклади будуть показані саме в ньому. Для установки досить набрати в консолі команду: sudo apt-get install wireshark Після цього програма з'явиться в головному меню. Можна запустити її звідти. Але краще робити це з терміналу, так як їй потрібні права суперкористувача. Це можна зробити так: sudo wireshark

Зовнішній вид

Програма має зручний графічний інтерфейс. Перед користувачем постане доброзичливе вікно, розбите на 3 частини. Безпосередньо з захопленням пов'язано перше, друге відноситься до відкриття файлів і семплів, а третє — допомога і підтримка.


Блок Capture містить список доступних для захоплення мережевих інтерфейсів. При виборі, наприклад, eth0 і натисканні кнопки Start запуститься процес перехоплення. Вікно з перехватываемыми даними також логічно поділено на кілька частин. Зверху знаходиться панель управління з різними елементами. Слідом за ним йде список пакетів. Він представлений у вигляді таблиці. Тут можна побачити порядковий номер пакета, час його перехоплення, адреса надсилання й отримання. Також можна вилучити дані про використовувані протоколи, довжині та інших корисних відомостей. Нижче списку розташоване вікно з вмістом технічних даних обраного пакету. А ще нижче є відображення в шістнадцятковому вигляді. Кожне уявлення можна розгорнути в великому вікні для більш зручного читання даних.

Застосування фільтрів

У процесі роботи програми перед користувачем завжди будуть пробігати десятки, а то і сотні пакетів. Відсівати їх вручну досить важко і довго. Тому офіційна інструкція WireShark рекомендує використовувати фільтри. Для них є спеціальне поле у вікні програми — Filter. Щоб настроїти фільтр більш точно, є кнопка Expression. Але для більшості випадків вистачить і стандартного набору фільтрів: ip.dst — ip-адреса призначення пакета; ip.src — адреса відправника; ip.addr — просто будь-ip; ip.proto — протокол.

Використання фільтрів у WireShark — інструкція

Щоб спробувати, як працює програма з фільтрами, потрібно в полі Filter увести визначену команду. Наприклад, такий набір — ip.dst == 17221723.131 - покаже всі летять пакети на сайт "Гугл". Щоб переглянути весь трафік — і вхідний і вихідний, - можна об'єднати дві формули — ip.dst == 17221723.131 || ip.src == 17221723.131. Таким чином, вдалося використати в одному рядку відразу дві умови.
Можна використовувати й інші умови, наприклад ip.ttl 5000.

Додаткові можливості

Для зручності в WireShark є спосіб швидко вибрати в якості аналізованого поля параметри пакета. Наприклад, у полі з технічними даними можна клацнути правою кнопкою миші на потрібному об'єкті і вибрати Apply as Column. Що означає його переклад в область поля як колонки. Аналогічно можна вибрати будь-який параметр і як фільтр. Для цього в контекстному меню є пункт Apply as Filter.

Окремий сеанс

Можна користуватися WireShark як монітором між двома вузлами мережі, наприклад, користувачем і сервером. Для цього потрібно вибрати пакет, викликати контекстне меню і натиснути Follow TCP-Stream. У новому вікні відобразиться весь лог обміну між двома вузлами.

Діагностика

WireShark має окремим інструментом для аналізу проблем мережі. Він називається Expert Tools. Знайти його можна в лівому нижньому куті, у вигляді круглої іконки. Після натискання на ній відкриється нове вікно з декількома вкладками — Errors, Warnings та інші. З їх допомогою можна проаналізувати, в яких вузлах відбуваються збої, не доходять пакети, і виявити інші проблеми з мережею.

Голосовий трафік

Як вже було сказано, WireShark вміє перехоплювати і голосовий трафік. Для цього відведено ціле меню Telephony. Це можна використовувати для знаходження проблем в VoIP та їх оперативного усунення. Пункт VoIP Дзвінки в меню Telephony дозволить переглянути здійснені дзвінки і прослухати їх.

Експорт об'єктів

Це, напевно, самий цікавий функціонал програми. Він дозволяє користуватися WireShark як перехоплювачем файлів, які передавалися по мережі. Для цього потрібно зупинити процес перехоплення і виконати експорт HTTP об'єктів у меню File. У вікні буде представлений список всіх переданих за сесію файлів, які можна зберегти в зручне місце.

На закінчення

На жаль, актуальну версію WireShark російською мовою в мережі знайти буде важко. Найбільш доступна і часто використовувана є англійською. Також йдуть справи і з детальною інструкцією по WireShark російською. Офіційна від розробника представлена англійською. У мережі є багато невеликих і коротких настанов по WireShark для початківців. Однак тим, хто давно працює в IT сфері, розібратися з програмою не представляє особливих складнощів. А великі можливості і багатий функціонал скрасить всі труднощі при вивченні. Варто відзначити, що в деяких країнах використання сніфер, яким і є WireShark, може бути протизаконним.