Частина 3. Практичний посібник із використання Wireshark і tcpdump у локальних мережах. (Вступ у Wireshark)

15 вересня 2023 2минут

Аналіз мережового трафіку: Wireshark та tcpdump у дії

Аналіз мережевого трафіку стає все важливішим завданням у сучасному інформаційному суспільстві. Підтримка надійної і безпечної мережі стає критичною для багатьох організацій та користувачів. У цьому контексті інструменти, такі як Wireshark і tcpdump, стають справжнім спасінням. Wireshark – це популярний і безкоштовний аналізатор мережевого трафіку, який надає можливість звертати увагу на кожен пакет даних, що проходить через вашу мережу. Завдяки його інтуїтивному інтерфейсу та потужним можливостям фільтрації, Wireshark став незамінним інструментом для адміністраторів мереж, інженерів з безпеки та всіх, хто цікавиться здійсненням детального аналізу мережевого трафіку.

Tcpdump, з іншого боку, є командним інструментом для моніторингу мережевого трафіку. Він дозволяє отримувати детальну інформацію про пакети, що проходять через мережу, без графічного інтерфейсу. Tcpdump є потужним інструментом для інженерів систем, які володіють навичками роботи в командному рядку. У цьому SEO тексті ми розглянемо загальні концепції Wireshark і tcpdump, їх роль у локальних мережах та важливість аналізу мережевого трафіку для забезпечення надійності та безпеки мережі. Незалежно від вашого рівня експертизи, знання цих інструментів може стати важливою перевагою в управлінні та забезпеченні безпеки вашої мережі.

Коротка історія створення Wireshark

Додаток Wireshark має дуже багату історію. Джеральд Комбс. (Джеральд Комбс), який пройшов курс інформатики в Університеті Міссурі, розташованому в Канзас-Сіті, розробив цей додаток з необхідності. Перша версія його програми була випущена під назвою Ethereal в 1998 році під ліцензією GNU General Public License (GPL).

Через вісім років після виходу ефірної версії Комбс залишив роботу в пошуках інших кар’єрних можливостей. На жаль, його роботодавець в той час зберіг всі права на торгову марку Ethereal, і тому Комбс не зміг отримати згоду на контроль над торговою маркою Ethereal. Тому Комбс і решта команди розробників перейменували свій проект в Wiresharh в середині 2006 року.

Зараз популярність програми Wireshark значно зросла, і в його розробці взяли участь понад 500 фахівців. При цьому додаток, яке існує під назвою Ethereal, більше не розробляється.

Переваги Wireshcrk

Додаток Wireshark пропонує ряд переваг, які роблять його дуже привабливим для повсякденного використання. Він обслуговує різні категорії аналітиків пакетів, від початківців до досвідчених, надаючи привабливі можливості для обох. Отже, давайте вивчимо можливості Wireshark за критеріями, визначеними в главі 1, «Основи нюхання пакетів і мережі», щоб вибрати інструменти сніффінга пакетів.

  • Підтримка мережевих протоколів. Wireshark підтримує ряд мережевих протоколів — на момент написання цієї книги їх налічувалося близько 1000. Підтримувані мережеві протоколи включають як загальні протоколи, такі як IR і DHCP, так і більш просунуті спеціалізовані протоколи, такі як DNP3 і BitTorrent. А оскільки додаток Wireshark розроблено за моделлю з відкритим вихідним кодом, при його оновленні вводиться підтримка нового мережевого протоколу.

  • Зручність у використанні. Інтерфейс Wireshark найпростіший для засвоєння будь-якої програми для нюхання пакетів. Він заснований на графічному інтерфейсі з чітко складеними контекстними меню і простим макетом. Крім того, він надає ряд інструментів, призначених для поліпшення його практичного використання, включаючи виділення мережевих протоколів різними кольорами і детальне графічне представлення вихідних даних. На відміну від деяких більш складних додатків командного рядка (таких як утиліта tcpdump), інтерфейс Wireshark цілком доступний тим, хто тільки робить свої перші кроки в області сніффінга пакетів.

  • Вартість. Додаток Wireshark є абсолютно безкоштовним, оскільки він випускається під ліцензією GNU General Public License (GPL). Його можна вільно завантажити і використовувати для будь-яких цілей: як особистих, так і комерційних.

  • Підтримка програми. Рівень підтримки програмного забезпечення може вирішити його долю. Вільне програмне забезпечення, таке як Wireshark, може не мати офіційної підтримки. Тому нерідкі випадки, коли спільнота програмного забезпечення з відкритим вихідним кодом покладається на свою базу користувачів, щоб допомогти. На щастя для нас, спільнота розробників Wireshark є однією з найактивніших. Зокрема, посилання на веб-сайті програми Wireshark спрямовують безпосередньо на кілька форм підтримки, включаючи легкодоступну документацію, вікі-сторінки, поширені запитання та місце для підписки на список розсилки, який контролюється більшістю основних розробників Wireshark. Існує також платна підтримка Wireshark від Riverbed Technology.

  • Доступ до вихідного коду. Wireshark належить до категорії програмного забезпечення з відкритим вихідним кодом, яке доступне в будь-який час. Це може бути корисно для усунення несправностей програми, розуміння того, як працюють декодери мережевих протоколів, або сприяння розвитку Wireshark.

Операційні системи. Додаток Wireshark підтримує всі основні сучасні операційні системи, включаючи Windows, Linux і Mac 0S X. Щоб отримати повний список підтримуваних операційних систем, відвідайте домашню сторінку веб-сайту Wireshark.

Встановлення Wireshark

Процес встановлення Wireshark напрочуд простий. Але перш ніж встановлювати Wireshark, переконайтеся, що ваша система відповідає наступним вимогам.

  • Будь-який сучасний 32-розрядний або 64-розрядний процесор x86.

  • 400 МБ доступної оперативної пам’яті, хоча файли перехоплення більшого розміру потребують більше пам’яті.

  • Принаймні ZOO MB місця на жорсткому диску плюс місце для файлів перехоплення.

  • Мережний адаптер, який підтримує безладні статеві зв’язки.

  • Драйвер перехоплення WinPcap/libpcap.

Драйвер перехоплення WinPcap є реалізованим у Windows варіантом psar, інтерфейсу AP1 для сніффінгу пакетів. Простіше кажучи, цей драйвер зв’язується з операційною системою для перехоплення вихідних пакетних даних, застосування фільтрів і перемикання мережевого адаптера в комбінований режим і з нього.

Хоча драйвер WinPcap можна завантажити окремо (в http://www.winpcap.org/), в цілому краще встановити його з дистрибутива Wireshark, так як версія драйвера WinPcap, що входить в цей пакет, вже протестована з Wireshark.

Встановлення на Windows-системах

Поточна версія Wireshark була протестована на працездатність у різних версіях Windows, які все ще тестуються їх виробником. На момент написання цієї статті підтримувані версії включають Windows Vista, Windows 7, Windows 8, Windows 10 і Windows Server 2003, 2008 і 2012. І хоча Wireshark часто працює на інших версіях Windows (наприклад, Windows XP), ці версії офіційно не підтримуються.

Щоб встановити Wireshark на Windows, спочатку потрібно отримати останню версію збірки інсталяційного пакета з офіційного веб-сайту Wireshark за адресою http: //www.wireshark.org/. Для цього перейдіть до розділу Down10ad цього веб-сайту та виберіть потрібний варіант інсталяційного пакета, залежно від версії Windows, яку ви використовуєте.

А після завантаження інсталяційного пакета виконайте наведені нижче дії.

  1. Двічі клацніть файл з розширенням . exe, щоб почати інсталяцію, а потім натисніть кнопку Далі у вступному вікні.

  2. Прочитайте ліцензійну угоду і, якщо ви з ним згодні, натисніть на кнопку  (згоден).

  3. Виберіть компоненти Wireshark, які потрібно встановити, як показано на рис. 3.1. Для ваших цілей ви можете прийняти компоненти за замовчуванням і натиснути на кнопку Далі.

  4. Натисніть кнопку Next у вікні Select AdditionaI Tasks (Вибір додаткових завдань).

  5. Виберіть місце, куди ви хочете встановити Wireshark, і натисніть кнопку Далі.

  6. Коли з’явиться діалогове вікно з проханням встановити драйвер WinPcap, спочатку встановіть прапорець lnstall WinPcap, як показано на рис. 3.2, а потім натисніть на кнопку LNSTall. В результаті повинен початися процес установки.

  7. Далі у вас буде можливість встановити USBPcap – утиліту для збору даних з Поставте відповідний прапорець, якщо хочете встановити цей інструмент, а потім натисніть на кнопку Next.

  8. Десь посередині процесу установки Wireshark повинна початися установка драйвера WinPcap. І як тільки це станеться, натисніть на кнопку Next у вступному вікні, прочитайте ліцензійну угоду, і якщо ви згодні з нею, натисніть на кнопку Adjay.

  9. В результаті на комп’ютері повинні бути встановлені обраний драйвер WinPc.ap і утиліта USBPcap. Після завершення інсталяції натисніть кнопку Готово.

  10. На цьому установка Wireshark повинна завершитися. І як тільки це станеться, натисніть кнопку Далі.

  11. Натисніть кнопку Finish у вікні підтвердження встановлення Wireshark.

Встановлення на Linux-системах

Додаток Wireshark працює на більшості сучасних платформ, побудованих на базі ОС Unix. Встановити його можна за допомогою одного з менеджерів дистрибутивів або завантаживши і встановивши дистрибутив, відповідний вашій операційній системі. Було б нереально охопити всі процедури установки в кожній версії Linux, тому давайте розглянемо лише деякі з них.

Як правило, для установки системного програмного забезпечення в ОС Unix потрібні права доступу суперкористувача (root). Але для установки локальних версій програмного забезпечення, скомпільованих з вихідного коду, права суперкористувача не потрібні.

Системи на основі RPM-nckeT0B

Якщо ви використовуєте версію Red Hat Linux або дистрибутив на її основі, такий як CentOS, він, ймовірно, має інструмент керування пакетами Wit за замовчуванням. В цьому випадку, щоб швидко встановити додаток Wireshark, потрібно просто витягти його зі сховища програмного забезпечення для дистрибутива. Для цього відкрийте вікно терміналу і введіть в нього наступну команду:

$ sudo yum install wireshark

Якщо вам потрібні додаткові залежності, вам також буде запропоновано їх встановити. Якщо все пройде успішно, ви можете запустити програму Wireshark з командного рядка і отримати доступ до неї через графічний інтерфейс.

Системи на базі DEB-nckeT0B

Більшість дистрибутивів на основі DEB-nakeT0B, таких як Debian або Ubuntu, включають інструмент ART для управління пакунками. Він дозволяє встановити Wireshark зі сховища програмного забезпечення ОС. Щоб встановити Wireshark за допомогою цього інструменту, відкрийте вікно терміналу та введіть таку команду:

$ sudo apt-get install wireshark wireshark-qt

І в цьому випадку вам буде запропоновано встановити будь-які залежності для завершення процесу установки.

Компіляція вихідного коду Wireshark

У зв’язку зі змінами в архітектурі операційної системи і функціональності Wireshark інструкції по компіляції вихідного коду Wireshark можуть змінюватися з часом. І це одна з причин, по якій для установки цього додатка рекомендується використовувати менеджер пакетів операційної системи. Однак, якщо ваш дистрибутив Linux не використовує програмне забезпечення для автоматичного керування пакетами або якщо вам потрібна спеціальна установка Wireshark, у вас є можливість встановити програму вручну, скомпілювавши її вихідний код.

Для цього виконайте такі дії:

  • 1. Завантажте вихідний пакет з відповідної сторінки веб-сайту Wireshark за вказаною вище адресою.

  • 2. Розпакуйте архів, ввівши наступну команду і підставивши в неї відповідне ім’я файлу завантаженого пакета:

$ tar -jxvf <.vхажи!l'е .эдесъ JllIOI файла паже!l'а>. tar. bz2
  • 3. Перед вибором конфігурації та встановленням Wireshark вам може знадобитися встановити ряд додаткових пакетів залежно від вибраної версії Linux. Наприклад, Ubuntu 14.04 вимагає установки ряду додаткових пакетів для нормальної роботи Wireshark. А зробити це можна командою нижче. Але для цього будуть потрібні привілеї суперкористувача, інакше доведеться спочатку ввести команду sudo.

$ sudo apt-qet install pkg-config bison flex qtS-default liЬgtk-3-dev 
liЬpcap-dev qttoolsS-dev-tools
  • 4. Після встановлення необхідних додаткових пакетів перейдіть до каталогу, куди ви витягли вихідні файли Wireshark.

  • 5. Налаштуйте вихідний код, щоб правильно побудувати його у вашому дистрибутиві Linux по команді. /Настроїти. Якщо ви хочете змінити параметри установки за замовчуванням, вкажіть їх на цьому етапі установки. Якщо будь-які залежності (тобто додаткові пакети) відсутні, то компіляція вихідного коду, швидше за все, провалиться. Тому встановіть та налаштуйте залежності неоднозначностей, перш ніж продовжувати. І якщо настройка пройде успішно, ви побачите повідомлення, що сповіщає вас про це, як гуказан на рис. 3.3.

  • 6. Введіть команду для компіляції вихідного коду та побудови двійкового виконуваного файлу.

  • 7. Запустіть завершальний етап установки з команди sudo make install.

  • 8. Запустіть sudo /sbin/ldconfig, щоб завершити процес

Встановлення в системах Mac 0S X

Щоб встановити Wireshark на одну з систем Mac 0S X, виконайте такі дії:

  1. Завантажте інсталяційний пакет для Mac 0S X з відповідної сторінки веб-сайту Wireshark за вказаною раніше адресою.

  2. Запустіть майстер настроювання та дотримуйтеся наведених у ньому інструкцій.  Прийнявши умови ліцензії кінцевого користувача, виберіть, куди ви хочете встановити Wireshark.

  3. Завершіть процес. установка у відповідному майстра.

Основи Wireshark

Після того, як ви успішно встановили програму Wireshark у своїй системі, ви можете почати вивчати її. Коли ви відкриєте повністю функціонуючий дезінфікуючий засіб для пакетів, ви не побачите в ньому нічого цікавого! І справа в тому, що для аналізу пакетів Wireshark потрібні деякі дані.

Перше захоплення пакета

Щоб ввести пакетні дані в Wireshark, вам доведеться зробити перший нюх пакета. І тут у вас може виникнути наступне питання: “Як перехопити пакети, якщо в моїй мережі все в порядку?”

По-перше, в Інтернеті завжди щось не так. Якщо ви не вірите, надішліть повідомлення електронної пошти всім користувачам мережі, повідомляючи їх, що все працює ідеально. По-друге, аналіз пакетів не обов’язково вимагає, щоб в мережі було щось не так. Фактично, аналітики пакетів витрачають більшу частину свого робочого часу на аналіз здорового мережевого трафіку, а не проблемного мережевого трафіку. Адже потрібно мати якусь початкову базу для порівняння, щоб ефективно коригувати мережевий трафік. Наприклад, якщо ви сподіваєтеся вирішити проблему з DHCP, проаналізувавши його трафік, ви повинні знати, як виглядає потік оперативного трафіку DHCP.

У більш широкому сенсі, щоб знайти аномалії в повсякденній роботі мережі, необхідно знати, як виглядає ця щоденна робота. Якщо ваша мережа працює безперебійно, то ваші спостереження за нею послужать відправною точкою для представлення мережевого трафіку в нормальному стані.

Отже, зафіксуйте деякі пакети, виконавши такі дії:

  1. Відкрийте Wireshark.

  2. Виберіть Capture40ptions у головному меню. В результаті має з’явитися діалогове вікно, в якому перераховані різні мережеві інтерфейси, які можуть бути використані для перехоплення пакетів, а також найосновніша інформація про кожен з них (рисунок 3.4). Погляньте на стовпець Traffc, який показує лінійний графік, що ілюструє кількість мережевого трафіку, який зараз проходить через цей інтерфейс. Пікові точки на цьому графіку фактично вказують на нюхання пакетів. Якщо вони відсутні, лінійний графік повинен бути плоским. Крім того, кожен інтерфейс можна розширити, натиснувши на стрілку ліворуч від нього, щоб побачити пов’язану з ним інформацію про адресацію, наприклад, МАС-адрес или IР-адрес.

  3. Спочатку виберіть потрібний мережевий інтерфейс і натисніть кнопку Пуск. Поточне вікно має бути заповнене перехопленими даними.

  4. Зачекайте близько хвилини, і як тільки ви будете готові зупинити перехоплення і переглянути отримані дані, натисніть на кнопку Стоп, вибрану зі спадного меню Захоплення.

Після того, як ви виконаєте наведені вище кроки, завершивши процес перехоплення, головне вікно Wireshark має заповнити отримані дані. Насправді, кількість цих даних може приголомшити вас, але це швидко матиме сенс для вас, як тільки ви навчитеся розбирати вміст основного вікна Wireshark по частинах.

Головне вікно Wireshcrk

Більшу частину часу вам доведеться працювати в головному вікні Wireshark. Тут відображаються перехоплені пакети та перетворюються у формат 60 леїв, який легко аналізувати. Отже, давайте розглянемо вміст головного вікна Wireshark, використовуючи тільки що зроблене перехоплення, як показано на рис. 3.5.

Головне вікно Wireshark складається з панелей Packet List, Packet Details і Packet Bytes, які розташовані зверху вниз і залежать один від одного. Щоб переглянути деталі окремого пакета на панелі «Відомості про пакет», спочатку потрібно вибрати пакет на панелі «Список пакетів». Якщо ви виділите частину пакета на панелі “Деталі пакета”, окремі байти, що відповідають цій частині пакета, з’являться на панелі “Байти пакета”.

ПРИМІТКА: На рис. 3.5 Зверніть увагу, що на панелі «Список пакетів» перераховані різні мережеві протоколи. немає візуального поділу протоколів на різні рівні, крім виділення їх різними кольорами. Причому всі пакети показуються в тому порядку, в якому вони приймаються по мережі.

Нижче наведено короткий опис кожної панелі.

  • Список пакетів. Це верхня область, яка відображає таблицю, яка містить усі пакети з поточного файлу гачка. Він складається з колонок, які містять номер пакета, відносний час перехоплення пакета, адреси джерела і призначення пакета, тип мережевого протоколу пакета і деяку загальну інформацію, що міститься в пакеті.

ПРИМІТКА: Тут і далі мережевий трафік відноситься до всіх пакетів, що відображаються на панелі «Список пакетів». А якщо мова йде тільки про DNS-трафіку, то маються на увазі пакети з використанням протоколу DNS (Domain Name Service), які відправляються в цій же панелі.

  • Деталі пакета. Це середня область, де інформація про один пакет відображається в ієрархічному вигляді. Його можна згорнути або розгорнути, щоб відобразити всю зібрану інформацію про конкретний пакет.

  • Байти пакетів. Це нижня панель, яка відображає вихідні дані пакета в необробленому вигляді, тобто в тому вигляді, в якому пакет переноситься по мережі. Ці необроблені дані не містять нічого, що полегшило б їх відстеження. Методи їх інтерпретації більш детально розглядаються в Додатку B, «Інтерпретація пакетів», до цієї книги.

Глобальні параметри налаштування Wireshark

Існує кілька глобальних параметрів Wireshark, які можна налаштувати відповідно до своїх потреб. Щоб отримати доступ до глобальних налаштувань Wireshark, виберіть Edit4Preferences у головному меню. У результаті відкриється діалогове вікно Preferences з декількома спеціально настроюваними параметрами, як показано на рис. 3.6. Глобальні параметри конфігурації Wireshark розбиті на шість основних розділів і додатковий розділ Додатково.

Нижче наведено короткий опис цих тем.

  • Arreagapse (продуктивність). Цей розділ містить глобальні параметри, які визначають порядок представлення даних у Wireshark. Більшість з цих налаштувань можна змінити, виходячи з ваших особистих переваг, включаючи необхідність збереження розташування вікон, макет трьох основних панелей, розташування смуги прокрутки та стовпчиків на панелі “Список пакетів”, шрифти, які виділяють перехоплені дані, а також кольори фону та шрифтових символів.

  • Захоплення. Цей розділ містить глобальні налаштування, які визначають порядок захоплення пакетів, включаючи стандартний інтерфейс для захоплення пакетів, чи варто перемикатися в комбінований режим за замовчуванням і чи слід оновлювати панель «Список пакетів» в режимі реального часу.

  • Вирази FiIter. Далі ми обговоримо, як Wireshark може фільтрувати мережевий трафік на основі індивідуальних критеріїв. І в цьому розділі є глобальні настройки, що дозволяють створювати і маніпулювати фільтрами мережевого трафіку.

  • Назва ResoIution. Використовуючи глобальні налаштування в цьому розділі, ви можете ввімкнути функціональність Wireshark для перекладу адрес у більш помітні імена, включаючи адреси посилань, мережі та транспортного рівня, а також вказати максимальну кількість одночасних запитів на роздільну здатність імен.

  • Протоколи. У цьому розділі зібрані глобальні настройки, які мають відношення до перехоплення і відображення різних пакетів, які Wireshark здатний декодувати. Настроювані глобальні параметри доступні не для всіх мережевих протоколів, але ви все одно можете змінити параметри для деяких з них. Однак краще залишити ці настройки встановленими за замовчуванням, якщо немає конкретної причини їх змінити.

  • Статистика. Цей розділ містить ряд глобальних параметрів налаштування статистичних функцій Wireshark, більш детально розглянутих у розділі 5, “Покращення Wireshark”

  • Додатково. Цей розділ містить глобальні настройки, які не належать до жодної з перерахованих вище категорій. Зазвичай вони налаштовуються лише досвідченими користувачами Wireshark.

Кольорові пакети

Якщо, як і я, ви віддаєте перевагу блискучі предмети і приємні кольори, то вас напевно зацікавить можливість виділення пакетів різними кольорами в панелі Packet List, як показано на рис. 3.7. І хоча це тільки чорно-білий малюнок в друкованому виданні, проте різні відтінки сірого на ньому дають загальне уявлення про колірне кодування упаковок. На перший погляд може здатися, що упаковки підсвічуються фарбами довільно, але насправді це не так.

Кожен пакет відображається різним кольором з дуже вагомої причини: колір може відображати мережевий протокол і значення в окремих полях пакета. Наприклад, весь трафік UDP за замовчуванням виділено синім кольором, а весь HTTP-трафік світло-зеленим. Це кольорове кодування дозволяє швидко розпізнавати різні мережеві протоколи без необхідності звертатися до поля протоколу в кожному пакеті, що відображається на панелі «Список пакетів». Згодом ви самі переконаєтеся, наскільки це економить час, витрачений на перегляд великих файлів перехоплення.

Легко змінити кольори, призначені кожному мережевому протоколу в діалоговому вікні «Правила забарвлення», як показано на малюнку II. 3.8. Щоб відкрити це вікно, виберіть команду Vtew4Coloring Rules у головному меню.

Правила забарвлення засновані на фільтрах, що використовуються в Wireshark і більш детально розглянуті в главі 4 «Обробка перехоплених пакетів». За допомогою цих фільтрів ви можете визначити власні правила забарвлення або змінити існуючі. Наприклад, щоб перейти від світло-зеленого до блідо-фіолетового кольору тла, який виділяє мережевий трафік за допомогою протоколу HTTP, виконайте такі дії:

  1. Відкрийте Wireshark, а потім відкрийте діалогове вікно Правила забарвлення (за допомогою команди View Coloring Rules).

  2. Знайдіть правило кольорового маркування мережевого протоколу HTTP в списку подібних правил і виберіть його, натиснувши на нього.

  3. У нижній частині екрана ви побачите кнопки вибору кольорів символів і фонів, як показано на рис. 3.9.

  4. Натисніть кнопку Background фон.

  5. Виберіть потрібний колір на палітрі кольорів і натисніть кнопку “OK”.

  6. Натисніть кнопку OK ще раз, щоб прийняти зміни та повернутися до головного вікна. В результаті інтерфейс користувача повинен перезавантажитися, щоб відобразити оновлену колірну схему.

Працюючи зі своєю мережею в Wireshark, ви поступово почнете помічати, що вам доводиться мати справу з деякими мережевими протоколами частіше, ніж з іншими. Тут на допомогу приходить кольорове кодування пакетів, що спрощує їх аналіз. Наприклад, якщо ви вважаєте, що у вашій мережі є неслухняний DHCP-cepBep, який довільно призначає адреси IP, ви можете змінити правила забарвлення мережевого протоколу DHCP таким чином, щоб відповідні пакети відображалися світло-жовтим або будь-яким іншим легко помітним кольором. Це дасть вам можливість розрізняти вагу мережевого трафіку по DHCP набагато швидше, а значить, підвищить ефективність сніффінгу пакетів.

Файли конфігурації

Корисно точно знати, де Wireshark зберігає свої налаштування конфігурації, на випадок, якщо вам потрібно буде внести в них прямі корективи. Щоб знайти розташування файлів конфігурації Wireshark, просто спочатку виберіть команду Help4About Wireshark, а потім перейдіть на вкладку Папки. Діалогове вікно з цією розгорнутою вкладкою показано на рис. 3. 10.

Що стосується спеціальних налаштувань Wireshark, двома найважливішими місцями для цього є персональні та глобальні журнали конфігурації. Наприклад, каталог глобальної конфігурації містить усі стандартні налаштування та профілі Wireshark, а особистий каталог конфігурації містить певні налаштування та профілі, характерні для вашого облікового запису. Будь-які нові файли, які ви створюєте, будуть збережені в підкаталозі, розташованому в особистому каталозі конфігурації з указаними вами іменами. Важливо розрізняти персональні та глобальні каталоги конфігурації, оскільки будь-які зміни глобальних файлів конфігурації вплинуть на кожного користувача Wireshark у системі.

Профілі конфігурації

Ознайомившись із глобальними налаштуваннями Wireshark, іноді вам може знадобитися спочатку використати один із цих параметрів, а потім швидко перейти до інших глобальних налаштувань, щоб пристосуватися до зміненої ситуації. Але замість того, щоб переналаштовувати глобальні параметри кожного разу, коли вам потрібно, ви можете скористатися вбудованими профілями конфігурації Wireshark, які дають користувачам можливість створювати та зберігати певний набір глобальних налаштувань.

Профіль конфігурації зберігає наступне:

  • Глобальні параметри налаштування

  • Фільтри перехоплення

  • Фільтри відображення

  • Правила забарвлення

  • Заборонені мережеві протоколи

  • Примусові розшифровки Останні інсталяції, зокрема розміри панелей, параметри перегляду меню та ширина стовпців

  • Специфічні для протоколу таблиці, що містять, наприклад, список користувачів мережевого протоколу SNMP і спеціальні заголовки HTTP

Щоб переглянути список профілів конфігурації, натисніть Edit4Confguration Profiles у головному меню. Ви також можете клацнути правою кнопкою миші на розділі профілів у правому нижньому куті вікна та вибрати Mapade Profles з контекстного меню. У вікні Confguration Profles ви знайдете ряд стандартних профілів Wireshark, включаючи наступні: Defau1t (Standard), B1uetooth (бездротова персональна мережа Bluetooth) і Classic (Classic). Існує також спеціально створений автором книги профіль Latency Investigation, який виділений звичайним текстом, тоді як основні профілі виділені курсивом, як показано на рис. 3. 11.

У вікні «Профілі конфігурації» можна створювати, копіювати, видаляти та застосовувати профілі конфігурації. Процес створення нового профілю досить простий.

Для цього достатньо виконати наступні дії:

  1. Налаштуйте Wireshark за допомогою параметрів, які ви хочете зберегти в окремому профілі.

  2. Перейдіть до вікна Профілі конфігурації, вибравши Edit4Configuration Profiles у головному меню.

  3. Натисніть кнопку плюс (+) і дайте описове ім’я новому профілю конфігурації.

  4. Клацніть. на кнопці OK.

Коли потрібно змінити профіль конфігурації, перейдіть у вікно Configuration Profiles, натисніть спочатку на ім’я потрібного профілю, а потім на кнопку OK. Цю операцію можна прискорити, клікнувши правою кнопкою миші в правому нижньому кутку вікна Wireshark на шапці Profi1e і вибравши потрібний профіль, як показано на рис. 3.12.

Однією з найбільш корисних можливостей профілів конфігурації є можливість зберігати їх в окремому каталозі разом з рядом конфігураційних файлів. Це означає, що ви можете створювати резервні копії своїх профілів, а потім ділитися ними з іншими користувачами. На вкладці Folders, показаній на рис. H. 10, вказані шляхи до каталогів з персональними і глобальними конфігураційними файлами. Щоб обмінятися профілем з користувачем на іншому комп’ютері, просто скопіюйте папку, яка збігається з іменем профілю, що обмінюється, і вставте її в той самий каталог для відповідного користувача на іншому комп’ютері.

Під час читання цієї книги може знадобитися створити кілька профілів високого рівня для загальної діагностики мережі, визначення джерела затримки мережі та дослідження проблем безпеки. Не бійтеся вільно користуватися профілями. Вони дійсно економлять час, коли потрібно швидко змінити ряд глобальних налаштувань. Я знаю користувачів Wireshark, які використовували десятки профілів для успішного вирішення найрізноманітніших ситуацій у мережі.

Отже, після того, як ви встановили та налаштували Wireshark, ви готові почати аналізувати пакети. Глава 4, «Обробка перехоплених пакетів», пояснює, як обробляти перехоплені пакети.

Ми використовували матеріали з книги “PRACTICAL РАСКЕТ ANALYSIS , яку  написав Кріс Сандерс.

Інші статті по темі
Found an error?
If you find an error, take a screenshot and send it to the bot.