Как использовать возможности фильтров отображения Wireshark по максимуму. Подробнее о фильтрах в Wireshark Анализ пакетов wireshark
Wireshark: как пользоваться?
Здравствуйте друзья! В этой статье я попытаюсь объяснить и рассказать о самом необходим, что нужно знать при использовании Wireshark на Linux , и покажу анализ трёх типов сетевого трафика. Данный мануал применим и для работы Wireshark под Windows.
Если вы новичок в информационной безопасности, и совсем хорошо понимаете что такое сниффер (анализатор трафика), советую почитать статью , и только потом читать эту статью о том как пользоваться Wireshark.
Очень популярный и чрезвычайно умелый анализатор сетевого протокола , который разработал Джеральд Комбс , Wireshark появился в июне 2006 г., когда Комбс переименовал сетевой инструмент Ethereal, также созданный им, поскольку сменил работу и не мог больше использовать старое название. Сегодня большинство используют Wireshark, a Ethereal сделался историей.
Wireshark: лучший сниффер
Вы, возможно, спросите, чем Wireshark отличается от других сетевых анализаторов - кроме того, что он свободный - и почему бы нам просто не начать пропагандировать применение tcpdump для захвата пакетов?
Основное преимущество Wireshark в том, что это графическое приложение. Сбор данных и проверка сетевого трафика в пользовательском интерфейсе - очень удобная штука, так как позволяет разобраться со сложными сетевыми данными.
Как пользоваться Wireshark?
Чтобы новичок смог разобраться с Wireshark, ему нужно понять сетевой трафик. В таком случае цель этой статьи состоит в разъяснении вам основ TCP/IP, чтобы вы смогли сделать нужные выводы по сетевому трафику, который анализируете.
Формат пакета TCP и пакета IP. Если вы запускаете Wireshark от имени обычного пользователя, вы не сможете использовать сетевые интерфейсы для сбора данных из-за имеющихся в сетевых интерфейсах разрешений файла Unix по умолчанию. Удобнее запускать Wireshark от имени root (sudo wireshark) при сборе данных и от имени обычного пользователя-для анализа данных.
В качестве альтернативы можете собрать сетевые данные с помощью утилиты командной строки tcpdump от имени root и затем проанализировать их с помощью Wireshark. Пожалуйста, не забывайте, что сбор данных с помощью Wireshark в сильно загруженной сети может замедлить работу компьютера, или, что еще хуже, не позволить собрать нужные данные, потому что Wireshark требует больше системных ресурсов, чем программа командной строки. В подобных случаях самым разумным решением для сбора данных по сетевому трафику будет использование tcpdump.
Захват сетевых данных с помощью Wireshark
Простейший способ приступить к захвату данных сетевых пакетов - выбрать после запуска Wireshark нужный вам интерфейс и нажать на Start . Wireshark покажет данные о сети на вашем экране в зависимости от трафика вашей сети. Обратите внимание: можно выбрать более одного интерфейса. Если вы ничего не знаете о TCP, IP или других протоколах, результат может показаться вам сложным для чтения и понимания.
Чтобы прекратить процесс захвата данных, выберите в меню Capture > Stop . В качестве альтернативы, можете нажать на четвертый значок слева, с красным квадратиком (это сокращение от «Прекратить захват данных live») в панели инструментов Main (учтите, его точное расположение зависит от имеющейся у вас версии Wireshark). На эту кнопку можно нажимать только в процессе сбора сетевых данных.
При использовании описанного метода захвата данных вы не можете изменить настроенные в Wireshark по умолчанию Capture Options [Опции захвата]. Вы можете увидеть и изменить Capture Options, выбрав в меню Capture > Options . Здесь можно выбрать интерфейс(ы) сети, посмотреть свой IP-адрес, применить фильтры сбора данных, перевести свою сетевую карту в режим приема всех сетевых пакетов и сохранить собранные данные в один или несколько файлов. Вы даже можете велеть прекращать захват пакетов по достижении определенного числа сетевых пакетов, или определенного времени, или определенного объема данных (в байтах).
По умолчанию Wireshark не сохраняет собранные данные, но вы всегда можете сохранить их позднее. Считается, что лучше всего сначала сохранить, а потом изучать сетевые пакеты, если только у вас нет каких-то особых причин сделать иначе.
Wireshark позволяет читать и анализировать уже собранные сетевые данные из большого числа файловых форматов, в том числе tcpdump, libpcap, snoop от Sun, nettl от HP, текстовых файлов К12, и т.д. Короче, с помощью Wireshark можно читать практически любой формат собранных сетевых данных. Подобным же образом Wireshark позволяет сохранять собранные данные в разных форматах. Можно даже использовать Wireshark для конверсии файла из одного формата в другой.
Вы также можете экспортировать существующий файл в виде простого текстового файла из меню File. Эта опция в основном предназначена для обработки сетевых данных вручную или их ввода в другую программу.
Предусмотрена опция распечатки ваших пакетов. В реальной жизни я никогда ею не пользовался, однако в образовательных целях бывает очень полезно распечатать пакеты и их полное содержимое.
Фильтры отображения Wireshark
Если во время захвата сетевых данных применяются фильтры захвата, то Wireshark не учитывает сетевой трафик, не соответствующий фильтру; тогда как фильтры отображения применяются после захвата данных и «прячут» сетевой трафик, не удаляя его. Вы всегда можете отключить Display filter и вернуть свои скрытые данные.
В принципе, фильтры отображения считаются более полезными и разносторонними, чем фильтры сбора данных, потому что вы вряд ли знаете заранее, какую информацию вы соберете или решите изучить. Однако использование фильтров при захвате данных экономит ваше время и место на диске, что и является главной причиной их применения.
Wireshark выделяет синтаксически правильный фильтр светло-зеленым фоном. Если синтаксис содержит ошибки, фон розовеет.
Фильтры отображения поддерживают операторы сравнения и логические операторы. Фильтр отображения http.response.code
Три пакета (SYN, SYN+ACK и АСК) трехзтапной установки соединения TCP 404 && ip.addr == 192.168.1.1 показывает трафик, который либо идет с IP-адреса 192.168.1.1, либо идет на IP-адрес 192.168.1.1, который также имеет в себе код отклика 404 (Not Found) HTTP. Фильтр!Ьоо1р &&!ip &&!агр исключает из результата трафик BOOTP, IP и ARP. Фильтр eth.addr == 01:23:45:67:89:ab && tcp.port == 25 отображает трафик идущий от или к сетевому устройству с MAC-адресом 01:23:45:67:89:аЬ, которое использует во входящих и исходящих соединениях порт TCP за номером 25.
Помните, что фильтры отображения не решают проблемы волшебным образом. При правильном использовании это исключительно полезные инструменты, но вам все равно придется интерпретировать результаты, находить проблему и самому обдумывать подходящее решение.
Продолжение статьи на следующей странице. Для перехода на следующую страницу нажмите на кнопку 2 которая находится под кнопками социальных сетей.
- наличие встроенной экспертной системы, которая позволит быстро разобрать буфер по сервисам или типам ошибок. Что позволит существенно ускорить время локализации проблемы и работать с уже отсортированной и предварительно оцененной для вас информацией. Тут можно обратить внимание на решения от VIAVI Solutions под названием Observer или на ClearSight Analyzer от компании Netscout.В случае если не выделяют бюджет, а проблемы есть, то остается запастись терпением и кофе и . В сетях передачи данный на скоростях 1 Гбит/сек и выше буфер захвата трафика заполняется мгновенно и на выходе получается достаточно большой массив данных. Этот массив данных, понимая взаимодействие между различными устройствами в сети можно отфильтровать по разным параметрам. Для этого Wireshark имеет несколько возможностей:
Цветовая кодировка ошибочных пакетов — можно настроить под себя. Пакеты, которые несут в себе ошибку, будут выделены в буфере специальным цветом.
Фильтр через строку фильтрации. Вы имеете большой опыт в работе с Wireshark и протоколами и можете ввести фильтр самостоятельно. Большой выбор фильтров можно найти .
Выделение любой области в пакете, правый клик мыши и «Применить как фильтр». Метод для начинающих: очень удобно, так как не надо ломать голову.
Какие основные фильтры существуют для отображения трафика?
Wireshark фильтр по протоколу
Достаточно в строке фильтра ввести название протокола и нажать ввод. На экране останутся пакеты, которые относятся к искомому протоколу. Таким образом, фильтр выглядит:
Если буфер захвата необходимо отфильтровать по нескольким протоколам, то необходимо перечислить все желаемые протоколы и разделить их знаком ||. Например:
arp || http || icmp
Wireshark фильтр по IP адресу и фильтр по MAC
В зависимости от направления трафика фильтр будет немного отличаться. Например, мы хотим отфильтровать по IP адресу отправителя 50.116.24.50:
ip.src==10.0.10.163
По получателю фильтр будет выглядеть ip.dst == x.x.x.x, а если хотим увидеть пакеты в независимости от направления трафика, то достаточно ввести:
ip.addr==50.116.24.50
В случае если нам необходимо исключить какой то адрес из поля отбора, то необходимо добавить!= . Пример:
ip.src!=80.68.246.17
Если мы анализируем трафик внутри локальной сети и знаем MAC адрес пользователя, то можно указать в качестве фильтра Wireshark его MAC адрес, например:
eth.addr == AA:BB:CC:DD:EE:FF
Wireshark фильтр по номеру порта
При анализе трафика мы можем настроить фильтр по номеру порта, по которому осуществляет передачу трафика тот или иной протокол. Номера всех зарегистрированных портов можно узнать Пример:
Так же как и с адресами IP и MAС мы можем отдельно фильтровать по портам получения или отправления tcp . srcport и tcp . dstport . Кроме указания номеров портов Wireshark дает отличную возможность отфильтровать буфер по флагам в TCP протоколе. Например, если мы хотим увидеть TCP пакеты с флагом SYN (установление соединения между устройствами), то вводим в строке поиска:
Популярные фильтры
В таблице ниже приведены наиболее популярные фильтры для отображения содержимого буфера захвата:
|
Фильтр для отображения |
Описание |
Пример написания |
|
MAC адрес отправителя или получателя |
eth.addr == 00:1a:6b:ce:fc:bb |
|
|
MAC-адрес оправителя |
eth.src == 00:1a:6b:ce:fc:bb |
|
|
MAC-адрес получателя |
eth.dst == 00:1a:6b:ce:fc:bb |
|
|
Протокол ARP - MAC адрес получателя |
arp.dst.hw_mac == 00:1a:6b:ce:fc:bb |
|
|
arp.dst.proto_ipv4 |
Протокол ARP - IP адрес версии 4 получателя |
arp.dst.proto_ipv4 == 10.10.10.10 |
|
Протокол ARP - MAC адрес отправителя |
arp.src.hw_mac == 00:1a:6b:ce:fc:bb |
|
|
arp.src.proto_ipv4 |
Протокол ARP - IP адрес версии 4 отправителя |
arp.src.proto_ipv4 == 10.10.10.10 |
|
Идентификатор VLAN |
||
|
IP адрес версии 4 получателя или отправителя |
ip.addr == 10.10.10.10 |
|
|
IP адрес версии 4 получателя |
ip.addr == 10.10.10.10 |
|
|
IP адрес версии 4 отправителя |
ip.src == 10.10.10.10 |
|
|
IP protocol (decimal) |
||
|
IP адрес версии 6 получателя или отправителя |
ipv6.addr == 2001::5 |
|
|
IP адрес версии 6 отправителя |
ipv6.addr == 2001::5 |
|
|
IP адрес версии 6 получателя |
ipv6.dst == 2001::5 |
|
|
TCP порт получателя или отправителя |
||
|
TCP порт получателя |
tcp.dstport == 80 |
|
|
TCP порт отправителя |
tcp.srcport == 60234 |
|
|
UDP порт получателя или отправителя |
||
|
UDP порт получателя |
udp.dstport == 513 |
|
|
UDP порт отправителя |
udp.srcport == 40000 |
|
|
vtp.vlan_info.vlan_name |
vtp.vlan_info.vlan_name == TEST |
|
|
bgp.originator_id |
Идентификатор BGP (Адрес IPv4) |
bgp.originator_id == 192.168.10.15 |
|
Следующий хоп BGP (Адрес IPv4) |
bgp.next_hop == 192.168.10.15 |
|
|
RIP IPv4 address |
rip.ip == 200.0.2.0 |
|
|
Идентификатор маршрутизатора по протоколу OSPF |
ospf.advrouter == 192.168.170.8 |
|
|
Номер автономной системы EIGRP |
||
|
Виртуальный IP адрес по протоколу HSRP |
hsrp.virt_ip == 192.168.23.250 |
|
|
Виртуальный IP адрес по протоколу VRRP |
vrrp.ip_addr == 192.168.23.250 |
|
|
MAC адрес отправителя или получателя Wi-Fi |
wlan.addr == 00:1a:6b:ce:fc:bb |
|
|
MAC-адрес оправителя Wi-Fi |
wlan.sa == 00:1a:6b:ce:fc:bb |
|
|
MAC-адрес получателя Wi-Fi |
wlan.da == 00:1a:6b:ce:fc:bb |
А какие фильтры чаще всего используете в своей работе вы?
Больше всего вопросов при работе с программой WireShark у пользователей вызывают фильтры для захвата трафика. Сегодня мы рассмотри их основные примеры, и покажем, как их правильно настраивать!
В процессе анализа проблем с производительностью сети или приложений, если в вашей компании не установлено централизованной системы мониторинга производительности приложений, то для анализа проблем с 4 по 7 уровень сетевой модели OSI необходимо будет воспользоваться анализатором протоколов (он же сниффер).
Если у вас нет коммерческого решения с встроенными средствами автоматического анализа или экспертной системы, то, пожалуй, самый правильный путь будет такой:
скачать и установить на ноутбук один из лучших бесплатных анализаторов протоколов WireShark (http://www.wireshark.org/download.html);
освоиться с его интерфейсом;
изучить стек протоколов и их структуру;
научиться работать с фильтрами для захвата трафика;
научится работать с фильтрами для анализа трафика.
В рамках этой статьи мы остановимся на предпоследнем пункте - как настроить фильтры для захвата трафика в WireShark.
Примеры настройки фильтров WireShark для захвата трафика
После выбора интерфейса мы можем приступить или к захвату трафика в режиме — всё подряд, но делать это не рекомендуется, так как, например, при 50% загрузке гигабитного интерфейса для передачи 100 000 пакетов требуется всего несколько миллисекунд. Поэтому важно понимать, какую проблему мы решаем. Тогда у нас как минимум будет уже или адрес (IP или MAC) пользователя или приложение, на которое он жалуется или сервер, к которому он обращается.
Таким образом, самый простой фильтр в Wireshark - это IP адрес устройства (хоста, host) и выглядит этот фильтр следующим образом:
В случае если проблема глобальнее и нам необходимо захватить трафик с отдельной подсети независимо от направления его передачи, то применяем фильтр:
net 192.168.0.0/24 или net 192.168.0.0 mask 255.255.255.0
При захвате трафика от подсети фильтр будет выглядеть вот так:
src net 192.168.0.0/24 или src net 192.168.0.0 mask 255.255.255.0
А если надо увидеть для анализа только приходящий трафик в нашу подсеть, то любой из фильтров:
dst net 192.168.0.0/24
dst net 192.168.0.0 mask 255.255.255.0
Если пользователь жалуется, что у него не открываются странице в браузере, проблема может быть с DNS сервером (порт 53) или с протоколом HTTP (порт 80), тогда захватываем трафик с использованием фильтра «порт»:
Если мы решили захватить весь трафик для конкретного сервера без учета HTTP и FTP, то фильтр настраивается по любому из этих двух примеров:
host 192.168.0.1 and not (port 21 or port 80)
host 192.168.0.1 and not port 21 and not port 80
Если мы хотим видеть весь трафик на порту, кроме трафика DNS, FTP, ARP, то логика будет аналогичной:
port not dns and not 21 and not arp
При захвате трафика приложений, которые используют динамические порты из определенного диапазона, то фильтр будет сложно выглядеть в случае, если версия Libcap ниже чем 0.9.1:
(tcp > 1500 and tcp < 1550) or (tcp > 1500 and tcp < 1550)
если версии более поздние, то фильтр будет менее угрожающим и понятным:
tcp portrange 1501-1549
Для захвата кадров Ethernet типа EAPOL (Протокол передачи EAP-сообщений в стандарте 802.1x называется EAPOL (EAP encapsulation over LAN)):
ether proto 0x888e
Для справки приведу список типов Ethernet кадров специфичных протоколов:
|
Ethertype (Hexadecimal) |
Протокол |
|
0x0000 — 0x05DC |
IEEE 802.3 length |
|
0x0101 — 0x01FF |
|
|
IP, Internet Protocol |
|
|
ARP, Address Resolution Protocol. |
|
|
Frame Relay ARP |
|
|
Raw Frame Relay |
|
|
DRARP, Dynamic RARP. RARP, Reverse Address Resolution Protocol. |
|
|
Novell Netware IPX |
|
|
EtherTalk (AppleTalk over Ethernet) |
|
|
IBM SNA Services over Ethernet |
|
|
AARP, AppleTalk Address Resolution Protocol. |
|
|
EAPS, Ethernet Automatic Protection Switching. |
|
|
IPX, Internet Packet Exchange. |
|
|
SNMP, Simple Network Management Protocol. |
|
|
IPv6, Internet Protocol version 6. |
|
|
PPP, Point-to-Point Protocol. |
|
|
GSMP, General Switch Management Protocol. |
|
|
MPLS, Multi-Protocol Label Switching (unicast). |
|
|
MPLS, Multi-Protocol Label Switching (multicast). |
|
|
PPPoE, PPP Over Ethernet (Discovery Stage). |
|
|
PPPoE, PPP Over Ethernet (PPP Session Stage). |
|
|
LWAPP, Light Weight Access Point Protocol. |
|
|
LLDP, Link Layer Discovery Protocol. |
|
|
EAPOL, EAP over LAN. |
|
|
Loopback (Configuration Test Protocol) |
|
|
VLAN Tag Protocol Identifier |
|
|
VLAN Tag Protocol Identifier |
|
Если необходимо захватить трафик определенного IP протокола, то можно использовать фильтр:
ip proto tcp - захват TCP трафика
ip proto udp - захват UDP трафика
Для захвата IP трафика применяется самый короткий фильтр:
Для захвата только unicast трафика при анализе трафика исходящего и приходящего к сетевому устройству используется фильтр в таком формате:
not broadcast and not multicast
Простые фильтры, о которых мы поговорили, можно объединять с помощью не сложных символов:
Отрицание: ! Или not
Объединение: && или and
Чередование: II или or
Пример: для захвата трафика от или к устройству с адресом 10.10.10.10, но не из сети 192.168.0.0 фильтр получится объединением с отрицанием:
host 10.10.10.10 && !net 192.168
Фильтры на основе байтов смещения являются самыми мощными и существенно упрощают жизнь, но для их использования надо знать протокол и размещение искомых полей в пакете. Приведенные ниже примеры фильтров позволят захватить пакеты с определенным значением поля в заголовках или полезной нагрузке. Настроить их несложно:
Смещаемся на восемь байт в IP пакете и захватываем трафик со значением TTL =1
Захватываем все пакеты TCP с адресом порта отправителя 80. Это эквивалент фильтру src port 80.
Для справки приведем байт смещения до наиболее интересных полей в пакете:
|
Поле в пакете |
Длина в байтах |
Фильтр |
|
IP Header Length |
||
|
IP Packet Length |
||
|
IP Address Source |
||
|
IP Address Destination |
||
|
IP Fragmentation |
flag = 3 and Offset = 13 |
ip & 0x2000 = 0x2000 or ip & 0x1fff !=0x0000 |
|
TCP Destination Port |
||
|
TCP Header Length |
||
Для закрепления полученной информации построим фильтр для захвата трафика с запросом HTTP GET. Протокол HTTP использует порт 80, транспортный протокол TCP. Значения в шестнадцатеричной системе исчисления слова GET будет выглядеть 0x47455420. Пример фильтра, который получится у нас:
port 80 and tcp[((tcp & 0xf0 >>2):4]=0x47455420
В рамках данного материала мы разобрали, как настроить и использовать наиболее простые базовые фильтры для захвата трафика с помощью анализатора протоколов Wireshark.
- наличие встроенной экспертной системы, которая позволит быстро разобрать буфер по сервисам или типам ошибок. Что позволит существенно ускорить время локализации проблемы и работать с уже отсортированной и предварительно оцененной для вас информацией. Тут можно обратить внимание на решения от VIAVI Solutions под названием Observer или на ClearSight Analyzer от компании Netscout.В случае если не выделяют бюджет, а проблемы есть, то остается запастись терпением и кофе и . В сетях передачи данный на скоростях 1 Гбит/сек и выше буфер захвата трафика заполняется мгновенно и на выходе получается достаточно большой массив данных. Этот массив данных, понимая взаимодействие между различными устройствами в сети можно отфильтровать по разным параметрам. Для этого Wireshark имеет несколько возможностей:
Цветовая кодировка ошибочных пакетов — можно настроить под себя. Пакеты, которые несут в себе ошибку, будут выделены в буфере специальным цветом.
Фильтр через строку фильтрации. Вы имеете большой опыт в работе с Wireshark и протоколами и можете ввести фильтр самостоятельно. Большой выбор фильтров можно найти .
Выделение любой области в пакете, правый клик мыши и «Применить как фильтр». Метод для начинающих: очень удобно, так как не надо ломать голову.
Какие основные фильтры существуют для отображения трафика?
Wireshark фильтр по протоколу
Достаточно в строке фильтра ввести название протокола и нажать ввод. На экране останутся пакеты, которые относятся к искомому протоколу. Таким образом, фильтр выглядит:
Если буфер захвата необходимо отфильтровать по нескольким протоколам, то необходимо перечислить все желаемые протоколы и разделить их знаком ||. Например:
arp || http || icmp
Wireshark фильтр по IP адресу и фильтр по MAC
В зависимости от направления трафика фильтр будет немного отличаться. Например, мы хотим отфильтровать по IP адресу отправителя 50.116.24.50:
ip.src==10.0.10.163
По получателю фильтр будет выглядеть ip.dst == x.x.x.x, а если хотим увидеть пакеты в независимости от направления трафика, то достаточно ввести:
ip.addr==50.116.24.50
В случае если нам необходимо исключить какой то адрес из поля отбора, то необходимо добавить!= . Пример:
ip.src!=80.68.246.17
Если мы анализируем трафик внутри локальной сети и знаем MAC адрес пользователя, то можно указать в качестве фильтра Wireshark его MAC адрес, например:
eth.addr == AA:BB:CC:DD:EE:FF
Wireshark фильтр по номеру порта
При анализе трафика мы можем настроить фильтр по номеру порта, по которому осуществляет передачу трафика тот или иной протокол. Номера всех зарегистрированных портов можно узнать Пример:
Так же как и с адресами IP и MAС мы можем отдельно фильтровать по портам получения или отправления tcp . srcport и tcp . dstport . Кроме указания номеров портов Wireshark дает отличную возможность отфильтровать буфер по флагам в TCP протоколе. Например, если мы хотим увидеть TCP пакеты с флагом SYN (установление соединения между устройствами), то вводим в строке поиска:
Популярные фильтры
В таблице ниже приведены наиболее популярные фильтры для отображения содержимого буфера захвата:
|
Фильтр для отображения |
Описание |
Пример написания |
|
MAC адрес отправителя или получателя |
eth.addr == 00:1a:6b:ce:fc:bb |
|
|
MAC-адрес оправителя |
eth.src == 00:1a:6b:ce:fc:bb |
|
|
MAC-адрес получателя |
eth.dst == 00:1a:6b:ce:fc:bb |
|
|
Протокол ARP - MAC адрес получателя |
arp.dst.hw_mac == 00:1a:6b:ce:fc:bb |
|
|
arp.dst.proto_ipv4 |
Протокол ARP - IP адрес версии 4 получателя |
arp.dst.proto_ipv4 == 10.10.10.10 |
|
Протокол ARP - MAC адрес отправителя |
arp.src.hw_mac == 00:1a:6b:ce:fc:bb |
|
|
arp.src.proto_ipv4 |
Протокол ARP - IP адрес версии 4 отправителя |
arp.src.proto_ipv4 == 10.10.10.10 |
|
Идентификатор VLAN |
||
|
IP адрес версии 4 получателя или отправителя |
ip.addr == 10.10.10.10 |
|
|
IP адрес версии 4 получателя |
ip.addr == 10.10.10.10 |
|
|
IP адрес версии 4 отправителя |
ip.src == 10.10.10.10 |
|
|
IP protocol (decimal) |
||
|
IP адрес версии 6 получателя или отправителя |
ipv6.addr == 2001::5 |
|
|
IP адрес версии 6 отправителя |
ipv6.addr == 2001::5 |
|
|
IP адрес версии 6 получателя |
ipv6.dst == 2001::5 |
|
|
TCP порт получателя или отправителя |
||
|
TCP порт получателя |
tcp.dstport == 80 |
|
|
TCP порт отправителя |
tcp.srcport == 60234 |
|
|
UDP порт получателя или отправителя |
||
|
UDP порт получателя |
udp.dstport == 513 |
|
|
UDP порт отправителя |
udp.srcport == 40000 |
|
|
vtp.vlan_info.vlan_name |
vtp.vlan_info.vlan_name == TEST |
|
|
bgp.originator_id |
Идентификатор BGP (Адрес IPv4) |
bgp.originator_id == 192.168.10.15 |
|
Следующий хоп BGP (Адрес IPv4) |
bgp.next_hop == 192.168.10.15 |
|
|
RIP IPv4 address |
rip.ip == 200.0.2.0 |
|
|
Идентификатор маршрутизатора по протоколу OSPF |
ospf.advrouter == 192.168.170.8 |
|
|
Номер автономной системы EIGRP |
||
|
Виртуальный IP адрес по протоколу HSRP |
hsrp.virt_ip == 192.168.23.250 |
|
|
Виртуальный IP адрес по протоколу VRRP |
vrrp.ip_addr == 192.168.23.250 |
|
|
MAC адрес отправителя или получателя Wi-Fi |
wlan.addr == 00:1a:6b:ce:fc:bb |
|
|
MAC-адрес оправителя Wi-Fi |
wlan.sa == 00:1a:6b:ce:fc:bb |
|
|
MAC-адрес получателя Wi-Fi |
wlan.da == 00:1a:6b:ce:fc:bb |
А какие фильтры чаще всего используете в своей работе вы?
Иногда при использовании интернета возникают ситуации, при которых происходит утечка трафика или непредвиденный расход системных ресурсов. Чтобы быстро провести анализ и обнаружить источник проблемы, используют специальные сетевые инструменты. Об одном из них, WireShark, пойдёт речь в статье.
Общая информация
Перед тем, как пользоваться WireShark, нужно ознакомиться с областью её применения, функционалом и возможностями. Вкратце: программа позволяет перехватывать пакеты в режиме реального времени в проводных и беспроводных сетевых подключениях. Применяется в протоколах Ethernet, IEEE 802.11, PPP и аналогичных. Можно использовать и перехват трафика звонков VoIP.
Программа распространяется под лицензией GNU GPL, что означает - бесплатно и с открытым исходным кодом. Можно запустить её на многих дистрибутивах Linux, MacOS, и есть также версия для операционной системы Windows.
Как пользоваться WireShark?
Во-первых, сначала стоит установить её в систему. Так как одним из наиболее часто используемых Linux дистрибутивов является Ubuntu, то и все примеры будут показаны именно в нем.
Для установки достаточно набрать в консоли команду:
sudo apt-get install wireshark
После этого программа появится в главном меню. Можно запустить её оттуда. Но лучше делать это из терминала, так как ей нужны права суперпользователя. Это можно сделать так:
Внешний вид
Программа имеет удобный графический интерфейс. Перед пользователем предстанет дружелюбное окно, разбитое на 3 части. Непосредственно с захватом связано первое, второе относится к открытию файлов и сэмплов, а третье — помощь и поддержка.
Блок Capture содержит список доступных для захвата сетевых интерфейсов. При выборе, например, eth0 и нажатии кнопки Start запустится процесс перехвата.
Окно с перехватываемыми данными также разделено логически на несколько частей. Сверху находится панель управления с различными элементами. Следом за ним идёт список пакетов. Он представлен в виде таблицы. Здесь можно увидеть порядковый номер пакета, время его перехвата, адрес отправления и получения. Также можно изъять данные об используемых протоколах, длине и других полезных сведений.
Ниже списка расположено окно с содержимым технических данных выбранного пакета. А ещё ниже имеется отображение в шестнадцатеричном виде.
Каждое представление можно развернуть в большом окне для более удобного чтения данных.
Применение фильтров
В процессе работы программы перед пользователем всегда будут пробегать десятки, а то и сотни пакетов. Отсеивать их вручную довольно трудно и долго. Поэтому официальная инструкция WireShark рекомендует использовать фильтры.
Для них есть специальное поле в окне программы — Filter. Чтобы сконфигурировать фильтр более точно, имеется кнопка Expression.
Но для большинства случаев хватит и стандартного набора фильтров:
- ip.dst — ip адрес назначения пакета;
- ip.src — адрес отправителя;
- ip.addr — просто любой ip;
- ip.proto — протокол.
Использование фильтров в WireShark — инструкция
Чтобы попробовать, как работает программа с фильтрами, нужно в ввести определённую команду. Например, такой набор — ip.dst == 172.217.23.131 - покажет все летящие пакеты на сайт "Гугл". Чтобы просмотреть весь трафик — и входящий и исходящий, - можно объединить две формулы — ip.dst == 172.217.23.131 || ip.src == 172.217.23.131. Таким образом, получилось использовать в одной строке сразу два условия.
Можно использовать и другие условия, например ip.ttl < 10. Данная команда выведет все пакеты с длительностью жизни меньше 10. Чтобы выбрать данные по их размеру, можно применить такой подход — http.content_length > 5000.
Дополнительные возможности
Для удобства в WireShark есть способ быстро выбрать в качестве анализируемого поля параметры пакета. Например, в поле с техническими данными можно щёлкнуть правой кнопкой на нужном объекте и выбрать Apply as Column. Что означает его перевод в область поля в качестве колонки.
Аналогично можно выбрать любой параметр и как фильтр. Для этого в контекстном меню есть пункт Apply as Filter.
Отдельный сеанс
Можно пользоваться WireShark как монитором между двумя узлами сети, например, пользователем и сервером. Для этого нужно выбрать интересующий пакет, вызвать контекстное меню и нажать Follow TCP Stream. В новом окне отобразится весь лог обмена между двумя узлами.
Диагностика
WireShark обладает отдельным инструментом для анализа проблем сети. Он называется Expert Tools. Найти его можно в левом нижнем углу, в виде круглой иконки. По нажатию на ней откроется новое окно с несколькими вкладками — Errors, Warnings и другие. С их помощью можно проанализировать, в каких узлах происходят сбои, не доходят пакеты, и обнаружить прочие проблемы с сетью.
Голосовой трафик
Как уже было сказано, WireShark умеет перехватывать и голосовой трафик. Для этого отведено целое меню Telephony. Это можно использовать для нахождения проблем в VoIP и их оперативного устранения.
Пункт VoIP Calls в меню Telephony позволит просмотреть совершенные звонки и прослушать их.
Экспорт объектов
Это, наверное, самый интересный функционал программы. Он позволяет пользоваться WireShark как перехватчиком файлов, которые передавались по сети. Для этого нужно остановить процесс перехвата и выполнить экспорт HTTP объектов в меню File. В открывшемся окне будет представлен список всех переданных за сессию файлов, которые можно сохранить в удобное место.
В заключение
К сожалению, актуальную версию WireShark на русском языке в сети найти будет трудно. Наиболее доступная и часто используемая есть на английском.
Также обстоят дела и с подробной инструкцией по WireShark на русском. Официальная от разработчика представлена на английском. В сети есть много небольших и кратких руководств по WireShark для начинающих.
Однако тем, кто давно работает в IT сфере, разобраться с программой не представит особых сложностей. А большие возможности и богатый функционал скрасит все трудности при изучении.
Стоит отметить, что в некоторых странах использование сниффера, каковым и является WireShark, может быть противозаконным.