, wireshark er en åben kilde - netværket pakke analysator.uden nogen særlig hardware eller rekonfigurering, der kan fange levende data, der går ind og ud af din boks ' s netgrænseflader: ethernet, wifi, opp, loopback, usb.typisk det ' s anvendes som et teknisk værktøj til problemløsning net problemer som trafikpropper, høj - latenstiden eller protokol fejl og mdash; men du behøver ' ikke at vente, indtil deres netværk er i knibe, at lære at bruge den.denne weekend, så hvorfor ikke tage et kig på dit netværk, trafik, og lære at bruge wireshark til din fordel.,, wireshark er en gtk + anvendelse, selv om projektet omfatter også en konsol baseret front ved navn tshark det træk, de fleste af de funktioner i gui version.i betragtning af dets ry som en nyttig administration værktøj, du vil nok finde det i deres distribution ' s pakke samlinger.hvis ikke, kan du hente pakker til flere fordelinger på wireshark.org sammen med kilden.den nuværende overgang er 1.4.1.mac os x og vinduer binaries findes så godt, som du kan få brug for at analysere maskiner der kører disse styresystemer (mere om det senere.), fordi den må skifte net grænseflade til " det mode " for at fange alle net, trafik, wireshark skal drives som rod.den libpcap bibliotek udfører de faktiske pakke fangst, og støtter en lang, men ikke uendelig række net udstyr.du bør undersøge foreneligheden matrix på projektet wiki, hvis du bruger en besynderlig net - og mdash; næsten alle ethernet og wifi kort i almindelig brug vil arbejde uden problemer.,, trafik, fange, du kan starte et nyt netværk, fange samling fra " opsamling " menu - > opsamling; grænseflader bringer en dialog rubrik viser alle de grænseflader wireshark har påvist, plus de pseudo - anordning " ", der fanger fra alle de ovenfor.fangst - > muligheder valg giver dig mulighed for at angive flere muligheder, før du begynder, herunder begrænsning af deres fangst med filtrering regler (f.eks. særlige protokoller eller ip - adresse), automatisk standse indfangning efter en bestemt mængde tid, eller opdeling af sagen automatisk i separate tid - eller størrelse dikteret filer.,, når du begynder din fange, pakker er logget på skærmen i en tabel, der viser de grundlæggende oplysninger (oprindelse og destination, protokol, osv.) i kolonne ip - adressen.wireshark farve koder angivelserne for din skyld af indflagning " interessant ", pakker, såsom tcp transmissioner med forskellige tekst og baggrund farver.,, hvor længe du lod din fange sigt afhænger af, hvad du har brug for at studere.flere timer kan være forpligtet til at nå et svært at reproducere problem med en internettjeneste, men et par minutter ' værdi vil nok bare for at gøre dig bekendt med de værktøjer.efter at du er holdt op med at fange, du kan vælge en pakke om yderligere inspektion ved at klikke på den i logbogen vindue.de oplysninger, der er angivet i et træ, som afrika vindue, der bryder den pakke af netværk).hvis du har ethernet - problemer, du kan se ind i ethernet - stel; hvis det er en http problem, du kan grave ned på det niveau i stedet, bør du altid redde fanget data, som du har brug for til retsmedicinske eller opstilling af profiler.wireshark bruger. pcap fil udvidelse.skal dog være klar over, at fange filer, kan få ret stor, hvis de kun er interesseret i en del af deres overordnede net, trafik, du kan bruge wireshark ' s filter mekanisme — beliggende direkte over de vigtigste fange tabel komme ned af datasæt, før du redde det på diskette.,, at undersøge de data, de filter redskab, er den mest grundlæggende måde at forbedre din fange data til nyttige format.klik " filter " knap sig selv til at skabe en udvælgelse kasse med flere fælles muligheder: tcp, udp - kun alt for at de lokale ip - adresse, alt undtagen dns og arp, og så videre.klik på nogen af de valgmuligheder i listen vil vise dig den nøjagtige filter snor i wireshark ' s filter syntaks, der er en hensigtsmæssig måde at lære at skrive jeres egen filter udtryk.f.eks. " ikke - adressen og ikke - smtp til /fra 192.168.0.1 " filteret er designet til at filtrere uinteressant trafik; dens syntaks er ikke (tcp.port = = 80) og ikke (tcp.port = = 25) og ip.addr = = 192.168.0.1,.slå ", anvende " og wireshark vil filtrere deres fange data på skærmen.du kan skrive din egen filter udtryk ved at klikke på udtrykket knap; wireshark giver en nyttig vælgeren dims med angivelse af de kendte områder og logiske aktører, du kan bruge.,, analysere menu indeholder nogle mere komplekse foruddefinerede filtrering muligheder." mulighed for protokoller " og giver dig en måde at give eller frakoble højere selektivt, anvendelse af protokoller, så du kan arkivar ud instant messaging trafik, undersøger kun visse typer protokol budskaber, og andre muligheder, som ville være urimeligt længe om at give udtryk for i filteret syntaks." brugerspecificeret dekoder " kan du deaktivere afkodning af særlige protokoller, som kunne være nyttig til at diagnosticere en særlig ansøgning." følge tcp stream " og giver dem mulighed for at vælge en bestemt tcp forbindelse og spore dets fremskridt fra start til slut; lignende muligheder for udp - og ssl samtaler.endelig er den " ekspert info " alternativ ekstrakter fejlmeddelelser og advarsel flag (f.eks. mistet eller er ude af drift segmenter) til hurtigt at identificere problemer,.,, statistik menu kan give dig en endnu hurtigere overblik over hele datasættet.det indeholder forudindstillede funktioner til at analysere fælles net målekriterier og præsenterer dem på nyttige tabeller.hvis du behandler din netværkstrafik for første gang, disse kan være nyttige redskaber til forståelse af den normale adfærd.kan du undersøge fordelingen af pakke - størrelser, trafik efter forbindelse - og applikationsdel protokol, der anvendes, og responstid.,, wireshark kan også give flere grafer, på et fly, der kan hjælpe dig, tænk på din trafik bedre.med de i figur redskab i statistikkerne menu, f.eks. du kan udtage op til fem filtre til at sammenligne ansigt til ansigt i forskellige farver, fra teknikerne, som nævnt i indledningen, profil normalt netværkstrafik er ikke målet i wireshark &mdash. det er bare et redskab til at hjælpe du kende - opførsel, når du prøver at spore kilden til problemet.der er desværre ikke hurtigt og let at spore ned til roden af høje latenstiden eller langsom kapacitet.,, hvis der er en zombie maskine på dit netværk, smittet med en trojaner, kan du let flag, det som en inficeret spam - bot, når du ser det indlede tusindvis af smtp - tilslutninger pr. time og mdash; og påvisning af virus og malware er et vigtigt juridisk opgave.men at opspore, hvorfor en af jeres database servere er altid lidt langsommere end andre, kan medføre en del mere at grave og analyse.,,, at ' derfor lidt tid til profil, din netværkstrafik under, hvad vi ' vil påtage sig er normale driftsbetingelser er værdifuldt.du kan få en fornemmelse af, hvor ofte wifi kunderne se tcp retransmissioner, hvis satsen fordobles eller tredobles, og du har ikke tilføjet flere maskiner, så du kan få brug for at se på, om en klient opfører sig anderledes end de andre, eller hvis du er simpelthen at se syntetorganiske.når diagnosticering af båndbredde sorger, hvis en af deres lokale servere er konsekvent, timing og faldende forbindelser, kunne det være en ansøgning niveau problem.men hvis wireshark ' s journaler viser, at det er en fjernserver genfastsættelse af forbindelser, så har du brug for at ringe.,,, wireshark tutorials på stedet er en uvurderlig støtte.den liste er nogle grundlæggende netværk fejlsøgning sider samt links til ressourcer afholdt andre steder.det samme har adskillige andre open source - net, analyse og sikkerhed projekter, som nagios, etherape, nmap, og tcpdump.meget af teknikerne afhænger af forståelsen af tcp /ip - protokol stak og fælles problemer, så en god bog eller to om emnet rækker langt.,, wireshark omfatter mange elementer, der vil hjælpe dig analysere deres netværk, når du er at spore kilden til problemet.for eksempel, du kan løbe statistiske sammenligninger mellem to reddede pakke fanger. det giver dem mulighed for at udføre en fange, når du oplever det problem, og sammenligner det mod et datasæt, der samler du som en kontrol gruppe, når det går glat.det samme, du kan samle og sammenligne fanger fra to forskellige maskiner og mdash og sige, om forskellige netværk segment eller med forskellige sammensætninger.det er også derfor, det er så positivt, at der er baseret på wireshark til rådighed for proprietære operativsystemer: når jagter en ydeevne, kan det være nødvendigt at indsamle data fra hver kilde, ekstra kredit: visualisering, alternative fangster,, selv om wireshark ' s filtrerings - og analyseredskaber kan afsløre mange facetter din trafik fange i vejledningen, grænsefladen har sine begrænsninger.der er altid, når en figur gør svaret skridt væk fra skærmen på en sådan måde, at en tabel, kan ikke.der er dyre proprietære værktøjer solgt til at tilføje skik visualisering og data mining træk til wireshark arbejdsgang, men du behøver ' t har brug for dem,.,, wireshark kan eksportere fanger i generiske csv - form, som du kan trække på andre anvendelse at arbejde med.det kan betyde en simpel regneark, som gnumeric eller openoffice.org eller en statistisk pakke som r eller gnuplot.et godt sted at starte, er listen af open source - analyse pakker på forensicswiki.org.landskabet er altid ændre, selv om.bare dette fald, den folkelige dataanalyse motor ryge kokain gridworks blev forvandlet til en åben kilde - projekt kaldet google forfine, som kan gøre visualiserede netværkstrafik betydeligt lettere. sidst, men ikke mindst, selv om wireshark er altid nævnt som et netværk, analyzer, sandheden er, at det kan analysere andre ting også, herunder usb - trafik og endda unix - sokkel forbindelser mellem ansøgninger.så selvom du mester din tcp /ip - trafik i denne weekend, vil du stadig have mulighed for at udforske.