Bruk Wireshark til å spore nettverket behavior

Hver gang jeg trenger nettverksanalyse slår jeg til Wireshark. Wireshark er, etter min mening, defacto standard for nettverksprotokoller analysatorer. Ikke bare er det utrolig kraftig, nyttig og brukervennlig det er også gratis! Men hva er egentlig Wireshark? Enkelt: Wireshark er en nettverksprotokoll analysator som klokker og logger all innkommende og utgående trafikk som definert av dine behov. Dette verktøyet kan ikke bare lese trafikken levende, den kan lese trafikken fra en tidligere søppelfylling. Og det kan lese filer fra andre programmer som tcpdump og Microsoft Network Analyzer.

Wireshark har også noen virkelig gode verktøy som bidrar til å gjøre din nettverksanalyse mye lettere. To av disse verktøyene (Filtre og Expert Infos) Jeg vil fremheve i denne opplæringen.

Komme og installere

Wireshark kan bli funnet i distribusjonslagre. For å installere det følgende:..


    Åpne opp Legg til /fjern programvare verktøyet

    Søk etter "Wireshark" (uten anførselstegn)

    Mark Wireshark for installasjon.

    Klikk på Bruk for å installere.

    Når programmet er installert vil du finne Wireshark i Internet undermeny av dine applikasjoner eller Start-menyen. Du vil merke det er to oppføringer for Wireshark: "Wireshark" og "Wireshark (som root)". Problemet med ikke-rot versjonen er at standarden brukeren kanskje ikke har tilgang til nettverksgrensesnittet. På grunn av dette har du to valg: gi standard brukeren tilgang til grensesnittet, eller kjøre roten versjonen av Wireshark. Jeg vanligvis bare bruke root versjonen av Wireshark.

    Starte en fangst
    Figur 1

    Når du først åpner opp Wireshark vil du bli møtt av hovedvinduet (se figur 1).

    I denne hovedvinduet finner du alt du trenger for å starte en fange. Ta en titt på rad med ikoner under menyen verktøylinjen. Det andre ikonet fra venstre er ikonet du vil klikke for å sette opp en fange. Ved å klikke på denne knappen vil
    Figur 2

    åpne opp Capture Options-vinduet (se figur 2). I Capture Options vinduet må du konfigurere, minst, et grensesnitt som skal brukes for fangst. Alle tilgjengelige grensesnitt vil bli oppført i Interface nedtrekksmenyen.

    Når du har valgt din grensesnittet kan du deretter gå gjennom resten av alternativene vinduet og sette opp din fangst for å passe dine behov. Etter at du har tatt vare på dine konfigurasjons behov klikk på Start-knappen og fangst vil begynne.

    Filter fangst
    Figur 3

    Som du kan se, i figur 3, for noen folk fangst informasjonen kan være litt overveldende. Det er mye data streaming av.

    Men si at du bare ønsker å følge trafikken går til og fra interne gateway. For å gjøre dette, klikk på Filter-knappen for å åpne opp dialogen filter. I denne dialogen
    du Figur 4

    kommer til å sette opp et filter som filtrerer ut all trafikk, men at trafikken sett av dine gateway (se figur 4). Hva du trenger å gjøre er å gi filteret et navn og deretter sette strengen. Den beste måten å finne ut av uttrykk å bruke, er å se på noen av eksemplene. Så for å se bare en gateway på IP-adressen 192.168.1.254 filterstrengen ville være:

    ip.addr == 192.168.1.254

    Med konfigurasjonen på plass klikk på OK-knappen og filteret vil umiddelbart være på plass.

    Expert Info
    Figur 5

    Under fangst kan du ikke være i stand til å skjelne hva som skjer med nettverket ditt. Det er ok. Det er et verktøy tilgjengelig som vil hjelpe deg med det. Hvis det under en fange, klikker du Analyze-menyen og velg Expert Info oppføring et nytt vindu vil åpne opp. Denne nye vinduet (se figur 5) vil gi deg et klarere bilde på hva som skjer med nettverket ditt.

    Hvis dette vinduet ikke hjelpe ut kan du også gå til Expert Info Composite som organiserer feil , advarsler, Samtaler, og detaljer i separate faner.

    Final tanker

    Wireshark skal være et verktøy du bruker. Og etter å ha brukt denne analysatoren du mest sannsynlig vil finne det bli din "go-to analysator" for dag-til-dag behov. Wireshark er enkel, kraftig og gratis.