Wireshark er et av de mest kjente verktøyene for nettverksanalyse i verden, både fordi det er gratis og fordi det fungerer bra og ikke er for vanskelig å bruke. Dets berømmelse stammer imidlertid fra det faktum at med dette programmet er det mulig å filtrere, fange og spionere på pakker og informasjon som passerer i et datanettverk .
Å spionere på pakkene, som det sees i en generell guide (Å legge inn et beskyttet wifi-nettverk for å fange pakker og spionere på det du gjør på internett), lar deg lese all type informasjon som passerer ukryptert i kommunikasjonen mellom PC og internett.
Dette betyr at hvis to personer er på samme kontor eller hjemme og kobler seg til samme nettverk (eller den samme ruteren) for å gå på internett, så kan de to PCene sees, og fra en er det mulig å bruke Wireshark for å fange informasjonen om annet, inkludert nettsteder du besøker, klartekstpassord (på ikke-https-nettsteder), e-postmeldinger, chatter og så videre.
Wireshark er imidlertid fremfor alt et veldig kraftig nettverksanalyseprogram som også brukes av profesjonelle teknikere, og la oss se hvordan du bruker det på alvor.
Du kan laste ned Wireshark for Windows eller Mac OS X fra det offisielle nettstedet.
Hvis du bruker Linux eller et annet UNIX-lignende system, bør Wireshark være i distribusjonsprogramvarelageret.
Etter å ha lastet ned og installert Wireshark, kan du starte det, og du må umiddelbart velge riktig nettverksgrensesnitt for å analysere .
Hvis du for eksempel vil skaffe trafikk på det trådløse nettverket, klikker du på wifi-nettverkskortet ellers, hvis nettverket som er koblet, må du velge LAN-tilkoblingen og så videre.
Så snart du velger et grensesnitt, vil du umiddelbart se at all informasjon som går over nettverket er synlig i en kontinuerlig rulleliste.
Hvis du aktiverer kontroll i et nettverk som er delt av flere datamaskiner (for eksempel en wifi), og du har aktivert datainnsamling i promisk modus, vil du også se pakkene til andre datamaskiner koblet til det samme nettverket .
Anskaffelsen i promiskuøs modus er mulig fra en Windows-PC bare ved å installere WinPCap-driverne som er inkludert i Wireshark-installasjonspakken.
I øvre venstre hjørne kan du stoppe fangstprosessen i sanntid og stoppe trafikkerveringen.
Wireshark viser forskjellig farget avlyttet data for å hjelpe til med å identifisere trafikktyper lettere.
Som standard er TCP-trafikk grønn, DNS-trafikk er mørkeblå, UDP-trafikk er lyseblå i stedet; de svarte er TCP-pakker med problemer.
For å komme i gang og se om det fungerer, må du sørge for at mens du surfer på internett ved å åpne noen få nettsteder, blir data og informasjon fanget av Wireshark.
HTTP-samtaler er de som angår internettrafikk som kan være den mest interessante hvis du har tenkt å finne informasjon om nettleser, for eksempel nettstedene du besøker.
Du kan også laste ned en eksempelfil for analyse i Wireshark for
Viktig å ikke gå seg vill i havet av genererte data er å bruke pakkefiltreringsregler.
Den enkleste måten å bruke et filter på er å skrive inn en søketast i filterboksen øverst i vinduet og klikke Bruk.
Hvis du for eksempel skriver " http ", vil du bare se tilkoblingene som er gjort via nettleseren på internett.
Hver pakke kan inspiseres og bare klikke på den med høyre knapp for å se flere detaljer og TCP-strømmen eller historien til trinnene som er gjort (for eksempel hvis du søker på Google etter flere ting, kan du gjennomgå hele flyten).
Mer spesifikke filtre kan brukes fra Analyse- menyen.
Når du anskaffer pakker, kan det være upraktisk og vanskelig å forstå flyten av snortet data og informasjon på nettverket fordi bare IP-adresser vises.
Imidlertid er det mulig å konvertere IP-adresser til domenenavn (for http-trafikk betyr dette å se navnene på nettstedene) ved å aktivere funksjonaliteten fra Rediger- menyen -> Innstillinger -> Navneoppløsning og aktivere " Aktiver nettverksnavnoppløsning ".
Når du aktiverer dette alternativet, vil du se domenenavn i stedet for IP-adresser, men ettersom Wireshark må søke etter hvert domenenavn, øker DNS-forespørsler ved å øke datastrømmen.
Hvis du vil sette opp en automatisk pakkefangst på datamaskinen din, kan du opprette en snarvei på skrivebordet for å starte Wireshark raskt.
Etter å ha opprettet lenken, høyreklikk, skriv inn egenskapene, og der " Destinasjon " er skrevet, legger du til et mellomrom i raden etter de endelige anførselstegnene og deretter -i # -k .
i stedet for # må du sette nummeret på nettverkskortet som skal sjekkes, i henhold til ordren som Wireshark gir i valgfasen.
Å fange trafikk fra andre datamaskiner koblet til det samme nettverket er kanskje det morsomste formålet som gjør oss til litt av en hacker på vår egen lille måte (det er imidlertid ikke så lett).
Hvis du vil registrere nettverkstrafikk og spionere etter informasjon som går gjennom en ruter, server eller annen datamaskin, må du bruke ekstern fangst av Wireshark, som på Windows bruker WinPcap-driveren.
Etter at det er installert, må du åpne Windows-tjenestevinduet (klikk på Start og skriv Services.msc- kommandoen i Søk eller Kjør-boksen).
I listen over tjenester finner du og aktiverer det som kalles Remote Packet Capture Protocol .
Denne tjenesten er deaktivert som standard.
Klikk på Options Capture i det første Wireshark-vinduet og velg Remote fra grensesnittfeltet .
Skriv deretter inn adressen til det eksterne systemet (f.eks. 192.168.2.3 ) og som 2002- port.
For å fungere, må du ha tilgang til port 2002 på det eksterne systemet, så du må åpne denne porten på datamaskinens brannmur eller ruter.
Etter tilkobling kan du velge et grensesnitt på det eksterne systemet fra boksen der nettverkskortene er oppført og klikke på Start for å begynne å registrere tilkoblingene som er gjort fra den datamaskinen.
I denne videoen kan du se en introduksjonsopplæring som er gjort veldig bra for å lære hvordan du bruker Wireshark.
Wireshark er et ekstremt kraftig verktøy selv om bare de mest erfarne kan forstå det grundig og bruke det til å utføre alle typer operasjoner i et nettverk.
Denne veiledningen er bare en introduksjon til alt du kan gjøre (her er den komplette manualen på engelsk); bare vet at fagfolk bruker det til å feilsøke nettverksprotokollinstallasjoner, for å analysere sikkerhetsproblemer og kontrollere trafikken i selskaper.
Til slutt, en siste anbefaling: mange organisasjoner tillater ikke Wireshark eller lignende verktøy å handle på nettverkene deres (personvernproblemer), så du bør ikke risikere å bruke det på kontoret med mindre du har tillatelse.
Hvis du vil prøve med enklere programmer, anbefaler jeg å laste ned Nirsoft-verktøyene for å snuse PC-nettverket og se besøkte nettsteder, internett-søk og passord .
