خانه » شکستن

درس های Wireshark به زبان روسی نسخه 2.4 1. WireShark: از کجا می توان به صورت رایگان دانلود کرد، دستورالعمل ها به زبان روسی، کتابچه راهنمای کاربر. با گذشت زمان تجربه می آید

نرم افزار Wiresharkیک ابزار نسبتاً شناخته شده و پیشرفته برای نظارت بر ترافیک شبکه است.

این برنامه در بسیاری از سیستم عامل ها از جمله Windows، UNIX، Linux، Mac OS، Free BSD، Solaris، Open BSD، Net BSD و غیره به طور یکسان به درستی کار می کند. برنامه هایی از این نوع خود گاهی اوقات sniffer نامیده می شوند.

این برنامه ردیابی ترافیک را با استفاده از انواع پروتکل های شبکه مانند DNS، FDDI، FTP، HTTP، ICQ، IPV6، IPX، IRC، MAPI، MOUNT، NETBIOS، NFS، NNTP، POP، PPP، TCP، TELNET بسیار آسان می کند. ، X25 و غیره. P.

برای استفاده کامل از برنامه، فکر می کنم بسیاری از کاربران نیازی به دانش خاصی ندارند. اما اول از همه.

بیایید با این واقعیت شروع کنیم که اکثر شبکه های محلی خانگی یا اداری بر اساس استفاده از دستگاه هایی به نام هاب یا متمرکز کننده ساخته شده اند.

در عین حال، برخی از شبکه ها شامل استفاده از سوئیچ ها یا روترها می شوند. این نرم افزار به طور خاص برای مورد اول طراحی شده است، زیرا در مورد دوم شما به سادگی به کارایی نخواهید رسید.

نحوه استفاده از Wireshark

بنابراین، برای اجرای برنامه به حقوق دسترسی نوع ROOT نیاز دارید، زیرا تنها با چنین حقوقی می توانید به تمام رابط های شبکه دسترسی کامل داشته باشید. خود برنامه می تواند در حالت عادی یا از خط فرمان راه اندازی شود.

پس از این، می توانید برنامه اصلی را راه اندازی کنید.

پس از شروع برنامه، پنجره ای ظاهر می شود که در آن باید لاگین و رمز عبور خود را با تایید دسترسی وارد کنید.

روند کار با برنامه بسیار ساده است.

برای شروع گرفتن بسته های شبکه، فقط باید به منوی اصلی یعنی Menu/Capture Options رفته و سپس در قسمت Interface رابط مورد نیاز را انتخاب کرده و دکمه Start را کلیک کنید.

همین.

طبیعتاً می توانید از تنظیمات اضافی ارائه شده در این پنجره نیز استفاده کنید.

به عنوان مثال، می‌توانید از گزینه‌های تاخیر استفاده کنید، بسته‌هایی را محدود کنید که اندازه خاصی دارند که در طول تجزیه و تحلیل نمی‌توان از آن‌ها فراتر رفت. با این حال، اگر در مورد نیاز به استفاده از تنظیمات خاص مطمئن نیستید، بهتر است همه چیز را همانطور که هست رها کنید.

این برای بسیاری از کاربران بهترین کار را خواهد داشت، زیرا تنظیمات پیش فرض به گونه ای ارائه می شود که مناسب ترین حالت عملیاتی را برای هر رابط شبکه ارائه می دهد.

برای اتمام فرآیند ردیابی دریافت و ارسال بسته های شبکه، کافیست روی دکمه Stop کلیک کنید، پس از آن روی صفحه اطلاعات کاملی از فرآیند نمایش داده می شود و نمایش با استفاده از حالت گرافیکی انجام می شود که کاملا راحت است.

به طور کلی، در پایان کل فرآیند، فایل گزارش را می توان برای تجزیه و تحلیل یا پردازش بعدی ذخیره کرد.

منحصر به فرد بودن این محصول نرم افزاری همچنین در این است که اگرچه پروتکل خاص خود را دارد، اما می تواند داده ها را با استفاده از پروتکل هایی غیر از پروتکل اصلی نظارت کند. این نه تنها برای تبادل بسته ها در خود شبکه محلی صدق می کند، بلکه برای کنترل ترافیک اینترنت نیز استفاده می شود. طبیعتاً یک سیستم نسبتاً منعطف برای مرتب سازی داده های دریافتی و جستجوی عنصر مورد نیاز وجود دارد. فقط استفاده از این توابع در نتایج گزارش کافی است.

در واقع، هیچ چیز پیچیده ای در مورد آن وجود ندارد. در نهایت، خاطرنشان می‌کنیم که ایجاد رابط گرافیکی از کتابخانه جهانی GTK+ استفاده می‌کند که به شما امکان می‌دهد داده‌های ورودی بسیاری از فرمت‌ها را سریع و راحت پردازش کنید.

Wireshark یک تحلیلگر شبکه قدرتمند است که می تواند برای تجزیه و تحلیل ترافیک عبوری از رابط شبکه کامپیوتر شما استفاده شود. ممکن است برای شناسایی و حل مشکلات شبکه، اشکال زدایی برنامه های کاربردی وب، برنامه های شبکه یا سایت های خود به آن نیاز داشته باشید. Wireshark به شما این امکان را می دهد که محتویات یک بسته را در تمام سطوح به طور کامل مشاهده کنید، بنابراین می توانید نحوه عملکرد شبکه در سطح پایین را بهتر درک کنید.

همه بسته ها در زمان واقعی ضبط می شوند و در قالبی آسان برای خواندن ارائه می شوند. این برنامه از یک سیستم فیلتر بسیار قدرتمند، برجسته سازی رنگ و سایر ویژگی ها پشتیبانی می کند که به شما در یافتن بسته های مناسب کمک می کند. در این آموزش، نحوه استفاده از Wireshark برای تجزیه و تحلیل ترافیک را بررسی خواهیم کرد. اخیرا توسعه دهندگان کار بر روی شاخه دوم برنامه Wireshark 2.0 را آغاز کردند، تغییرات و بهبودهای زیادی به خصوص برای رابط کاربری در آن ایجاد شد. این همان چیزی است که در این مقاله استفاده خواهیم کرد.

قبل از اینکه به بررسی روش‌هایی برای تجزیه و تحلیل ترافیک بپردازید، باید در نظر بگیرید که برنامه از چه ویژگی‌هایی با جزئیات بیشتر پشتیبانی می‌کند، با چه پروتکل‌هایی می‌تواند کار کند و چه کارهایی می‌تواند انجام دهد. در اینجا ویژگی های اصلی برنامه آمده است:

  • گرفتن بسته ها در زمان واقعی از سیمی یا هر نوع دیگر از رابط های شبکه، و همچنین خواندن از یک فایل.
  • رابط های ضبط زیر پشتیبانی می شوند: اترنت، IEEE 802.11، PPP و رابط های مجازی محلی.
  • بسته ها را می توان بر اساس پارامترهای زیادی با استفاده از فیلترها فیلتر کرد.
  • تمام پروتکل های شناخته شده در لیست با رنگ های مختلف برجسته می شوند، به عنوان مثال TCP، HTTP، FTP، DNS، ICMP و غیره.
  • پشتیبانی از ضبط ترافیک تماس VoIP؛
  • در صورت در دسترس بودن گواهی، رمزگشایی ترافیک HTTPS پشتیبانی می شود.
  • رمزگشایی ترافیک WEP و WPA شبکه های بی سیم با کلید و دست دادن.
  • نمایش آمار بار شبکه؛
  • مشاهده محتویات بسته برای تمام لایه های شبکه.
  • نمایش زمان ارسال و دریافت بسته ها.

این برنامه دارای بسیاری از ویژگی های دیگر است، اما اینها اصلی ترین مواردی بودند که ممکن است برای شما جالب باشد.

نحوه استفاده از Wireshark

من فرض می کنم که شما قبلا برنامه را نصب کرده اید، اما اگر نه، می توانید آن را از مخازن رسمی نصب کنید. برای انجام این کار، دستور را در اوبونتو تایپ کنید:

sudo apt نصب wireshark

پس از نصب، می توانید برنامه را در منوی اصلی توزیع پیدا کنید. شما باید Wireshark را با حقوق ابرکاربر اجرا کنید، زیرا در غیر این صورت قادر به تجزیه و تحلیل بسته های شبکه نخواهد بود. این را می توان از منوی اصلی یا از طریق ترمینال با استفاده از دستور KDE انجام داد:

و برای Gnome/Unity:

پنجره اصلی برنامه به سه قسمت تقسیم می شود: ستون اول شامل لیستی از رابط های شبکه موجود برای تجزیه و تحلیل، دوم - گزینه های باز کردن فایل ها، و سوم - راهنما است.

تجزیه و تحلیل ترافیک شبکه

برای شروع تجزیه و تحلیل، یک رابط شبکه، به عنوان مثال eth0 را انتخاب کنید و روی دکمه کلیک کنید شروع کنید.

پس از این، پنجره زیر باز می شود، در حال حاضر با جریانی از بسته ها که از رابط عبور می کنند. این پنجره نیز به چند قسمت تقسیم می شود:

  • قسمت بالا- اینها منوها و پانل هایی با دکمه های مختلف هستند.
  • لیست بسته ها- سپس جریان بسته های شبکه ای که تجزیه و تحلیل خواهید کرد نمایش داده می شود.
  • محتویات بسته- فقط در زیر محتویات بسته انتخاب شده است، بسته به سطح حمل و نقل به دسته هایی تقسیم می شود.
  • عملکرد واقعی- در قسمت پایین محتویات بسته به صورت واقعی و همچنین به صورت HEX نمایش داده می شود.

برای تجزیه و تحلیل محتوای هر بسته می توانید روی هر بسته کلیک کنید:

در اینجا ما یک بسته درخواست DNS برای دریافت آدرس IP سایت می بینیم، در خود درخواست دامنه ارسال می شود و در بسته پاسخ سوال خود را و همچنین پاسخ را دریافت می کنیم.

برای مشاهده راحت تر، می توانید بسته را با دوبار کلیک کردن بر روی ورودی در یک پنجره جدید باز کنید:

فیلترهای Wireshark

مرور دستی بسته‌ها برای یافتن بسته‌هایی که نیاز دارید، بسیار ناخوشایند است، مخصوصاً با یک موضوع فعال. بنابراین، برای این کار بهتر است از فیلترها استفاده کنید. یک خط ویژه در زیر منو برای وارد کردن فیلترها وجود دارد. می توانید کلیک کنید اصطلاحبرای باز کردن طراح فیلتر، اما تعداد زیادی از آنها وجود دارد، بنابراین ما به ابتدایی ترین آنها نگاه خواهیم کرد:

  • ip.dst- آدرس IP هدف؛
  • ip.src- آدرس IP فرستنده؛
  • ip.addr- IP فرستنده یا گیرنده؛
  • ip.proto- پروتکل؛
  • tcp.dstport- بندر مقصد؛
  • tcp.srcport- پورت فرستنده؛
  • ip.ttl- فیلتر TTL، فاصله شبکه را تعیین می کند.
  • http.request_uri- آدرس سایت درخواستی

برای تعیین رابطه بین یک فیلد و یک مقدار در یک فیلتر، می توانید از عملگرهای زیر استفاده کنید:

  • == - برابر است
  • != - نا برابر؛
  • < - کمتر؛
  • > - بیشتر؛
  • <= - کمتر یا مساوی
  • >= - بیشتر یا مساوی
  • مسابقات- عبارت منظم؛
  • شامل- حاوی

برای ترکیب چند عبارت می توانید از:

  • && - هر دو عبارت باید برای بسته درست باشند.
  • || - یکی از عبارات ممکن است درست باشد.

حالا بیایید با استفاده از مثال‌ها به چندین فیلتر نگاهی دقیق‌تر بیندازیم و سعی کنیم تمام نشانه‌های روابط را درک کنیم.

ابتدا بیایید تمام بسته های ارسال شده به 194.67.215 را فیلتر کنیم. یک رشته را در قسمت فیلتر وارد کنید و کلیک کنید. درخواست دادن. برای راحتی، فیلترهای Wireshark را می توان با استفاده از دکمه ذخیره کرد صرفه جویی:

ip.dst == 194.67.215.125

و برای دریافت نه تنها بسته های ارسال شده، بلکه بسته هایی که در پاسخ از این گره دریافت می شوند، می توانید دو شرط را ترکیب کنید:

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

ما همچنین می توانیم فایل های بزرگ منتقل شده را انتخاب کنیم:

http.content_length > 5000

با فیلتر کردن Content-Type، می‌توانیم تمام تصاویری که آپلود شده‌اند را انتخاب کنیم. بیایید ترافیک Wireshark را تحلیل کنیم، بسته هایی که حاوی کلمه تصویر هستند:

http.content_type حاوی تصویر است

برای پاک کردن فیلتر، می توانید دکمه را فشار دهید پاک کردن. این اتفاق می افتد که شما همیشه تمام اطلاعات لازم برای فیلتر کردن را نمی دانید، بلکه فقط می خواهید شبکه را کاوش کنید. شما می توانید هر فیلدی از یک بسته را به عنوان ستون اضافه کنید و محتویات آن را در پنجره کلی برای هر بسته مشاهده کنید.

به عنوان مثال، من می خواهم TTL (زمان زنده بودن) یک بسته را به عنوان یک ستون نمایش دهم. برای این کار اطلاعات بسته را باز کنید، این فیلد را در قسمت IP پیدا کنید. سپس منوی زمینه را فراخوانی کرده و گزینه را انتخاب کنید به عنوان ستون اعمال شود:

به همین ترتیب می توانید بر اساس هر فیلد دلخواه یک فیلتر ایجاد کنید. آن را انتخاب کنید و منوی زمینه را باز کنید، سپس کلیک کنید به عنوان فیلتر اعمال شودیا به عنوان فیلتر آماده کنید، سپس انتخاب کنید انتخاب شدبرای نمایش فقط مقادیر انتخاب شده یا انتخاب نشدهبرای حذف آنها:

فیلد مشخص شده و مقدار آن اعمال می شود یا در حالت دوم در فیلد فیلتر درج می شود:

به این ترتیب می توانید یک فیلد از هر بسته یا ستونی را به فیلتر اضافه کنید. این گزینه در منوی زمینه نیز وجود دارد. برای فیلتر کردن پروتکل ها می توانید از شرایط ساده تری استفاده کنید. به عنوان مثال، بیایید ترافیک Wireshark را برای پروتکل های HTTP و DNS تجزیه و تحلیل کنیم:

یکی دیگر از ویژگی های جالب این برنامه استفاده از Wireshark برای ردیابی یک جلسه خاص بین کامپیوتر کاربر و سرور است. برای انجام این کار، منوی زمینه بسته را باز کرده و انتخاب کنید جریان TCP را دنبال کنید.

سپس پنجره ای باز می شود که در آن تمام داده های منتقل شده بین سرور و مشتری را خواهید یافت:

تشخیص مشکلات Wireshark

ممکن است تعجب کنید که چگونه از Wireshark 2.0 برای شناسایی مشکلات شبکه خود استفاده کنید. برای انجام این کار، یک دکمه گرد در گوشه سمت چپ پایین پنجره وجود دارد که با کلیک بر روی آن، پنجره ای باز می شود. ابزار Expet. در آن، Wireshark تمام پیام های خطا و مشکلات شبکه را جمع آوری می کند:

پنجره به تب هایی مانند خطاها، هشدارها، اعلان ها، چت ها تقسیم می شود. این برنامه می تواند بسیاری از مشکلات شبکه را فیلتر و پیدا کند و در اینجا می توانید خیلی سریع آنها را مشاهده کنید. فیلترهای Wireshark نیز در اینجا پشتیبانی می شوند.

تجزیه و تحلیل ترافیک Wireshark

اگر اتصال رمزگذاری نشده باشد، به راحتی می توانید بفهمید که کاربران چه فایل هایی را دانلود کرده اند و چه فایل هایی را مشاهده کرده اند. این برنامه کار بسیار خوبی در استخراج محتوا انجام می دهد.

برای انجام این کار، ابتدا باید با استفاده از مربع قرمز روی پنل، ضبط ترافیک را متوقف کنید. سپس منو را باز کنید فایل -> صادرات اشیاء -> HTTP:

در این صفحه پاسخ به محبوب ترین سوالات در مورد WireShark Sniffer را خواهید یافت:
⦁ از کجا می توان WireShark را به صورت رایگان دانلود کرد.
⦁ چرا نباید Wireshark را از تورنت دانلود کنید.
⦁ از کجا می توان WireShark را به زبان روسی (russifier) ​​دریافت کرد.
⦁ از کجا می توان دستورالعمل های WireShark را به زبان روسی دریافت کرد،
⦁ راهنمای کار با WireShark.

Wireshark یک ابزار بسیار قدرتمند و یکی از بهترین اسنیفرهای جهان برای ضبط و رمزگشایی ترافیک شبکه است. توانایی رمزگشایی بیش از 500 پروتکل های مختلف شبکه داده و مخابراتی از جمله پروتکل های سلولی را فراهم می کند. این استاندارد در بسیاری از صنایع و مؤسسات آموزشی در سراسر جهان است. بسیاری از تولیدکنندگان محصولات تجاری از آن به عنوان رمزگشا در راه حل های خود استفاده می کنند.
برنامه WireShark کاملا رایگان است و از سال 1998 به طور مداوم توسط چندین نویسنده با کمک های مالی حامیان مالی بهبود یافته است.

از کجا می توانم WireShark را به صورت رایگان دانلود کنم؟

برنامه را فقط از این صفحه دانلود کنید!

از کجا می توانم WireShark را به زبان روسی دانلود کنم؟

WireShark توسط یک تیم بین المللی از طرفداران توسعه یافته است و متاسفانه فقط به زبان انگلیسی در دسترس است. جستجو برای کرک یا نسخه روسی بی فایده است.

از کجا می توانم دستورالعمل کار با WireShark را دریافت کنم؟

اگر می خواهید تمام ویژگی ها را بررسی کنید و به یک کاربر حرفه ای WireShark تبدیل شوید، دو راه برای این کار وجود دارد.
⦁ روش اول
روش آزمون و خطا. ترافیک را ضبط کنید، سعی کنید آن را تجزیه و تحلیل کنید، با همکاران در انجمن ها و گروه های مختلف ارتباط برقرار کنید. به عنوان مثال، در اینجا: https://ask.wireshark.org/
⦁ روش دوم
می توانید دوره های رسمی را بگذرانید و گواهی کاربر یا مدرس دریافت کنید. شما می توانید با تسلط بر این راهنما برای دوره ها آماده شوید: http://www.wiresharkbook.com/epg.html
این کتاب منبع مناسبی برای آمادگی امتحان است!

راهنمای کاربر

دفترچه راهنمای کاربر رسمی Wireshark Sniffer به زبان انگلیسی (هیچ روسی وجود ندارد) در نسخه های مختلف موجود است:
⦁ راهنمای آنلاین: https://www.wireshark.org/docs/wsug_html_chunked
⦁ دفترچه راهنما را در آرشیو دانلود کنید.

امروزه قدرتمندترین ابزار برای ضبط و تحلیل ترافیک اینترنت چیست؟ پاسخ ساده است - Wireshark. این می تواند نه تنها بسته های TCP خروجی، بلکه بسته های ورودی را نیز رهگیری کند. این ابزار توسط بسیاری از متخصصان استفاده می شود. و هکرها بالاتر از استفاده از آن نیستند. امکانات این برنامه بی پایان است. با کمک آن می توانید هر فایلی را از بسته استخراج کنید، آن را مشاهده و بررسی کنید. سوال اصلی این است که چگونه این کار را انجام دهیم. ما سعی خواهیم کرد این را بفهمیم.

Wireshark چیست؟

این ابزار برای کنترل ترافیک اینترنت طراحی شده است. بسته های TCP را که توسط رایانه دریافت یا از آن ارسال شده است، رهگیری می کند. عملکرد برنامه به قدری غنی است که به رهگیری ساده محدود نمی شود. می توانید محتویات بسته ها را مشاهده کنید، خطاها را جستجو کنید و غیره. علاوه بر این، با کمک WS می توانید تقریباً هر فایلی را از بسته ها استخراج کرده و آن را مشاهده کنید. برای درک بهتر این برنامه، باید مزایای اصلی آن را برجسته کنید. بنابراین، جوانب مثبت:

  • کراس پلتفرم (نسخه هایی برای لینوکس، مک، یونیکس وجود دارد)؛
  • ابزار کاملا رایگان است.
  • دارای عملکرد گسترده ای است؛
  • انعطاف پذیری سفارشی سازی؛
  • قابلیت فیلتر کردن ترافیک؛
  • ایجاد فیلترهای خود؛
  • رهگیری بسته در زمان واقعی

این ابزار واقعاً مزایای زیادی دارد. اما اصلاً هیچ نقصی وجود ندارد. جای تعجب نیست که Wireshark بهترین در نوع خود برای گرفتن و تجزیه و تحلیل بسته های TCP در نظر گرفته می شود. اکنون باید کمی در مورد خود برنامه بدانید.

نصب و پیکربندی

می توانید Wireshark را از وب سایت رسمی توسعه دهنده دانلود کنید. برنامه کاملا رایگان است. شایان ذکر است که آخرین نسخه (2.0.5) با آداپتورهای Wi-Fi کار نمی کند. بنابراین، اگر نیاز به تجزیه و تحلیل ترافیک بی سیم دارید، باید نسخه قدیمی تر را دانلود کنید.

نصب ابزار استاندارد است و حتی برای مبتدیان نیز مشکلی ایجاد نخواهد کرد. همه چیز در نصب کننده واضح است، حتی اگر به زبان انگلیسی باشد. به هر حال، Wireshark در طبیعت روسی وجود ندارد، بنابراین برای مقابله با موفقیت با این نرم افزار، باید حافظه خود را فشار دهید و انگلیسی را به خاطر بسپارید. در اصل، برای گرفتن و مشاهده بسته های TCP به هیچ چیز خاصی نیاز نیست. زبان انگلیسی سطح مدرسه کافی است.

بنابراین، اولین چیزی که پس از راه اندازی برنامه نصب شده مشاهده می کنیم، پنجره اصلی است. برای یک کاربر آموزش ندیده، ممکن است غیرقابل درک و ترسناک به نظر برسد.

عیبی نداره اکنون این را خواهید دید. برای شروع، ابتدا باید منبعی را انتخاب کنید که بسته های TCP از آن گرفته می شود. رهگیری می تواند هم از طریق اتصال اترنت و هم از یک آداپتور WLAN انجام شود. به عنوان مثال، گزینه WLAN را در نظر بگیرید. برای پیکربندی، باید به آیتم "گرفتن"، زیرمجموعه "گزینه ها" بروید. در پنجره باز شده، آداپتور بی سیم خود را انتخاب کرده و آن را علامت بزنید. برای شروع ضبط ترافیک، فقط روی دکمه "شروع" کلیک کنید.

پس از کلیک بر روی "شروع"، تجزیه و تحلیل بسته و ضبط آغاز می شود. بسیاری از حروف و اعداد عجیب و غریب در پنجره ظاهر می شوند. برخی از بسته ها دارای کد رنگی خاص خود هستند. برای درک هر چیزی، باید تعیین کنید که کدام رنگ به چه چیزی اشاره دارد. سبز - ترافیک TCP، آبی تیره - DNS، آبی روشن - UDP و سیاه - بسته های TCP با خطا. اکنون درک این کوه از داده ها آسان تر است.

برای متوقف کردن فرآیند رهگیری، فقط روی دکمه "توقف" که با یک مستطیل قرمز مشخص شده است کلیک کنید. اکنون می توانید بسته مورد نظر خود را انتخاب کرده و آن را مشاهده کنید. برای انجام این کار، بر روی بسته کلیک راست کرده و در منوی ظاهر شده "نمایش بسته در پنجره جدید" را انتخاب کنید. دسته ای از حروف و اعداد عجیب بلافاصله ظاهر می شوند.

اما با مطالعه عمیق اطلاعات ارائه شده، می توانید بفهمید که بسته از کجا آمده است و به کجا می رود و از چه چیزی تشکیل شده است. برای مشاهده داده های مربوط به بسته های TCP بعداً، باید از عملکرد ذخیره اطلاعات گرفته شده استفاده کنید. در آیتم منوی "فایل"، زیر آیتم "ذخیره به عنوان" قرار دارد. سپس می توانید اطلاعات را از فایل دانلود کرده و با آرامش مشاهده کنید.

استفاده از فیلترها

برای نمایش تنها اطلاعات مورد علاقه خود، می توانید Wireshark را مجبور کنید از فیلترها استفاده کند و ترافیک غیر ضروری را قطع کند. دستورالعمل های تنظیم دقیق فیلترها در اینترنت موجود است، اما در حال حاضر تنها یک نمونه را در نظر خواهیم گرفت. فرض کنید شما فقط به بسته های TCP علاقه دارید. برای اینکه برنامه فقط آنها را نمایش دهد، باید به آیتم منوی "Capture"، زیر آیتم "Capture filters" بروید، مورد "TCP Only" را انتخاب کنید و روی دکمه "OK" کلیک کنید.

به این ترتیب می توانید ابزار را مجبور کنید فقط ترافیک مورد علاقه شما را نمایش دهد. اطلاعات بیشتر در مورد نحوه استفاده از فیلترها در اینترنت نوشته شده است. شما حتی می توانید قالب فیلتر خود را ایجاد کنید. اما این یک داستان کاملا متفاوت است.

نتیجه

در میان برنامه های ضبط و تجزیه و تحلیل ترافیک، Wireshark خود را به عنوان با ارزش ترین ابزار برای حل چنین مشکلاتی معرفی کرده است. بسیاری از متخصصان با موفقیت از آن استفاده می کنند. البته، برای کار در آن در سطح حرفه ای، باید دانش انگلیسی خود را ارتقا دهید و برخی از اصول انتقال داده را یاد بگیرید. اما ارزشش را دارد. اکنون حتی یک برنامه در رایانه شما نمی تواند بدون اطلاع شما هزاران اطلاعات غیر ضروری را به خدا می داند کجا ارسال کند. Wireshark به عنوان یک رهگیر و تجزیه و تحلیل بی نظیر است.

ویدئو

گاهی اوقات هنگام استفاده از اینترنت، شرایطی پیش می آید که در آن ترافیک نشت می کند یا مصرف غیرمنتظره منابع سیستم رخ می دهد. برای تجزیه و تحلیل سریع و شناسایی منبع مشکل، از ابزارهای شبکه ویژه استفاده می شود. یکی از آنها، WireShark، در مقاله مورد بحث قرار خواهد گرفت.

اطلاعات کلی

قبل از استفاده از WireShark، باید خود را با دامنه، عملکرد و قابلیت های آن آشنا کنید. به طور خلاصه: این برنامه به شما امکان می دهد بسته ها را در زمان واقعی در اتصالات شبکه سیمی و بی سیم ضبط کنید. مورد استفاده در پروتکل های اترنت، IEEE 802.11، PPP و پروتکل های مشابه. همچنین می توانید از رهگیری ترافیک تماس VoIP استفاده کنید.

این برنامه تحت مجوز GNU GPL توزیع شده است، به این معنی که رایگان و منبع باز است. شما می توانید آن را در بسیاری از توزیع های لینوکس، MacOS اجرا کنید، و همچنین نسخه ای برای سیستم عامل ویندوز وجود دارد.

چگونه از WireShark استفاده کنیم؟

ابتدا باید آن را روی سیستم نصب کنید. از آنجایی که یکی از رایج ترین توزیع های لینوکس اوبونتو است، تمام نمونه ها در آن نشان داده می شوند.

برای نصب کافیست دستور را در کنسول تایپ کنید:

sudo apt-get install wireshark

پس از این، برنامه در منوی اصلی ظاهر می شود. می توانید آن را از آنجا راه اندازی کنید. اما بهتر است این کار را از ترمینال انجام دهید، زیرا او به حقوق ابرکاربر نیاز دارد. این را می توان به صورت زیر انجام داد:

ظاهر

این برنامه دارای یک رابط گرافیکی مناسب است. کاربر یک پنجره دوستانه خواهد دید که به 3 قسمت تقسیم شده است. اولی به طور مستقیم به کپچر مربوط می شود، دومی مربوط به باز کردن فایل ها و نمونه ها و سومی کمک و پشتیبانی است.

بلوک Capture شامل لیستی از رابط های شبکه در دسترس برای ضبط است. وقتی مثلا eth0 را انتخاب کنید و دکمه Start را کلیک کنید، فرآیند رهگیری شروع می شود.

پنجره با داده های رهگیری نیز به طور منطقی به چند قسمت تقسیم می شود. در بالا یک کنترل پنل با عناصر مختلف وجود دارد. در ادامه لیستی از بسته ها آمده است. در قالب یک جدول ارائه شده است. در اینجا می توانید شماره ترتیب بسته، زمان رهگیری آن، آدرس ارسال و دریافت را مشاهده کنید. همچنین می توانید اطلاعات مربوط به پروتکل های مورد استفاده، طول و سایر اطلاعات مفید را حذف کنید.

در زیر لیست پنجره ای با محتویات داده های فنی بسته انتخابی وجود دارد. و حتی پایین تر، نمایشگری به شکل هگزادسیمال وجود دارد.

هر نما را می توان در یک پنجره بزرگتر برای خواندن راحت تر داده ها گسترش داد.

اعمال فیلترها

در حالی که برنامه در حال اجرا است، ده ها یا حتی صدها بسته همیشه از جلوی کاربر عبور می کند. از بین بردن آنها به صورت دستی بسیار دشوار و زمان بر است. بنابراین، دستورالعمل رسمی WireShark استفاده از فیلترها را توصیه می کند.

یک فیلد مخصوص برای آنها در پنجره برنامه وجود دارد - فیلتر. برای پیکربندی دقیق تر فیلتر، یک دکمه Expression وجود دارد.

اما برای اکثر موارد، یک مجموعه استاندارد از فیلترها کافی است:

  • ip.dst - آدرس IP مقصد بسته.
  • ip.src - آدرس فرستنده؛
  • ip.addr - فقط هر ip.
  • ip.proto - پروتکل.

استفاده از فیلترها در WireShark - دستورالعمل

برای امتحان نحوه عملکرد برنامه با فیلترها، باید دستور خاصی را وارد کنید. به عنوان مثال، چنین مجموعه ای - ip.dst == 172.217.23.131 - تمام بسته های پروازی را به وب سایت Google نشان می دهد. برای مشاهده تمام ترافیک - اعم از ورودی و خروجی - می توانید دو فرمول را ترکیب کنید - ip.dst == 172.217.23.131 || ip.src == 172.217.23.131. بنابراین، مشخص شد که از دو شرط در یک خط به طور همزمان استفاده می شود.

می توانید از شرایط دیگر استفاده کنید، به عنوان مثال ip.ttl< 10. Данная команда выведет все пакеты с длительностью жизни меньше 10. Чтобы выбрать данные по их размеру, можно применить такой подход — http.content_length > 5000.

ویژگی های اضافی

برای راحتی، WireShark راهی برای انتخاب سریع پارامترهای بسته به عنوان میدان مورد تجزیه و تحلیل دارد. به عنوان مثال، در یک فیلد با داده های فنی، می توانید روی شی مورد نظر کلیک راست کرده و Apply as Column را انتخاب کنید. انتقال آن به ناحیه فیلد به صورت ستونی به چه معناست.

به طور مشابه، می توانید هر پارامتری را به عنوان فیلتر انتخاب کنید. برای انجام این کار، یک مورد Apply as Filter در منوی زمینه وجود دارد.

جلسه جداگانه

می توانید از WireShark به عنوان مانیتور بین دو گره شبکه، به عنوان مثال، یک کاربر و یک سرور استفاده کنید. برای انجام این کار، بسته مورد نظر خود را انتخاب کنید، منوی زمینه را فراخوانی کنید و روی Follow TCP Stream کلیک کنید. یک پنجره جدید کل گزارش تبادل بین دو گره را نمایش می دهد.

تشخیص

WireShark ابزار جداگانه ای برای تجزیه و تحلیل مشکلات شبکه دارد. به آن Expert Tools می گویند. می توانید آن را در گوشه پایین سمت چپ، به شکل یک نماد گرد پیدا کنید. با کلیک بر روی آن، پنجره جدیدی با چندین تب - Errors، Warnings و موارد دیگر باز می شود. با کمک آنها می توانید تجزیه و تحلیل کنید که در کدام گره ها خرابی رخ می دهد، بسته ها نمی رسند و سایر مشکلات شبکه را شناسایی کنید.

ترافیک صوتی

همانطور که قبلا ذکر شد، WireShark همچنین می تواند ترافیک صوتی را رهگیری کند. یک منوی کامل تلفن به این اختصاص داده شده است. این می تواند برای یافتن مشکلات در VoIP و رفع سریع آنها استفاده شود.

مورد VoIP Calls در منوی تلفن به شما امکان می دهد تماس های تکمیل شده را مشاهده کرده و به آنها گوش دهید.

صادرات اشیا

این احتمالاً جالب ترین عملکرد برنامه است. این به شما امکان می دهد از WireShark به عنوان رهگیر فایل های ارسال شده از طریق شبکه استفاده کنید. برای انجام این کار، باید فرآیند رهگیری را متوقف کنید و اشیاء HTTP را به منوی File صادر کنید. پنجره ای که باز می شود لیستی از تمام فایل های منتقل شده در طول جلسه را نمایش می دهد که می توان آنها را در یک مکان مناسب ذخیره کرد.

سرانجام

متأسفانه، یافتن نسخه فعلی WireShark به زبان روسی در اینترنت دشوار خواهد بود. در دسترس ترین و پرکاربردترین آن به زبان انگلیسی است.

همین امر در مورد دستورالعمل های دقیق برای WireShark به زبان روسی صادق است. رسمی از توسعه دهنده به زبان انگلیسی ارائه شده است. بسیاری از آموزش های کوتاه و کوتاه WireShark به صورت آنلاین برای مبتدیان وجود دارد.

با این حال، برای کسانی که برای مدت طولانی در زمینه IT کار می کنند، درک برنامه مشکل خاصی ایجاد نمی کند. و فرصت های عالی و عملکرد غنی تمام مشکلات یادگیری را روشن می کند.

شایان ذکر است که در برخی کشورها، استفاده از sniffer مانند WireShark ممکن است غیرقانونی باشد.