วิธีใช้ Wireshark: บทช่วยสอนฉบับสมบูรณ์

สารบัญ:

วิธีใช้ Wireshark: บทช่วยสอนฉบับสมบูรณ์
วิธีใช้ Wireshark: บทช่วยสอนฉบับสมบูรณ์
Anonim

ต้องรู้

  • Wireshark เป็นแอปพลิเคชันโอเพนซอร์ซที่รวบรวมและแสดงข้อมูลที่เดินทางไปมาในเครือข่าย
  • เนื่องจากสามารถเจาะลึกและอ่านเนื้อหาของแต่ละแพ็กเก็ต จึงใช้เพื่อแก้ไขปัญหาเครือข่ายและทดสอบซอฟต์แวร์

คำแนะนำในบทความนี้ใช้กับ Wireshark 3.0.3 สำหรับ Windows และ Mac

บรรทัดล่าง

เดิมเรียกว่าไม่มีตัวตน Wireshark แสดงข้อมูลจากโปรโตคอลต่างๆ หลายร้อยรายการในประเภทเครือข่ายหลักทั้งหมด แพ็กเก็ตข้อมูลสามารถดูได้แบบเรียลไทม์หรือวิเคราะห์แบบออฟไลน์Wireshark รองรับรูปแบบไฟล์การดักจับ/ติดตามหลายสิบรูปแบบ รวมถึง CAP และ ERF เครื่องมือถอดรหัสแบบรวมจะแสดงแพ็กเก็ตที่เข้ารหัสสำหรับโปรโตคอลทั่วไปหลายตัว รวมถึง WEP และ WPA/WPA2

วิธีดาวน์โหลดและติดตั้ง Wireshark

Wireshark สามารถดาวน์โหลดได้ฟรีจากเว็บไซต์ Wireshark Foundation สำหรับทั้ง macOS และ Windows คุณจะเห็นเวอร์ชันเสถียรล่าสุดและเวอร์ชันการพัฒนาปัจจุบัน เว้นแต่คุณจะเป็นผู้ใช้ขั้นสูง ให้ดาวน์โหลดเวอร์ชันเสถียร

Image
Image

ระหว่างขั้นตอนการติดตั้ง Windows ให้เลือกติดตั้ง WinPcap หรือ Npcap หากได้รับแจ้ง เนื่องจากมีไลบรารีที่จำเป็นสำหรับการเก็บข้อมูลสด

Image
Image

คุณต้องลงชื่อเข้าใช้อุปกรณ์ในฐานะผู้ดูแลระบบเพื่อใช้ Wireshark ใน Windows 10 ให้ค้นหา Wireshark แล้วเลือก เรียกใช้ในฐานะผู้ดูแลระบบ ใน macOS คลิกขวาที่ไอคอนแอปแล้วเลือก รับข้อมูล ในการตั้งค่า Sharing & Permissions ให้สิทธิ์ผู้ดูแลระบบ Read & Write

Image
Image

แอปพลิเคชันนี้ยังมีให้สำหรับ Linux และแพลตฟอร์มที่คล้าย UNIX อื่นๆ เช่น Red Hat, Solaris และ FreeBSD ไบนารีที่จำเป็นสำหรับระบบปฏิบัติการเหล่านี้สามารถพบได้ที่ด้านล่างของหน้าดาวน์โหลด Wireshark ใต้หัวข้อ แพ็คเกจบุคคลที่สาม คุณสามารถดาวน์โหลดซอร์สโค้ดของ Wireshark ได้จากหน้านี้

วิธีดักจับแพ็กเก็ตข้อมูลด้วย Wireshark

เมื่อคุณเปิด Wireshark หน้าจอต้อนรับจะแสดงการเชื่อมต่อเครือข่ายที่พร้อมใช้งานบนอุปกรณ์ปัจจุบันของคุณ ที่แสดงทางด้านขวาของแต่ละรายการคือกราฟเส้นแบบ EKG ที่แสดงการจราจรสดบนเครือข่ายนั้น

ในการเริ่มจับแพ็กเก็ตด้วย Wireshark:

  1. เลือกเครือข่ายหนึ่งเครือข่ายขึ้นไป ไปที่แถบเมนู จากนั้นเลือก Capture.

    ในการเลือกหลายเครือข่าย ให้กด Shift ค้างไว้ขณะทำการเลือก

    Image
    Image

  2. ในหน้าต่าง Wireshark Capture Interfaces เลือก Start.

    มีวิธีอื่นๆ ในการเริ่มการดักจับแพ็กเก็ต เลือก หูฉลาม ทางด้านซ้ายของแถบเครื่องมือ Wireshark กด Ctrl+E หรือดับเบิลคลิกที่เครือข่าย

    Image
    Image

  3. เลือก ไฟล์ > บันทึกเป็น หรือเลือก ส่งออก ตัวเลือกเพื่อบันทึกการจับภาพ

    Image
    Image

  4. ในการหยุดจับภาพ ให้กด Ctrl+E หรือไปที่แถบเครื่องมือ Wireshark แล้วเลือกปุ่มสีแดง หยุด ข้างหูฉลาม

    Image
    Image

วิธีดูและวิเคราะห์เนื้อหาแพ็คเก็ต

อินเทอร์เฟซข้อมูลที่จับได้ประกอบด้วยสามส่วนหลัก:

  • แผงรายการแพ็กเก็ต (ส่วนบนสุด)
  • แผงรายละเอียดแพ็กเก็ต (ส่วนตรงกลาง)
  • แผงไบต์แพ็คเก็ต (ส่วนด้านล่าง)
Image
Image

รายการแพ็คเก็ต

บานหน้าต่างรายการแพ็กเก็ต ซึ่งอยู่ที่ด้านบนของหน้าต่าง แสดงแพ็กเก็ตทั้งหมดที่พบในไฟล์การจับภาพที่ใช้งานอยู่ แต่ละแพ็กเก็ตมีแถวของตัวเองและหมายเลขที่เกี่ยวข้องซึ่งกำหนดไว้ พร้อมด้วยจุดข้อมูลแต่ละจุดเหล่านี้:

  • No: ฟิลด์นี้ระบุว่าแพ็กเก็ตใดเป็นส่วนหนึ่งของการสนทนาเดียวกัน จะยังคงว่างเปล่าจนกว่าคุณจะเลือกแพ็กเก็ต
  • Time: เวลาบันทึกแพ็คเก็ตจะแสดงในคอลัมน์นี้ รูปแบบเริ่มต้นคือจำนวนวินาทีหรือบางส่วนของวินาทีตั้งแต่สร้างไฟล์จับภาพเฉพาะนี้ขึ้นครั้งแรก
  • ที่มา: คอลัมน์นี้มีที่อยู่ (IP หรืออื่น ๆ) ที่เป็นที่มาของแพ็กเก็ต
  • Destination: คอลัมน์นี้มีที่อยู่ที่ส่งแพ็กเก็ตไป
  • Protocol: ชื่อโปรโตคอลของแพ็กเก็ต เช่น TCP สามารถพบได้ในคอลัมน์นี้
  • Length: ความยาวแพ็กเก็ตเป็นไบต์แสดงในคอลัมน์นี้
  • Info: รายละเอียดเพิ่มเติมเกี่ยวกับแพ็คเก็ตแสดงไว้ที่นี่ เนื้อหาของคอลัมน์นี้อาจแตกต่างกันมากขึ้นอยู่กับเนื้อหาของแพ็กเก็ต

หากต้องการเปลี่ยนรูปแบบเวลาเป็นสิ่งที่มีประโยชน์มากขึ้น (เช่น เวลาจริงของวัน) ให้เลือก ดู > รูปแบบการแสดงเวลา.

Image
Image

เมื่อเลือกแพ็คเก็ตในบานหน้าต่างด้านบน คุณอาจสังเกตเห็นสัญลักษณ์อย่างน้อยหนึ่งตัวปรากฏในคอลัมน์ No. วงเล็บเปิดหรือปิดและเส้นแนวนอนเป็นเส้นตรงระบุว่าแพ็กเก็ตหรือกลุ่มของแพ็กเก็ตเป็นส่วนหนึ่งของการสนทนาไปมาเดียวกันบนเครือข่ายหรือไม่เส้นแนวนอนที่ขาดแสดงว่าแพ็กเก็ตไม่ได้เป็นส่วนหนึ่งของการสนทนา

Image
Image

รายละเอียดแพ็คเก็ต

บานหน้าต่างรายละเอียดที่อยู่ตรงกลางแสดงโปรโตคอลและฟิลด์โปรโตคอลของแพ็กเก็ตที่เลือกในรูปแบบที่ยุบได้ นอกเหนือจากการขยายการเลือกแต่ละรายการ คุณสามารถใช้ตัวกรอง Wireshark แต่ละรายการตามรายละเอียดเฉพาะ และติดตามสตรีมข้อมูลตามประเภทโปรโตคอลโดยคลิกขวาที่รายการที่ต้องการ

Image
Image

แพ็คเก็ตไบต์

ที่ด้านล่างสุดคือบานหน้าต่างไบต์ของแพ็คเก็ต ซึ่งแสดงข้อมูลดิบของแพ็กเก็ตที่เลือกในมุมมองเลขฐานสิบหก ดัมพ์ฐานสิบหกนี้มีไบต์ฐานสิบหก 16 ไบต์และ ASCII 16 ไบต์ควบคู่ไปกับออฟเซ็ตข้อมูล

การเลือกส่วนเฉพาะของข้อมูลนี้จะเน้นส่วนที่เกี่ยวข้องโดยอัตโนมัติในบานหน้าต่างรายละเอียดแพ็กเก็ตและในทางกลับกัน ไบต์ใดๆ ที่ไม่สามารถพิมพ์ได้จะแสดงด้วยจุด

Image
Image

ในการแสดงข้อมูลนี้ในรูปแบบบิตแทนที่จะเป็นเลขฐานสิบหก ให้คลิกขวาที่ใดก็ได้ภายในบานหน้าต่างและเลือก เป็นบิต

Image
Image

วิธีใช้ตัวกรอง Wireshark

ตัวกรองการจับภาพสั่งให้ Wireshark บันทึกเฉพาะแพ็กเก็ตที่ตรงตามเกณฑ์ที่ระบุ ตัวกรองยังสามารถนำไปใช้กับไฟล์การจับภาพที่สร้างขึ้นเพื่อให้แสดงเฉพาะบางแพ็กเก็ตเท่านั้น สิ่งเหล่านี้เรียกว่าตัวกรองการแสดงผล

Wireshark มีตัวกรองที่กำหนดไว้ล่วงหน้าจำนวนมากตามค่าเริ่มต้น หากต้องการใช้ตัวกรองที่มีอยู่ ให้ป้อนชื่อตัวกรองในช่องรายการ ใช้ตัวกรองการแสดงผล ที่อยู่ใต้แถบเครื่องมือ Wireshark หรือใน ป้อนตัวกรองการจับภาพช่องที่อยู่ตรงกลางหน้าจอต้อนรับ

ตัวอย่างเช่น หากคุณต้องการแสดงแพ็กเก็ต TCP ให้พิมพ์ tcp คุณลักษณะเติมข้อความอัตโนมัติของ Wireshark จะแสดงชื่อที่แนะนำเมื่อคุณเริ่มพิมพ์ ทำให้ง่ายต่อการค้นหาชื่อเล่นที่ถูกต้องสำหรับตัวกรองที่คุณต้องการ

Image
Image

อีกวิธีในการเลือกตัวกรองคือเลือก bookmark ทางด้านซ้ายของช่องป้อนข้อมูล เลือก จัดการนิพจน์ตัวกรอง หรือ จัดการตัวกรองดิสเพลย์ เพื่อเพิ่ม ลบ หรือแก้ไขตัวกรอง

Image
Image

คุณยังสามารถเข้าถึงตัวกรองที่ใช้ก่อนหน้านี้โดยเลือกลูกศรลงที่ด้านขวาของช่องป้อนข้อมูลเพื่อแสดงรายการแบบเลื่อนลงประวัติ

Image
Image

ตัวกรองการจับภาพจะถูกนำไปใช้ทันทีที่คุณเริ่มบันทึกการรับส่งข้อมูลในเครือข่าย หากต้องการใช้ตัวกรองการแสดงผล ให้เลือกลูกศรขวาที่ด้านขวาของช่องป้อนข้อมูล

กฎสี Wireshark

ในขณะที่ตัวกรองการดักจับและแสดงผลของ Wireshark นั้นจำกัดว่าแพ็กเก็ตใดจะถูกบันทึกหรือแสดงบนหน้าจอ ฟังก์ชัน colorization ของมันทำให้สิ่งต่าง ๆ ก้าวไปอีกขั้น: สามารถแยกแยะระหว่างประเภทแพ็กเก็ตที่แตกต่างกันตามสีแต่ละสีการค้นหาแพ็กเก็ตบางแพ็กเก็ตอย่างรวดเร็วภายในชุดที่บันทึกไว้ตามสีแถวในบานหน้าต่างรายการแพ็กเก็ต

Image
Image

Wireshark มาพร้อมกับกฎการระบายสีเริ่มต้นประมาณ 20 กฎ แต่ละกฎสามารถแก้ไข ปิดใช้ หรือลบได้ เลือก View > Coloring Rules เพื่อดูภาพรวมของความหมายของแต่ละสี คุณยังสามารถเพิ่มฟิลเตอร์ตามสีของคุณเองได้

Image
Image

Select View > Colorize Packet List เพื่อเปิดหรือปิดการเปลี่ยนสีแพ็คเก็ต

สถิติใน Wireshark

เมตริกอื่นๆ ที่เป็นประโยชน์สามารถดูได้จากเมนูแบบเลื่อนลง Statistics ซึ่งรวมถึงข้อมูลขนาดและเวลาเกี่ยวกับไฟล์การจับภาพ พร้อมด้วยแผนภูมิและกราฟหลายสิบรายการในหัวข้อตั้งแต่รายละเอียดการสนทนาแพ็กเก็ตไปจนถึงการกระจายโหลดคำขอ

Image
Image

ตัวกรองการแสดงผลสามารถใช้ได้กับสถิติเหล่านี้จำนวนมากผ่านทางอินเทอร์เฟซ และสามารถส่งออกผลลัพธ์ไปยังรูปแบบไฟล์ทั่วไป รวมถึง CSV, XML และ TXT

คุณสมบัติขั้นสูงของ Wireshark

Wireshark ยังรองรับคุณสมบัติขั้นสูง รวมถึงความสามารถในการเขียนตัวแยกโปรโตคอลในภาษาการเขียนโปรแกรม Lua

แนะนำ:

วิธีใช้ Google Lens บน iPhone

วิธีใช้ Google Lens บน iPhone

ใช้ Google Lens เพื่อค้นหารูปภาพที่แสดงข้อมูลเกี่ยวกับสถานที่ สิ่งของ และผู้คน คุณยังสามารถใช้ Google Lens เพื่อค้นหาข้อความ

วิธีใช้ Cortana Notebook และคุณสมบัติการตั้งค่า

วิธีใช้ Cortana Notebook และคุณสมบัติการตั้งค่า

ปรับแต่ง Cortana เพื่อเปลี่ยนให้เป็นผู้ช่วยดิจิทัลที่ทรงพลังและเป็นส่วนตัวด้วยการกำหนดค่าการตั้งค่าและโน้ตบุ๊ก

วิธีใช้ Chromebook ออฟไลน์

วิธีใช้ Chromebook ออฟไลน์

แม้ว่า Chromebook จะได้รับการออกแบบมาให้ใช้งานในขณะที่คุณออนไลน์ แต่คุณก็ยังใช้ Chromebook แบบออฟไลน์ได้ คุณเพียงแค่ต้องวางแผนล่วงหน้าเพื่อเข้าถึงแอพและบริการที่คุณต้องการ

วิธีใช้ Vizio Smart TV โดยไม่ต้องใช้รีโมท

วิธีใช้ Vizio Smart TV โดยไม่ต้องใช้รีโมท

แอป Vizio SmartCast ให้คุณเปลี่ยนสมาร์ทโฟนของคุณให้เป็นรีโมทควบคุม Vizio สำหรับสมาร์ททีวีของคุณ

วิธีใช้ Skype สำหรับ Chromebook

วิธีใช้ Skype สำหรับ Chromebook

ดูบทแนะนำทีละขั้นตอนเกี่ยวกับวิธีใช้ Skype บน Chromebook ทุกรุ่นเพื่อโทรออก แฮงเอาท์วิดีโอ และแชทผ่านข้อความ