×
Outbyte PC Repair
Outbyte Driver Updater

Jak przechwytywać pakiety w WireShark?

2022/07/15
Jak przechwytywać pakiety w WireShark?

Wireshark to nieocenione narzędzie do analizy sieci, które tłumaczy dane przechodzące przez twoje sieci na format czytelny dla człowieka. Możesz rozwiązywać problemy z siecią lub bezpieczeństwem, debugować implementację protokołu lub po prostu monitorować ruch, przechwytując pakiety za pomocą Wireshark.

Przyjrzyj się uważnie temu, co dzieje się w Twojej sieci, zbierając dokładnie te informacje, których potrzebujesz. Oto jak przechwytywać różne typy pakietów w Wireshark.

Jak przechwytywać pakiety

Rozpoczęcie procesu przechwytywania w Wireshark zajmuje tylko kilka kliknięć. Wszystko, co musisz zrobić, to uruchomić tryb przechwytywania, a dane zaczną napływać bez filtrowania. Chociaż ten niefiltrowany tryb jest świetny, gdy potrzebujesz pełnego opisu tego, co się dzieje, ilość zebranych w ten sposób danych może być przytłaczająca. Aby ułatwić sobie zarządzanie, możesz użyć filtrów i zbierać tylko określony typ danych. Poniżej znajdziesz instrukcje dotyczące tego.

Na razie zobaczmy, jak rozpocząć przechwytywanie wszystkich pakietów w Wireshark:

  • Upewnij się, że masz zainstalowaną najnowszą wersję Wireshark. Możesz pobrać program za darmo z oficjalnej strony Wireshark.
  • Uruchom program. Zostaniesz powitany ekranem powitalnym z listą wykrytych sieci.
  • Rozpocznij przechwytywanie pakietów w jeden z następujących sposobów:
    • Kliknij dwukrotnie wybraną sieć na liście.
    • Wybierz jeden lub więcej interfejsów sieciowych, a następnie kliknij ikonę płetwy rekina na pasku narzędzi lub „Capture”, a następnie „Start” na pasku menu.

Notatka. Możesz skonfigurować opcje przechwytywania — takie jak tryb bezładny — przed rozpoczęciem, klikając Przechwyć, a następnie Opcje.

Jak tylko naciśniesz interfejs sieciowy lub przycisk Start, zostaniesz przeniesiony do ekranu przechwytywania. Zobaczysz, jak Wireshark przechwytuje pakiety danych w czasie rzeczywistym. Gdy będziesz zadowolony z ilości zebranych danych, możesz zatrzymać przechwytywanie, klikając czerwony przycisk zatrzymania na górnym pasku narzędzi. Rozpocznij analizę danych już teraz lub zapisz je na później, klikając „Plik”, a następnie „Zapisz jako…” z paska menu.

Jak przechwytywać pakiety UDP

Wykonanie powyższych kroków spowoduje, że program przechwyci wszystkie pakiety. Chociaż różne rodzaje ruchu można łatwo rozróżnić w Wireshark dzięki kodowaniu kolorami, nadal trzeba przesiewać wiele danych. Jeśli szukasz tylko informacji o określonych pakietach, możesz użyć filtrów, aby ułatwić sobie pracę.

Wireshark obsługuje filtry przechwytywania i wyświetlania. Użycie filtra przechwytywania oznacza, że ​​program przechwytuje tylko określone pakiety. Filtry wyświetlania po prostu filtrują pakiety, które zostały już przechwycone. Te dwa filtry działają inaczej i używają różnych poleceń, więc musisz zdecydować, który z nich najlepiej odpowiada Twoim potrzebom.

Jeśli chcesz przechwytywać tylko ruch UDP, użyj filtru przechwytywania przed rozpoczęciem procesu przechwytywania.

  • Uruchom Wireshark.
  • Znajdź panel filtra przechwytywania na ekranie powitalnym. To ten tuż nad twoją listą sieci.
  • Wpisz „udp” w polu „Capture Filter” i naciśnij klawisz Enter, aby rozpocząć przechwytywanie ruchu UDP. Możesz również dodać określony port po „udp”, jeśli chcesz dokładniej określić filtr.

Rada. Innym sposobem na skonfigurowanie filtrów przechwytywania jest kliknięcie w menu opcji „Przechwyć”, a następnie „Opcje”. Panel filtrów będzie znajdować się na dole interfejsu przechwytywania.

Wireshark Jak przechwytywać pakiety DHCP

Aby przechwytywać wyłącznie pakiety DHCP, musisz wprowadzić odpowiedni numer portu w filtrze przechwytywania. Użyj filtru przechwytywania „port 67” lub „port 68” lub kombinacji dwóch „port 67 lub port 68”, aby przechwycić pakiety DHCP.

Podobnie filtr wyświetlania może odfiltrować pakiety DHCP na ekranie przechwytywania. Należy jednak pamiętać, że filtry wyświetlania używają innej składni niż filtry przechwytywania. Musisz wpisać „udp.port == 68” w wierszu filtra wyświetlania.

Jak przechwytywać pakiety ping

Najlepszym sposobem przechwytywania pakietów ping (znanych również jako ruch echa ICMP) w programie Wireshark jest użycie filtru wyświetlania w trybie przechwytywania. Oto proces.

  • Otwórz Wireshark i rozpocznij proces przechwytywania, jak opisano powyżej.
  • Otwórz wiersz polecenia i pinguj wybrany adres.
  • Wróć do Wiresharka i zatrzymaj proces przechwytywania.
  • Utwórz filtr ping, wpisując „icmp” w wierszu filtra wyświetlania, a następnie naciskając klawisz Enter.

Na liście pakietów zobaczysz zarówno żądania, jak i odpowiedzi na ping.

Wireshark Jak przechwytywać pakiety z określonego adresu IP

Jeśli chcesz skoncentrować przechwytywanie na określonym adresie IP, przed rozpoczęciem przechwytywania wprowadź następujący filtr przechwytywania: „host [adres IP, który chcesz przechwycić]”. Na przykład, aby przechwycić pakiety powiązane z adresem IP 111.11.1.1, potrzebny będzie filtr „host 111.11.1.1” w panelu Capture Filters.

Możesz również określić, czy chcesz przechwytywać ruch do lub z określonego adresu IP, dodając na początku „src” jako źródło lub „dst” jako miejsce docelowe zamiast „host:”

  • wpisz „src 111.11.1.1” dla pakietów pochodzących z danego adresu IP
  • wpisz „dst 111.11.1.1” dla pakietów wysyłanych na dany adres IP

Oczywiście możesz połączyć te filtry, aby określić ruch, który chcesz przechwycić w następnej kolejności. Połącz oba filtry za pomocą „i”, aby przenieść pakiety między dwoma określonymi adresami IP. Na przykład „src 111.11.1.1 i dst 222.22.2.2” przechwyci tylko pakiety wysłane z 111.11.1.1 do 222.22.2.2.

Użyj filtrów wyświetlania, aby filtrować pakiety powiązane z określonym adresem IP w już przechwyconym zestawie danych. Dla powyższego adresu IP wpisz „ip.addr == 111.11.1.1” w wierszu filtra wyświetlania i tak dalej.

Często Zadawane Pytania

Jak przechwytywać pakiety routera w Wireshark?

Możesz przechwytywać pakiety routera za pomocą Wireshark tylko wtedy, gdy router obsługuje dublowanie portów. Najpierw musisz zdublować ruch do portu LAN. Proces może się różnić w zależności od urządzenia.

1. Przejdź do sekcji LAN, a następnie do mirroru portu LAN.

2. Włącz dublowanie portów.

3. Ustaw punkt początkowy i końcowy.

Jeśli możesz w ten sposób odzwierciedlić swój ruch, powinieneś być w stanie przechwycić pakiety routera normalnie w trybie przechwytywania Wireshark.

Dlaczego nie mogę przechwytywać pakietów w Wireshark?

Jeśli Wireshark nie przechwytuje pakietów, rozważ następujące opcje rozwiązywania problemów:

• Upewnij się, że nie masz włączonych zbyt konkretnych filtrów przechwytywania.

• Poszukaj aktualizacji programu Wireshark w menu Pomoc.

• Upewnij się, że zapora nie blokuje aplikacji Wireshark.

Jeśli żaden z powyższych czynników nie dotyczy Ciebie, problem jest najprawdopodobniej związany z Twoim sprzętem.

Muszę wszystko przejąć

Przechwytywanie pakietów za pomocą Wireshark zajmuje tylko kilka kliknięć. Będzie to prawdopodobnie najłatwiejsza część zadania rozwiązywania problemów. Przechwytuj cały ruch i filtruj pakiety później lub użyj filtrów przechwytywania, aby przechwycić tylko określony typ danych.

Czy dzięki tym wskazówkom udało Ci się uchwycić odpowiednie pakiety? Które filtry przechwytywania Wireshark uważasz za najbardziej przydatne? Daj nam znać w komentarzach poniżej.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *