Vigtigste Netværk Sådan læser du pakker i Wireshark

Sådan læser du pakker i Wireshark



For mange it-eksperter er Wireshark det bedste værktøj til netværkspakkeanalyse. Open source-softwaren giver dig mulighed for nøje at undersøge de indsamlede data og bestemme roden til problemet med forbedret nøjagtighed. Desuden fungerer Wireshark i realtid og bruger farvekodning til at vise de fangede pakker, blandt andre smarte mekanismer.

Sådan læser du pakker i Wireshark

I denne vejledning forklarer vi, hvordan du fanger, læser og filtrerer pakker ved hjælp af Wireshark. Nedenfor finder du trin-for-trin instruktioner og opdelinger af de grundlæggende netværksanalysefunktioner. Når du mestrer disse grundlæggende trin, vil du være i stand til at inspicere trafikstrømmen på dit netværk og fejlfinde problemer med mere effektivitet.

Analyse af pakker

Når pakkerne er fanget, organiserer Wireshark dem i en detaljeret pakkelisterude, der er utrolig nem at læse. Hvis du vil have adgang til oplysningerne vedrørende en enkelt pakke, skal du blot finde den på listen og klikke. Du kan også udvide træet yderligere for at få adgang til detaljerne for hver protokol indeholdt i pakken.

For at få et mere omfattende overblik kan du vise hver opsamlet pakke i et separat vindue. Sådan gør du:

hvordan man bliver forbudt fra en discord-server
  1. Vælg pakken fra listen med markøren, og højreklik derefter.
  2. Åbn fanen Vis fra værktøjslinjen ovenfor.
  3. Vælg Vis pakke i nyt vindue fra rullemenuen.

Bemærk: Det er meget nemmere at sammenligne de optagne pakker, hvis du bringer dem op i separate vinduer.

Som nævnt bruger Wireshark et farvekodningssystem til datavisualisering. Hver pakke er markeret med en anden farve, der repræsenterer forskellige typer trafik. For eksempel er TCP-trafik normalt fremhævet med blåt, mens sort bruges til at angive pakker, der indeholder fejl.

Selvfølgelig behøver du ikke huske betydningen bag hver farve. I stedet kan du tjekke på stedet:

  1. Højreklik på den pakke, du ønsker at undersøge.
  2. Vælg fanen Vis fra værktøjslinjen øverst på skærmen.
  3. Vælg Farveregler fra rullemenuen.

Du vil se muligheden for at tilpasse farvelægningen til din smag. Men hvis du kun vil ændre farvereglerne midlertidigt, skal du følge disse trin:

  1. Højreklik på pakken i pakkelisteruden.
  2. Vælg Farvelæg med filter på listen over muligheder.
  3. Vælg den farve, du vil mærke den med.

Nummer

Pakkelisteruden viser dig det nøjagtige antal optagne databits. Da pakkerne er organiseret i flere kolonner, er det ret nemt at fortolke. Standardkategorierne er:

  • Nr. (Antal): Som nævnt kan du finde det nøjagtige antal opsamlede pakker i denne kolonne. Cifrene forbliver de samme, selv efter at dataene er filtreret.
  • Tid: Som du måske har gættet, vises pakkens tidsstempel her.
  • Kilde: Det viser, hvor pakken stammer fra.
  • Destination: Det viser det sted, hvor pakken vil blive opbevaret.
  • Protokol: Den viser navnet på protokollen, typisk i en forkortelse.
  • Længde: Det viser antallet af bytes indeholdt i den opfangede pakke.
  • Info: Kolonnen indeholder yderligere oplysninger om en bestemt pakke.

Tid

Da Wireshark analyserer netværkstrafikken, bliver hver fanget pakke tidsstemplet. Tidsstemplerne er derefter inkluderet i pakkelisteruden og tilgængelige for senere inspektion.

Wireshark opretter ikke selv tidsstemplerne. I stedet henter analysatorværktøjet dem fra Npcap-biblioteket. Kilden til tidsstemplet er dog faktisk kernen. Det er derfor, nøjagtigheden af ​​tidsstemplet kan variere fra fil til fil.

Du kan vælge det format, som tidsstemplerne skal vises i på pakkelisten. Derudover kan du indstille den foretrukne præcision eller antallet af decimaler, der vises. Udover standardpræcisionsindstillingen er der også:

  • Sekunder
  • Tiendedele af et sekund
  • Hundrededele af et sekund
  • Millisekunder
  • Mikrosekunder
  • Nanosekunder

Kilde

Som navnet antyder, er pakkens kilde oprindelsesstedet. Hvis du ønsker at hente kildekoden til et Wireshark-lager, kan du downloade det ved at bruge en Git-klient. Metoden kræver dog, at du har en GitLab-konto. Det er muligt at gøre det uden en, men det er bedre at tilmelde sig for en sikkerheds skyld.

Når du har registreret en konto, skal du følge disse trin:

  1. Sørg for, at Git er funktionel ved at bruge denne kommando: |_+_|
  2. Dobbelttjek, om din e-mailadresse og dit brugernavn er konfigureret.
  3. Lav derefter en klon af Workshark-kilden. Brug |_+_| SSH URL for at lave kopien.
  4. Hvis du ikke har en GitLab-konto, så prøv HTTPS URL: |_+_|

Alle kilderne vil efterfølgende blive kopieret til din enhed. Husk, at kloningen kan tage et stykke tid, især hvis du har en træg netværksforbindelse.

Bestemmelsessted

Hvis du vil kende IP-adressen på en bestemt pakkes destination, kan du bruge displayfilteret til at finde den. Sådan gør du:

  1. Indtast |_+_| ind i Wireshark-filterboksen. Klik derefter på Enter.
  2. Pakkelisteruden bliver kun omkonfigureret til at vise pakkedestinationen. Find den IP-adresse, du er interesseret i, ved at rulle gennem listen.
  3. Når du er færdig, skal du vælge Ryd fra værktøjslinjen for at omkonfigurere pakkelisteruden.

Protokol

En protokol er en retningslinje, der bestemmer datatransmissionen mellem forskellige enheder, der er tilsluttet det samme netværk. Hver Wireshark-pakke indeholder en protokol, og du kan hente den frem ved at bruge displayfilteret. Sådan gør du:

  1. Øverst i Wireshark-vinduet skal du klikke på dialogboksen Filter.
  2. Indtast navnet på den protokol, du vil undersøge. Typisk er protokoltitler skrevet med små bogstaver.
  3. Klik på Enter eller Anvend for at aktivere visningsfilteret.

Længde

Længden af ​​en Wireshark-pakke bestemmes af antallet af bytes, der er fanget i det pågældende netværksstykke. Dette tal svarer normalt til antallet af rådatabytes, der er angivet nederst i Wireshark-vinduet.

Hvis du vil undersøge fordelingen af ​​længder, skal du åbne vinduet Pakkelængder. Al information er opdelt i følgende kolonner:

  • Pakkelængder
  • Tælle
  • Gennemsnit
  • Min Val / Max Val
  • Sats
  • Procent
  • Burst rate
  • Burst start

Info

Hvis der er nogen uregelmæssigheder eller lignende elementer i en bestemt fanget pakke, vil Wireshark notere det. Oplysningerne vil derefter blive vist i pakkelisteruden til yderligere undersøgelse. På den måde har du et klart billede af atypisk netværksadfærd, hvilket vil resultere i hurtigere reaktioner.

Yderligere ofte stillede spørgsmål

Hvordan kan jeg filtrere pakkedataene?

Filtrering er en effektiv funktion, der giver dig mulighed for at se nærmere på en bestemt datasekvens. Der er to typer Wireshark-filtre: capture og display. Capture-filtre er der for at begrænse pakkefangsten, så den passer til specifikke krav. Med andre ord kan du gennemse forskellige typer trafik ved at anvende et opsamlingsfilter. Som navnet antyder, giver displayfiltre dig mulighed for at finpudse et bestemt element i pakken, fra pakkelængde til protokol.

Anvendelse af et filter er en ret ligetil proces. Du kan skrive filtertitlen i dialogboksen øverst i Wireshark-vinduet. Derudover vil softwaren normalt automatisk udfylde navnet på filteret.

Alternativt, hvis du vil finkæmme standard Wireshark-filtrene, skal du gøre følgende:

1. Åbn fanen Analyser på værktøjslinjen øverst i Wireshark-vinduet.

hvordan man lægger musik på en ipod uden itunes

2. Vælg Display Filter på rullelisten.

3. Gennemse listen, og klik på den, du vil anvende.

Endelig er her nogle almindelige Wireshark-filtre, der kan være nyttige:

• For kun at se kilde- og destinations-IP-adressen, brug: |_+_|

• For kun at se SMTP-trafik, skriv: |_+_|

• For at fange al undernettrafik skal du anvende: |_+_|

• For at fange alt undtagen ARP- og DNS-trafikken, brug: |_+_|

Hvordan fanger jeg pakkedataene i Wireshark?

Når du har downloadet Wireshark til din enhed, kan du begynde at overvåge din netværksforbindelse. For at indfange datapakker til en omfattende analyse er her, hvad du skal gøre:

1. Start Wireshark. Du vil se en liste over tilgængelige netværk, så klik på det, du vil undersøge. Du kan også anvende et opsamlingsfilter, hvis du vil udpege typen af ​​trafik.

2. Hvis du ønsker at inspicere flere netværk, skal du bruge Shift + venstre-klik-kontrollen.

3. Klik derefter på hajfinneikonet yderst til venstre på værktøjslinjen ovenfor.

4. Du kan også starte optagelsen ved at klikke på fanen Capture og vælge Start fra rullelisten.

5. En anden måde at gøre det på er at bruge kontrol – E tastetryk.

Når softwaren griber dataene, vil du se dem vises på pakkelisteruden i realtid.

Shark Byte

Selvom Wireshark er en meget avanceret netværksanalysator, er den overraskende nem at fortolke. Pakkelisteruden er ekstremt omfattende og velorganiseret. Al information er fordelt i syv forskellige farver og markeret med tydelige farvekoder.

Desuden kommer open source-softwaren med en række let anvendelige filtre, der letter overvågningen. Ved at aktivere et opsamlingsfilter kan du finde ud af, hvilken slags trafik du ønsker, at Wireshark skal analysere. Og når først dataene er grebet, kan du anvende flere visningsfiltre til specificerede søgninger. Alt i alt er det en yderst effektiv mekanisme, som ikke er for svær at mestre.

Bruger du Wireshark til netværksanalyse? Hvad synes du om filtreringsfunktionen? Fortæl os i kommentarerne nedenfor, hvis der er en nyttig pakkeanalysefunktion, vi sprang over.

Interessante Artikler

Royale Noir Visual Style Theme til Windows 8

Royale Noir Visual Style Theme til Windows 8

802.11 Forklarede standarder: 802.11ax, 802.11ac, 802.11b/g/n, 802.11a

802.11 Forklarede standarder: 802.11ax, 802.11ac, 802.11b/g/n, 802.11a

Redaktørens Valg

Sådan slukkes zoomtilstand på et Vizio TV
Sådan slukkes zoomtilstand på et Vizio TV
Er du en af ​​de stakkels sjæle med et Vizio TV, der er indstillet til en bestemt zoomtilstand? Er du træt af, at folks ansigter er superzoomede? Måske er du træt af at have toppe og bund på
Tag Archives: Windows 10 mørkt tema
Tag Archives: Windows 10 mørkt tema
Tilføj Kør som en anden bruger til Start-menuen i Windows 10
Tilføj Kør som en anden bruger til Start-menuen i Windows 10
I dag vil vi se, hvordan du tilføjer kommandoen 'Kør som anden bruger' til kontekstmenuen i Start-menuen i Windows 10 ved hjælp af to metoder.
Sådan spejles Android på en pc eller bærbar computer
Sådan spejles Android på en pc eller bærbar computer
Med så mange enheder, som folk bruger dagligt, synes det at være det mest naturlige at ønske at forbinde dem med hinanden. Afhængigt af kombinationen af ​​enheder, du har, kan dette være en ret ligetil opgave.
Windows 10 sikkerhedsopdateringer, 14. januar 2020
Windows 10 sikkerhedsopdateringer, 14. januar 2020
Microsoft udgav i dag et sæt kumulative opdateringer til alle understøttede Windows 10-versioner. Opdateringerne løser en kritisk sårbarhed i Windows 10. Her er nogle vigtige detaljer relateret til disse opdateringer: Annonce CVE-2020-0601 Der findes en spoofing-sårbarhed i den måde, hvorpå Windows CryptoAPI (Crypt32.dll) validerer Elliptic Curve Cryptography (ECC) -certifikater. En angriber kunne udnytte sårbarheden
En skjult måde at åbne kommandoprompten på i Windows 10
En skjult måde at åbne kommandoprompten på i Windows 10
Du kender muligvis allerede de mange måder, hvorpå du kan åbne en forhøjet kommandoprompt i Windows 10. Her er endnu en måde, en hemmelig skjult.
Sådan får du vist Gmail-loginhistorik
Sådan får du vist Gmail-loginhistorik
https://www.youtube.com/watch?v=2U__FYom4vs Gmail, Googles gratis og populære e-mail-tjeneste, informerer sine brugere om enhver mistænkelig aktivitet på deres konto. Dette inkluderer eventuelle mistænkelige nye logins. Hver gang du bruger en ny enhed (som en