Bagaimana Menggunakan Wireshark untuk Menangkap, Menyaring dan Memeriksa Paket
Wireshark, alat analisis rangkaian yang dahulu dikenali sebagai Ethereal, menangkap paket dalam masa nyata dan memaparkannya dalam format yang dapat dibaca manusia. Wireshark termasuk penapis, pengekodan warna, dan ciri-ciri lain yang membolehkan anda menggali jauh ke dalam trafik rangkaian dan memeriksa paket individu.
Tutorial ini akan memberikan anda kelajuan dengan asas-asas menangkap paket, menapis mereka, dan memeriksa mereka. Anda boleh menggunakan Wireshark untuk memeriksa lalu lintas rangkaian program yang mencurigakan, menganalisa aliran trafik di rangkaian anda, atau menyelesaikan masalah rangkaian.
Mendapatkan Wireshark
Anda boleh memuat turun Wireshark untuk Windows atau macOS dari laman web rasminya. Jika anda menggunakan Linux atau sistem lain seperti UNIX, anda mungkin akan mendapati Wireshark dalam repositori pakejnya. Sebagai contoh, jika anda menggunakan Ubuntu, anda akan mendapati Wireshark di Pusat Perisian Ubuntu.
Amaran ringkas: Banyak organisasi tidak membenarkan Wireshark dan alat yang serupa di rangkaian mereka. Jangan gunakan alat ini di tempat kerja kecuali anda mempunyai kebenaran.
Menangkap Paket
Selepas memuat turun dan memasang Wireshark, anda boleh melancarkannya dan klik dua kali nama antara muka rangkaian di bawah Capture untuk mula menangkap paket pada antara muka itu. Sebagai contoh, jika anda ingin menangkap trafik pada rangkaian wayarles anda, klik antara muka wayarles anda. Anda boleh mengkonfigurasi ciri-ciri canggih dengan mengklik Tangkap> Pilihan, tetapi ini tidak perlu untuk sekarang.
Sebaik sahaja anda mengklik nama antara muka, anda akan melihat paket mula muncul dalam masa nyata. Wireshark menangkap setiap paket yang dihantar ke atau dari sistem anda.
Sekiranya anda mempunyai mod promiscuous enabled-ia diaktifkan secara lalai-anda juga akan melihat semua paket lain pada rangkaian dan bukan hanya paket yang dialamatkan kepada penyesuai rangkaian anda. Untuk memeriksa sama ada mod rambang diaktifkan, klik Tangkap> Pilihan dan sahkan kotak semak "Dayakan mod rambang pada semua antara muka" diaktifkan di bahagian bawah tetingkap ini.
Klik butang "Hentikan" merah berhampiran sudut kiri atas tetingkap apabila anda ingin berhenti menangkap lalu lintas.
Pengekodan Warna
Anda mungkin akan melihat paket yang diserlahkan dalam pelbagai warna yang berbeza. Wireshark menggunakan warna untuk membantu anda mengenal pasti jenis lalu lintas dengan pantas. Secara lalai, cahaya ungu adalah trafik TCP, biru cahaya adalah lalu lintas UDP, dan hitam mengenalpasti paket dengan ralat-contohnya, mereka dapat disingkirkan dari perintah.
Untuk melihat dengan tepat kod warna, klik Lihat> Peraturan Pewarna. Anda juga boleh menyesuaikan dan mengubah peraturan pewarna dari sini, jika anda suka.
Menangkap Sampel
Jika tidak ada yang menarik pada rangkaian anda sendiri untuk diperiksa, wiki Wireshark anda telah dilindungi. Wiki ini mengandungi halaman fail tangkapan sampel yang boleh anda muatkan dan periksa. Klik Fail> Terbuka dalam Wireshark dan semak imbas fail yang anda muat turun untuk membuka satu.
Anda juga boleh menyimpan tangkapan anda sendiri dalam Wireshark dan membukanya kemudian. Klik Fail> Simpan untuk menyimpan paket yang ditangkap anda.
Packet Penapis
Jika anda cuba memeriksa sesuatu yang spesifik, seperti lalu lintas yang dihantar oleh sebuah program apabila memanggil rumah, ia membantu menutup semua aplikasi lain menggunakan rangkaian supaya anda boleh mengecil lalu lintas. Namun, anda mungkin akan mempunyai sejumlah besar paket untuk dihidupkan. Itulah di mana penapis Wireshark masuk.
Cara paling asas untuk memohon penapis adalah dengan menaipnya ke dalam kotak penapis di bahagian atas tetingkap dan mengklik Memohon (atau menekan Enter). Sebagai contoh, taipkan "dns" dan anda akan melihat hanya paket DNS. Apabila anda mula menaip, Wireshark akan membantu anda menyiapkan autolengkap penapis anda.
Anda juga boleh mengklik Analyze> Filter Papar untuk memilih penapis daripada antara penapis lalai yang termasuk dalam Wireshark. Dari sini, anda boleh menambah penapis tersuai anda sendiri dan menyimpannya untuk mengaksesnya dengan mudah pada masa hadapan.
Untuk maklumat lanjut mengenai bahasa penapisan Paparan Wireshark, baca halaman ungkapan penapis paparan Bangunan dalam dokumentasi Wireshark rasmi.
Satu lagi perkara menarik yang boleh anda lakukan ialah klik kanan pada satu paket dan pilih Ikuti> TCP Stream.
Anda akan melihat perbualan TCP penuh antara pelanggan dan pelayan. Anda juga boleh mengklik protokol lain dalam menu Ikut untuk melihat perbualan penuh untuk protokol lain, jika berkenaan.
Tutup tetingkap dan anda akan mendapati penapis telah digunakan secara automatik. Wireshark menunjukkan anda paket yang membentuk perbualan.
Memeriksa paket
Klik satu paket untuk memilihnya dan anda boleh menggali ke bawah untuk melihat butirannya.
Anda juga boleh membuat penapis dari sini - cuma klik kanan salah satu butiran dan gunakan submenu Terap sebagai Penapis untuk membuat penapis berdasarkannya.
Wireshark adalah alat yang sangat berkuasa, dan tutorial ini hanya menggaru permukaan apa yang boleh anda lakukan dengannya. Profesional menggunakannya untuk mengimplementasikan pelaksanaan protokol rangkaian, memeriksa masalah keselamatan dan memeriksa internals protokol rangkaian.
Anda boleh mendapatkan maklumat lebih terperinci dalam Panduan Pengguna Wireshark rasmi dan halaman dokumentasi lain di laman web Wireshark.