Hemsida » hur » Så här använder du Wireshark för att fånga, filtrera och inspektera paket

    Så här använder du Wireshark för att fånga, filtrera och inspektera paket

    Wireshark, ett nätverksanalysverktyg som tidigare kallas Ethereal, fångar paket i realtid och visar dem i läsbar format. Wireshark innehåller filter, färgkodning och andra funktioner som gör att du kan gräva djupt in i nätverkstrafik och inspektera enskilda paket.

    Denna handledning ger dig snabbhet med grunderna för att fånga paket, filtrera dem och inspektera dem. Du kan använda Wireshark för att inspektera ett misstänkt programs nätverkstrafik, analysera trafikflödet i ditt nätverk eller felsöka nätverksproblem.

    Kommer Wireshark

    Du kan ladda ner Wireshark för Windows eller MacOS från dess officiella hemsida. Om du använder Linux eller ett annat UNIX-liknande system, hittar du förmodligen Wireshark i dess paketförråd. Om du till exempel använder Ubuntu hittar du Wireshark i Ubuntu Software Center.

    Bara en snabb varning: Många organisationer tillåter inte Wireshark och liknande verktyg på sina nätverk. Använd inte verktyget på jobbet om du inte har behörighet.

    Fånga paket

    Efter att du har laddat ner och installerat Wireshark kan du starta det och dubbelklicka på namnet på ett nätverksgränssnitt under Capture för att börja spela in paket på det gränssnittet. Om du till exempel vill fånga trafik på ditt trådlösa nätverk klickar du på ditt trådlösa gränssnitt. Du kan konfigurera avancerade funktioner genom att klicka på Capture> Options, men det är inte nödvändigt för nu.

    Så snart du klickar på gränssnittets namn ser du att paketen börjar visas i realtid. Wireshark fångar varje paket som skickas till eller från ditt system.

    Om du har ett promiskuöst läge aktiverat - det är aktiverat som standard - du ser även alla andra paket på nätverket istället för endast paket som är adresserade till nätverksadaptern. För att kontrollera om promiscuous läge är aktiverat, klicka på Capture> Options och bekräfta "Aktivera promiskuous läge på alla gränssnitt" kryssrutan är aktiverad längst ner i det här fönstret.

    Klicka på den röda knappen "Stop" nära det övre vänstra hörnet av fönstret när du vill sluta fånga trafik.

    Färgkodning

    Du ser noga paket som är markerade i en mängd olika färger. Wireshark använder färger för att hjälpa dig att identifiera de olika typerna av trafik på ett ögonkast. Ljusblå är som standard TCP-trafik, ljusblå är UDP-trafik och svart identifierar paket med fel, till exempel, de kunde ha levererats i ordning.

    För att se exakt vad färgkoderna betyder, klicka på Visa> Färgregler. Du kan också anpassa och ändra färgreglerna härifrån, om du vill.

    Provtagningar

    Om det inte finns något intressant på ditt eget nätverk för att inspektera, har Wiresharks wiki tagit dig. Wikien innehåller en sida med provinspelningsfiler som du kan ladda och inspektera. Klicka på Arkiv> Öppna i Wireshark och leta efter din nedladdade fil för att öppna en.

    Du kan också spara dina egna fångar i Wireshark och öppna dem senare. Klicka på Arkiv> Spara för att spara dina fångade paket.

    Filtrera paket

    Om du försöker inspektera något specifikt, som det trafik som ett program skickar när du ringer hem, hjälper det att stänga alla andra program via nätverket så att du kan begränsa trafiken. Fortfarande kommer du sannolikt att ha en stor mängd paket att siktas igenom. Det är där Wiresharks filter kommer in.

    Det mest grundläggande sättet att tillämpa ett filter är att skriva det i filterrutan högst upp i fönstret och klicka på Apply (eller tryck på Enter). Skriv till exempel "dns" och du får bara se DNS-paket. När du börjar skriva, hjälper Wireshark dig att fylla i ditt filter automatiskt.

    Du kan också klicka på Analysera> Visa filter för att välja ett filter bland de vanliga filtren som ingår i Wireshark. Härifrån kan du lägga till egna filter och spara dem för att enkelt komma åt dem i framtiden.

    För mer information om Wiresharks visningsfiltreringsspråk, läs sidan Byggsättningsfilterfilter uttryck i den officiella Wireshark-dokumentationen.

    En annan intressant sak du kan göra är att högerklicka på ett paket och välj Följ> TCP Stream.

    Du får se hela TCP-konversationen mellan klienten och servern. Du kan också klicka på andra protokoll i Follow-menyn för att se de fullständiga konversationerna för andra protokoll, om tillämpligt.

    Stäng fönstret och du hittar ett filter har applicerats automatiskt. Wireshark visar dig de paket som utgör samtalet.

    Inspektera paket

    Klicka på ett paket för att välja det och du kan gräva ner för att visa detaljerna.

    Du kan också skapa filter härifrån - högerklicka på en av detaljerna och använd undermenyn Apply as Filter för att skapa ett filter baserat på det.


    Wireshark är ett extremt kraftfullt verktyg, och denna handledning skrapar bara ytan på vad du kan göra med det. Professionella använder det för att felsöka nätverksprotokollsimplementeringar, undersöka säkerhetsproblem och inspektera nätverksprotokollinternals.

    Du hittar mer detaljerad information i Wireshark användarhandbok och övriga dokumentationssidor på Wiresharks webbplats.