Wireshark เป็นแอปพลิเคชันฟรีที่ช่วยให้คุณสามารถจับภาพและดูข้อมูลที่เดินทางไปมาบนเครือข่ายของคุณเพื่อให้สามารถเจาะลึกและอ่านเนื้อหาของแต่ละแพ็คเก็ตได้โดยกรองเพื่อตอบสนองความต้องการเฉพาะของคุณ โดยปกติจะใช้เพื่อแก้ไขปัญหาเครือข่ายรวมถึงการพัฒนาและทดสอบซอฟต์แวร์ เครื่องวิเคราะห์โปรโตคอลแบบโอเพนซอร์สนี้ได้รับการยอมรับอย่างกว้างขวางว่าเป็นมาตรฐานอุตสาหกรรมโดยได้รับรางวัลจากการได้รับรางวัลในช่วงหลายปีที่ผ่านมา
เดิมทีเรียกว่า Ethereal Wireshark มีอินเทอร์เฟซที่ใช้งานง่ายซึ่งสามารถแสดงข้อมูลจาก โปรโตคอลที่ แตกต่างกันนับร้อย ๆ ชนิดในทุกประเภทเครือข่ายหลัก ๆ แพ็คเก็ตข้อมูลเหล่านี้สามารถดูได้แบบเรียลไทม์หรือแบบออฟไลน์โดยมีรูปแบบไฟล์การจับภาพ / ร่องรรที่ได้รับการสนับสนุนหลายรูปแบบรวมทั้ง CAP และ ERF เครื่องมือถอดรหัสรวมช่วยให้คุณสามารถดูแพ็คเก็ตที่เข้ารหัสสำหรับโปรโตคอลที่เป็นที่นิยมหลายอย่างเช่น WEP และ WPA / WPA2
01 จาก 07
การดาวน์โหลดและติดตั้ง Wireshark
Wireshark สามารถดาวน์โหลดได้ฟรีจากเว็บไซต์ Wireshark Foundation ทั้งระบบปฏิบัติการ macOS และ Windows ถ้าคุณไม่ใช่ผู้ใช้ขั้นสูงขอแนะนำให้คุณดาวน์โหลดเฉพาะรุ่นล่าสุดที่มีเสถียรภาพเท่านั้น ในระหว่างขั้นตอนการตั้งค่า (เฉพาะ Windows) คุณควรเลือกติดตั้ง WinPcap ด้วยหากได้รับพร้อมท์เนื่องจากมีไลบรารีที่จำเป็นสำหรับการจับภาพข้อมูลสด
แอพพลิเคชันนี้ยังมีให้ใช้กับ Linux และแพลตฟอร์มยูนิกซ์อื่น ๆ เช่น Red Hat , Solaris และ FreeBSD ไบนารีที่จำเป็นสำหรับระบบปฏิบัติการเหล่านี้สามารถพบได้ที่ด้านล่างของหน้าดาวน์โหลดในส่วนของแพคเกจของบุคคลที่สาม
นอกจากนี้คุณยังสามารถดาวน์โหลดซอร์สโค้ด Wireshark จากหน้านี้
02 จาก 07
วิธีการจับข้อมูลแพ็คเก็ตข้อมูล
เมื่อคุณเปิดตัว Wireshark หน้าจอต้อนรับที่คล้ายกับที่แสดงไว้ข้างต้นควรจะมองเห็นได้ซึ่งจะมีรายการการเชื่อมต่อเครือข่ายที่พร้อมใช้งานบนอุปกรณ์ปัจจุบันของคุณ ในตัวอย่างนี้คุณจะสังเกตเห็นว่าประเภทการเชื่อมต่อต่อไปนี้จะแสดงขึ้น: การเชื่อมต่อ เครือข่ายบลูธูท , Ethernet , VirtualBox Host-Only Network , Wi-Fi ที่ด้านขวาของแต่ละหน้าจะเป็นกราฟเส้นแบบ EKG ที่แสดงถึงการเข้าชมแบบสดบนเครือข่ายนั้น ๆ
ก่อนอื่นให้เลือกเครือข่ายเหล่านี้อย่างน้อยหนึ่งรายการโดยคลิกที่ตัวเลือกของคุณและใช้ ปุ่ม Shift หรือ Ctrl ถ้าคุณต้องการบันทึกข้อมูลจากหลาย ๆ เครือข่ายพร้อม ๆ กัน เมื่อเลือกประเภทการเชื่อมต่อเพื่อเก็บภาพพื้นหลังของภาพจะถูกแรเงาด้วยสีฟ้าหรือสีเทา คลิกที่ Capture จากเมนูหลักซึ่งอยู่ด้านบนสุดของส่วนติดต่อ Wireshark เมื่อเมนูแบบเลื่อนลงปรากฏขึ้นให้เลือกตัวเลือก Start (เริ่ม )
คุณยังสามารถเริ่มต้นการจับภาพผ่านทางหนึ่งทางลัดต่อไปนี้ได้
- แป้นพิมพ์: กด Ctrl + E
- เมาส์: ในการเริ่มจับข้อมูลแพ็กเก็ตจากเครือข่ายหนึ่ง ๆ ให้ดับเบิลคลิกที่ชื่อ
- แถบเครื่องมือ: คลิกที่ปุ่มครีบฉลามสีฟ้าซึ่งอยู่ทางด้านซ้ายมือของแถบเครื่องมือ Wireshark
กระบวนการจับภาพสดจะเริ่มขึ้นโดยมีรายละเอียดแพ็คเก็ตที่แสดงในหน้าต่าง Wireshark ขณะที่บันทึก ดำเนินการอย่างใดอย่างหนึ่งต่อไปนี้เพื่อหยุดการจับภาพ
- แป้นพิมพ์: กด Ctrl + E
- แถบเครื่องมือ: คลิกที่ปุ่มหยุดสีแดงซึ่งอยู่ถัดจากครีบฉลามบนแถบเครื่องมือ Wireshark
03 จาก 07
การดูและวิเคราะห์เนื้อหาแพคเก็ต
ตอนนี้คุณได้บันทึกข้อมูลเครือข่ายบางอย่างแล้วถึงเวลาที่จะตรวจสอบแพ็คเก็ตที่ถ่ายแล้ว ดังที่แสดงในภาพหน้าจอด้านบนอินเทอร์เฟซข้อมูลที่จับได้มีสามส่วนหลักคือบานหน้าต่างรายการแพ็คเก็ตบานหน้าต่างรายละเอียดแพ็คเก็ตและบานหน้าต่างแพ็คเก็ตไบต์
รายการแพ็กเก็ต
บานหน้าต่างรายการแพ็กเกจซึ่งอยู่ที่ด้านบนของหน้าต่างจะแสดงแพ็คเก็ตทั้งหมดที่พบในไฟล์จับภาพที่ใช้งานอยู่ แต่ละแพ็กเก็ตมีแถวของตัวเองและหมายเลขที่ตรงกันซึ่งกำหนดให้กับแต่ละจุดข้อมูลเหล่านี้
- เวลา: เวลาประทับเมื่อจับ packet ถูกแสดงไว้ในคอลัมน์นี้โดยมีรูปแบบเริ่มต้นเป็นจำนวนวินาที (หรือบางส่วนวินาที) เนื่องจากไฟล์จับภาพเฉพาะนี้ถูกสร้างขึ้นครั้งแรก ในการแก้ไขรูปแบบนี้เป็นสิ่งที่อาจมีประโยชน์มากกว่าเช่นเวลาที่เกิดขึ้นจริงในวันเลือกอ็อพชัน Time Display Format จากเมนู มุมมอง Wireshark ซึ่งอยู่ที่ด้านบนของส่วนติดต่อหลัก
- แหล่งที่มา: คอลัมน์นี้มีที่อยู่ (IP หรืออื่น ๆ ) ที่มีต้นกำเนิดแพคเก็ต
- ปลายทาง: คอลัมน์นี้มีที่อยู่ที่ส่งแพ็กเก็ตไป
- Protocol: ชื่อโปรโตคอลของแพคเก็ต (เช่น TCP) สามารถพบได้ในคอลัมน์นี้
- ความยาว: ความยาว แพ็กเก็ตเป็นไบต์จะแสดงอยู่ในคอลัมน์นี้
- ข้อมูล: รายละเอียดเพิ่มเติมเกี่ยวกับแพคเก็ตจะถูกนำเสนอที่นี่ เนื้อหาของคอลัมน์นี้อาจแตกต่างกันไปขึ้นอยู่กับเนื้อหาของแพคเก็ต
เมื่อเลือกแพคเก็ตในบานหน้าต่างด้านบนคุณอาจเห็นหนึ่งหรือหลายสัญลักษณ์ปรากฏในคอลัมน์แรก วงเล็บเปิดและ / หรือปิดเช่นเดียวกับเส้นแนวนอนตรงๆสามารถระบุได้ว่าแพ็คเก็ตหรือกลุ่มของแพ็คเก็ตนั้นเป็นส่วนหนึ่งของการสนทนาแบบกลับไปกลับมาในเครือข่ายหรือไม่ เส้นแนวราบแสดงว่าแพ็คเก็ตไม่ใช่ส่วนหนึ่งของการสนทนาดังกล่าว
รายละเอียดแพ็กเก็ต
บานหน้าต่างรายละเอียดที่พบในช่วงกลางจะแสดงโปรโตคอลและฟิลด์โปรโตคอลของแพ็คเก็ตที่เลือกในรูปแบบที่ยุบได้ นอกจากการขยายการเลือกแต่ละรายการแล้วคุณยังสามารถใช้ตัวกรอง Wireshark แต่ละตัวตามรายละเอียดเฉพาะรวมทั้งติดตามข้อมูลจากประเภทโปรโตคอลผ่านทางเมนูบริบทรายละเอียดซึ่งสามารถเข้าถึงได้ด้วยการคลิกเมาส์ขวาบนรายการที่ต้องการภายในบานหน้าต่างนี้
ไบต์ Packet
ที่ด้านล่างเป็นบานหน้าต่างแพ็คเก็ตไบต์ซึ่งจะแสดงข้อมูลดิบของแพ็คเก็ตที่เลือกในมุมมองเลขฐานสิบหก การ ถ่ายโอนข้อมูล hex นี้ประกอบด้วยไบต์ฐานสิบหก 16 ตัวและไบต์ ASCII 16 ชุดพร้อมกับข้อมูลออฟเซต
โดยอัตโนมัติไฮไลต์ส่วนที่เกี่ยวข้องในบานหน้าต่างรายละเอียดแพคเก็ตและในทางกลับกัน ไบต์ใด ๆ ที่ไม่สามารถพิมพ์ได้แทนด้วยระยะเวลาหนึ่ง
คุณสามารถเลือกที่จะแสดงข้อมูลนี้ในรูปแบบบิตแทนที่จะเป็นเลขฐานสิบหกโดยคลิกขวาที่ใดก็ได้ภายในบานหน้าต่างและเลือกตัวเลือกที่เหมาะสมจากเมนูบริบท
04 จาก 07
ใช้ตัวกรอง Wireshark
คุณลักษณะที่สำคัญที่สุดชุดหนึ่งใน Wireshark คือความสามารถในการกรองข้อมูลโดยเฉพาะเมื่อคุณจัดการกับไฟล์ที่มีขนาดใหญ่ คุณสามารถตั้งค่าตัวกรองการจับภาพก่อนที่ข้อเท็จจริงจะสั่งให้ Wireshark บันทึกเฉพาะแพ็คเก็ตที่ตรงตามเกณฑ์ที่ระบุเท่านั้น
ตัวกรองยังสามารถใช้กับไฟล์การจับภาพที่สร้างขึ้นเพื่อให้มีการแสดงเฉพาะแพ็กเก็ตเท่านั้น เหล่านี้เรียกว่าตัวกรองการแสดงผล
Wireshark มีตัวกรองที่กำหนดไว้ล่วงหน้าเป็นจำนวนมากโดยค่าเริ่มต้นทำให้คุณสามารถ จำกัด จำนวนแพ็คเก็ตที่มองเห็นได้ด้วยการกดแป้นพิมพ์เพียงไม่กี่ครั้งหรือการคลิกเมาส์ หากต้องการใช้ตัวกรองที่มีอยู่เหล่านี้ให้วางชื่อไว้ในฟิลด์ ใช้ตัวกรองการแสดงผล (อยู่ตรงใต้แถบเครื่องมือ Wireshark) หรือในฟิลด์ป้อนข้อมูลรายการ ตัวกรองการจับภาพ (อยู่ตรงกลางของหน้าจอต้อนรับ)
มีหลายวิธีที่จะบรรลุเป้าหมายนี้ หากคุณรู้จักชื่อตัวกรองของคุณแล้วเพียงพิมพ์ลงในฟิลด์ที่เหมาะสม ตัวอย่างเช่นถ้าคุณต้องการแสดงเฉพาะ TCP packets คุณจะต้องพิมพ์ tcp คุณลักษณะการเติมข้อความอัตโนมัติของ Wireshark จะแสดงชื่อที่แนะนำเมื่อคุณเริ่มพิมพ์ช่วยให้หาชื่อเล่นที่ถูกต้องสำหรับตัวกรองที่คุณต้องการได้ง่ายขึ้น
อีกวิธีหนึ่งในการเลือกตัวกรองคือคลิกที่ไอคอนบุ๊กมาร์กที่ด้านซ้ายมือของฟิลด์ป้อนข้อมูล เมนูนี้จะแสดงเมนูที่มีตัวกรองที่ใช้โดยทั่วไปรวมถึงตัวเลือกใน การจัดการตัวกรองการจับภาพ หรือ จัดการตัวกรองดิสเพลย์ หากคุณเลือกที่จะจัดการทั้งสองแบบอินเตอร์เฟซจะปรากฏขึ้นเพื่อให้คุณสามารถเพิ่มลบหรือแก้ไขตัวกรองได้
นอกจากนี้คุณยังสามารถเข้าถึงตัวกรองที่ใช้งานก่อนหน้าได้ด้วยการเลือกลูกศรชี้ลงที่ด้านขวาของช่องป้อนข้อมูลซึ่งจะแสดงรายการแบบหล่นลงของประวัติ
เมื่อตั้งค่าตัวกรองการจับภาพจะถูกใช้ทันทีที่คุณเริ่มบันทึกการรับส่งข้อมูลในเครือข่าย หากต้องการใช้ตัวกรองการแสดงผลคุณจะต้องคลิกที่ปุ่มลูกศรขวาที่ด้านขวาสุดของฟิลด์ป้อนข้อมูล
05 จาก 07
กฎการระบายสี
ในขณะที่ตัวกรองการจับภาพและการแสดงผลของ Wireshark ช่วยให้คุณสามารถ จำกัด การแพ็คเก็ตใดที่ถูกบันทึกหรือแสดงบนหน้าจอฟังก์ชันการทำงานของสีจะใช้ขั้นตอนต่อไปโดยทำให้ง่ายต่อการแยกแยะระหว่างประเภทแพ็คเก็ตที่ต่างกันขึ้นอยู่กับแต่ละสี คุณลักษณะที่มีประโยชน์นี้ช่วยให้คุณสามารถค้นหาแพ็คเก็ตบางชุดภายในชุดที่บันทึกไว้โดยโทนสีของแถวในบานหน้าต่างรายการแพ็คเก็ต
Wireshark มาพร้อมกับกฎสีประมาณ 20 สีที่สร้างไว้ แต่ละอันสามารถแก้ไขปิดหรือลบได้หากต้องการ นอกจากนี้คุณยังสามารถเพิ่มตัวกรองที่ใช้การแรเงาใหม่โดยใช้อินเทอร์เฟซสำหรับกฎการกำหนดสีเพื่อเข้าถึงได้จากเมนู มุมมอง นอกเหนือจากการกำหนดชื่อและเกณฑ์การกรองสำหรับแต่ละกฎคุณจะได้รับคำขอให้เชื่อมโยงทั้งสีพื้นหลังและสีข้อความ
การปรับสีแพ็คเก็ตสามารถเปิดและปิดได้โดยใช้ตัวเลือก Colorize Packet List นอกจากนี้ยังพบได้จากเมนู มุมมอง
06 จาก 07
สถิติ
นอกเหนือจากข้อมูลรายละเอียดเกี่ยวกับข้อมูลเครือข่ายของคุณที่แสดงในหน้าต่างหลักของ Wireshark แล้วเมตริกที่เป็นประโยชน์อื่น ๆ ยังมีอยู่ในเมนูแบบเลื่อนลง สถิติที่ พบในส่วนบนสุดของหน้าจอ ข้อมูลเหล่านี้รวมถึงข้อมูลขนาดและเวลาเกี่ยวกับไฟล์การจับภาพเองพร้อมกับแผนภูมิและกราฟที่หลากหลายในหัวข้อจากการแจกแจงการสนทนาของแพคเก็ตเพื่อโหลดการแจกจ่ายคำขอ HTTP
ตัวกรองดิสเพลย์สามารถใช้กับสถิติจำนวนมากเหล่านี้ได้ผ่านทางอินเทอร์เฟซแต่ละส่วนและสามารถส่งออกผลลัพธ์ไปยังรูปแบบไฟล์ทั่วไปหลายรูปแบบเช่น CSV , XML และ TXT
07 จาก 07
คุณสมบัติขั้นสูง
แม้ว่าเราจะครอบคลุมฟังก์ชันการทำงานหลัก ๆ ของ Wireshark ในบทความนี้แล้ว แต่ยังมีชุดคุณลักษณะเพิ่มเติมที่พร้อมใช้งานในเครื่องมือที่มีประสิทธิภาพนี้ซึ่งโดยปกติแล้วจะสงวนไว้สำหรับผู้ใช้ขั้นสูง ซึ่งรวมถึงความสามารถในการเขียน dissectors โปรโตคอลของคุณเองในภาษาการเขียนโปรแกรม Lua
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับคุณลักษณะขั้นสูงเหล่านี้โปรดดูคู่มือผู้ใช้ Wireshark อย่างเป็นทางการ