Как перехватывать пакеты в WireShark

Wireshark — это бесценный инструмент сетевого анализа, который переводит данные, проходящие через ваши сети, в удобочитаемый формат. Вы можете выявлять проблемы с сетью или безопасностью, отлаживать реализацию протокола или просто отслеживать трафик, перехватывая пакеты с помощью Wireshark.

Внимательно изучите, что происходит в вашей сети, собирая именно ту информацию, которая вам нужна. Вот как перехватывать различные типы пакетов в Wireshark.

Как перехватывать пакеты

Запуск процесса захвата в Wireshark занимает всего несколько кликов. Все, что вам нужно сделать, это запустить режим захвата, и данные начнут поступать без фильтрации. Хотя этот нефильтрованный режим отлично подходит, когда вам нужен полный отчет о том, что происходит, объем данных, собранных таким образом, может быть ошеломляющим. Чтобы сделать его более управляемым, вы можете использовать фильтры и собирать только данные определенного типа. Ниже вы найдете инструкции для этого.

А пока давайте посмотрим, как начать перехватывать все пакеты в Wireshark:

1. Убедитесь, что у вас установлена ​​последняя версия Wireshark. Вы можете скачать программу бесплатно с официального сайта Wireshark .
   
   
2. Запустить программу. Вас встретит экран приветствия со списком обнаруженных сетей.
   
3. Начните захват пакетов одним из следующих способов:
   • Дважды щелкните выбранную сеть в списке.
     
   • Выберите один или несколько сетевых интерфейсов, затем щелкните значок плавника акулы на панели инструментов или «Захват», затем «Пуск» в строке меню.
     
     

Примечание. Вы можете настроить параметры захвата, такие как беспорядочный режим, до начала работы, нажав «Захват», а затем «Параметры».

Как только вы нажмете сетевой интерфейс или кнопку запуска, вы попадете на экран захвата. Вы увидите, как Wireshark захватывает пакеты данных в режиме реального времени. Удовлетворившись объемом собранных данных, вы можете остановить захват, нажав красную кнопку остановки на верхней панели инструментов. Начните анализировать данные прямо сейчас или сохраните их на потом, нажав «Файл», а затем «Сохранить как…» в строке меню.

Как перехватывать UDP-пакеты

Выполнение описанных выше шагов предложит программе захватить все пакеты. Хотя различные типы трафика легко различимы в Wireshark благодаря цветовому кодированию, вам все равно придется просеивать большое количество данных. Если вы ищете информацию только об определенных пакетах, вы можете использовать фильтры, чтобы облегчить себе работу.

Wireshark поддерживает фильтры захвата и отображения. Использование фильтра захвата будет означать, что программа захватывает только определенные вами пакеты. Фильтры отображения просто фильтруют уже захваченные пакеты. Два фильтра работают по-разному и используют разные команды, поэтому вам нужно решить, какой из них лучше всего соответствует вашим потребностям.

Если вы хотите захватить только UDP-трафик, используйте фильтр захвата перед началом процесса захвата.

1. Запустите Wireshark.
   
2. Найдите панель фильтра захвата на экране приветствия. Это тот, который находится прямо над вашим списком сетей.
   
3. Введите «udp» в строке фильтра захвата и нажмите Enter, чтобы начать захват UDP-трафика. Вы также можете добавить конкретный порт после «udp», если хотите дополнительно указать свой фильтр.
   

Совет. Другой способ настроить фильтры захвата — нажать «Захват», затем «Параметры» в меню. Панель фильтров будет находиться в нижней части интерфейса захвата.

Wireshark Как перехватывать пакеты DHCP

Чтобы перехватывать исключительно пакеты DHCP, вам необходимо ввести соответствующий номер порта в фильтр захвата. Используйте фильтр захвата «порт 67» или «порт 68» или комбинацию двух «порт 67 или порт 68» для захвата пакетов DHCP.

Точно так же фильтр дисплея может отфильтровывать пакеты DHCP на экране захвата. Однако помните, что фильтры отображения используют другой синтаксис, чем фильтры захвата. Вам нужно будет ввести «udp.port == 68» в строке фильтра дисплея.

Как перехватывать пинг-пакеты

Лучший способ захвата пакетов ping (также известных как эхо-трафик протокола управляющих сообщений Интернета (ICMP)) в Wireshark — использование фильтра отображения в режиме захвата. Вот процесс.

1. Откройте Wireshark и запустите процесс захвата, как описано выше.
   
2. Откройте командную строку и пропингуйте адрес по вашему выбору.
   
3. Вернитесь в Wireshark и остановите процесс захвата.
   
4. Создайте фильтр для ping-пакетов, введя «icmp» в строке фильтра дисплея, а затем нажмите Enter.
   

Вы увидите как запросы, так и ответы на пинг в списке пакетов.

Wireshark Как перехватывать пакеты с определенного IP-адреса

Если вы хотите сосредоточить захват на определенном IP-адресе, введите следующий фильтр захвата перед началом захвата: «хост [IP-адрес, который вы хотите записать]». Например, для захвата пакетов, связанных с IP-адресом 111.11.1.1, потребуется фильтр «хост 111.11.1.1» на панели фильтров захвата.

Вы также можете указать, хотите ли вы перехватывать трафик на определенный IP-адрес или с него, добавив «src» для источника или «dst» для назначения в начале вместо «host:»

• введите «src 111.11.1.1» для пакетов, приходящих с рассматриваемого IP-адреса
• введите «dst 111.11.1.1» для пакетов, отправляемых на рассматриваемый IP-адрес

Естественно, вы можете комбинировать эти фильтры, чтобы указать трафик, который вы хотите захватить в дальнейшем. Соедините два фильтра с помощью «и», чтобы пакеты перемещались между двумя заданными вами IP-адресами. Например, «src 111.11.1.1 и dst 222.22.2.2» будут захватывать только пакеты, отправленные с 111.11.1.1 на 222.22.2.2.

Используйте фильтры отображения для фильтрации пакетов, связанных с определенным IP-адресом, в уже захваченном наборе данных. Для вышеупомянутого IP-адреса введите «ip.addr == 111.11.1.1» в строке фильтра дисплея и так далее.

Часто задаваемые вопросы

Как перехватить пакеты маршрутизатора в Wireshark?

Вы можете перехватывать пакеты маршрутизатора с помощью Wireshark, только если ваш маршрутизатор поддерживает зеркалирование портов. Во-первых, вам нужно зеркалировать трафик на порт LAN. Процесс может отличаться в зависимости от вашего устройства.

1. Перейдите в раздел LAN, а затем в зеркало порта LAN.

2. Включите зеркалирование портов.

3. Настройте исходную и конечную точки.

Если вы можете отразить свой трафик таким образом, вы сможете нормально захватывать пакеты маршрутизатора в режиме захвата Wireshark.

Почему я не могу перехватывать пакеты в Wireshark?

Если ваш Wireshark не перехватывает пакеты, рассмотрите следующие возможности для устранения проблемы:

• Убедитесь, что у вас не включены чрезмерно специфичные фильтры захвата.

• Ищите обновления Wireshark в меню «Справка».

• Убедитесь, что брандмауэр не блокирует ваше приложение Wireshark.

Если ни один из вышеперечисленных факторов не относится к вам, проблема, скорее всего, связана с вашим оборудованием.

Должен захватить все

Захват пакетов с помощью Wireshark занимает всего несколько кликов. Вероятно, это будет самая простая часть вашей задачи по устранению неполадок. Захватите весь трафик и отфильтруйте пакеты позже или используйте фильтры захвата для записи только определенного типа данных.

Удалось ли вам захватить нужные пакеты с помощью этих советов? Какие фильтры захвата Wireshark вы считаете наиболее полезными? Дайте нам знать в комментариях ниже.