Vad att veta
- Wireshark är ett program med öppen källkod som fångar och visar data som färdas fram och tillbaka på ett nätverk.
- Eftersom den kan borra ner och läsa innehållet i varje paket, används den för att felsöka nätverksproblem och testa programvara.
Instruktionerna i den här artikeln gäller Wireshark 3.0.3 för Windows och Mac.
Bottom Line
Wireshark, ursprungligen känd som Ethereal, visar data från hundratals olika protokoll på alla större nätverkstyper. Datapaket kan ses i re altid eller analyseras offline. Wireshark stöder dussintals fånga/spåra filformat, inklusive CAP och ERF. Integrerade dekrypteringsverktyg visar de krypterade paketen för flera vanliga protokoll, inklusive WEP och WPA/WPA2.
Hur man laddar ner och installerar Wireshark
Wireshark kan laddas ner utan kostnad från Wireshark Foundations webbplats för både macOS och Windows. Du kommer att se den senaste stabila versionen och den aktuella utvecklingsversionen. Om du inte är en avancerad användare, ladda ner den stabila versionen.
Under installationsprocessen för Windows, välj att installera WinPcap eller Npcap om du uppmanas att göra det eftersom dessa inkluderar bibliotek som krävs för livedatainsamling.
Du måste vara inloggad på enheten som administratör för att använda Wireshark. I Windows 10, sök efter Wireshark och välj Kör som administratör I macOS högerklickar du på appikonen och väljer Get InfoI Sharing & Permissions-inställningarna, ge administratören Read & Write-privilegier.
Applikationen är också tillgänglig för Linux och andra UNIX-liknande plattformar inklusive Red Hat, Solaris och FreeBSD. Binärfilerna som krävs för dessa operativsystem kan hittas längst ner på Wireshark-nedladdningssidan under avsnittet Tredjepartspaket. Du kan också ladda ner Wiresharks källkod från den här sidan.
Hur man fångar datapaket med Wireshark
När du startar Wireshark visar en välkomstskärm de tillgängliga nätverksanslutningarna på din nuvarande enhet. Till höger om varje visas ett EKG-liknande linjediagram som representerar livetrafik på det nätverket.
För att börja fånga paket med Wireshark:
-
Välj ett eller flera nätverk, gå till menyraden och välj sedan Capture.
För att välja flera nätverk, håll ned Shift-tangenten när du gör ditt val.
-
I fönstret Wireshark Capture Interfaces, välj Start.
Det finns andra sätt att initiera paketinsamling. Välj shark fin på vänster sida av Wiresharks verktygsfält, tryck Ctrl+E, eller dubbelklicka på nätverket.
-
Välj File > Spara som eller välj ett Export alternativ för att spela in inspelningen.
-
För att sluta spela in, tryck Ctrl+E. Eller gå till Wireshark-verktygsfältet och välj den röda Stop-knappen som finns bredvid hajfenan.
Hur man visar och analyserar paketinnehåll
Det infångade datagränssnittet innehåller tre huvudsektioner:
- Paketlistrutan (den övre delen)
- Paketinformationsrutan (mittsektionen)
- Paketbyte-rutan (det nedre avsnittet)
paketlista
Paketlistrutan, som ligger högst upp i fönstret, visar alla paket som finns i den aktiva fångstfilen. Varje paket har sin egen rad och motsvarande nummer tilldelat, tillsammans med var och en av dessa datapunkter:
- No: Detta fält indikerar vilka paket som ingår i samma konversation. Det förblir tomt tills du väljer ett paket.
- Tid: Tidsstämpeln för när paketet hämtades visas i den här kolumnen. Standardformatet är antalet sekunder eller delar av sekunder sedan denna specifika fångstfil skapades första gången.
- Källa: Denna kolumn innehåller adressen (IP eller annan) där paketet kommer från.
- Destination: Denna kolumn innehåller adressen som paketet skickas till.
- Protokoll: Paketets protokollnamn, såsom TCP, finns i den här kolumnen.
- Längd: Paketlängden, i byte, visas i den här kolumnen.
- Info: Ytterligare information om paketet presenteras här. Innehållet i den här kolumnen kan variera mycket beroende på paketets innehåll.
Om du vill ändra tidsformatet till något mer användbart (som den faktiska tiden på dygnet), välj Visa > Time Display Format.
När ett paket väljs i den övre rutan kan du märka att en eller flera symboler visas i kolumnen No.. Öppna eller stängda parenteser och en rak horisontell linje indikerar om ett paket eller en grupp av paket ingår i samma fram- och tillbaka-konversation på nätverket. En bruten horisontell linje betyder att ett paket inte är en del av konversationen.
paketdetaljer
Detaljfönstret, som finns i mitten, visar protokollen och protokollfälten för det valda paketet i ett hopfällbart format. Förutom att utöka varje urval kan du använda individuella Wireshark-filter baserat på specifika detaljer och följa dataströmmar baserat på protokolltyp genom att högerklicka på önskat objekt.
Packet Bytes
Längst ner finns rutan för paketbyte, som visar rådata för det valda paketet i en hexadecimal vy. Denna hexadecimala dump innehåller 16 hexadecimala byte och 16 ASCII-byte tillsammans med dataförskjutningen.
Välj en specifik del av denna data framhäver automatiskt motsvarande sektion i paketinformationsrutan och vice versa. Alla byte som inte kan skrivas ut representeras av en punkt.
För att visa dessa data i bitformat i motsats till hexadecim alt, högerklicka var som helst i rutan och välj as bits.
Hur man använder Wireshark-filter
Capture-filter instruerar Wireshark att endast spela in paket som uppfyller angivna kriterier. Filter kan också tillämpas på en fångstfil som har skapats så att endast vissa paket visas. Dessa kallas visningsfilter.
Wireshark tillhandahåller ett stort antal fördefinierade filter som standard. Om du vill använda ett av dessa befintliga filter anger du dess namn i inmatningsfältet Använd ett visningsfilter som finns under Wireshark-verktygsfältet eller i Ange ett fångstfilterfält i mitten av välkomstskärmen.
Om du till exempel vill visa TCP-paket, skriv tcp. Wiresharks autokompletteringsfunktion visar föreslagna namn när du börjar skriva, vilket gör det lättare att hitta rätt namn för filtret du söker.
Ett annat sätt att välja ett filter är att välja bokmärket på vänster sida av inmatningsfältet. Välj Hantera filteruttryck eller Hantera visningsfilter för att lägga till, ta bort eller redigera filter.
Du kan också komma åt tidigare använda filter genom att välja nedåtpilen till höger om inmatningsfältet för att visa en rullgardinslista för historik.
Fångstfilter tillämpas så snart du börjar registrera nätverkstrafik. För att använda ett visningsfilter, välj högerpilen till höger om inmatningsfältet.
Wireshark Color Rules
Medan Wiresharks fångst- och visningsfilter begränsar vilka paket som spelas in eller visas på skärmen, tar dess färgsättningsfunktion saker och ting ett steg längre: Den kan skilja mellan olika pakettyper baserat på deras individuella nyans. Detta lokaliserar snabbt vissa paket inom en sparad uppsättning av deras radfärg i paketlistrutan.
Wireshark kommer med cirka 20 standardfärgregler, var och en kan redigeras, inaktiveras eller raderas. Välj View > Coloring Rules för en översikt över vad varje färg betyder. Du kan också lägga till dina egna färgbaserade filter.
Välj Visa > Colorize Packet List för att växla paketfärgning på och av.
Statistics in Wireshark
Andra användbara mätvärden är tillgängliga via rullgardinsmenyn Statistics. Dessa inkluderar information om storlek och timing om fångstfilen, tillsammans med dussintals diagram och grafer som sträcker sig i ämnet från uppdelningar av paketkonversationer till laddningsdistribution av
Visningsfilter kan tillämpas på många av denna statistik via deras gränssnitt, och resultaten kan exporteras till vanliga filformat, inklusive CSV, XML och TXT.
Wireshark avancerade funktioner
Wireshark stöder även avancerade funktioner, inklusive möjligheten att skriva protokolldissektorer i programmeringsspråket Lua.