Практическая часть Настройка Wireshark Wireshark представляет собой удобный инструмент для анализа сетевых пакетов и траблшутинга (поиска неисправностей в сети). Среди множества доступных инструментов в самой программе очень легко запутаться. Кроме того, при частом анализе той или иной проблемы в сети приходится заново настраивать фильтры, окружение и прочие переменные.
Чтобы облегчить жизнь сетевым инженерам и администраторам разработчики реализовали возможность кастомизации программы под анализ различного рода трафика. Пользователи могут создать свой собственный профиль, настроить различные фильтры, параметры и сохранить в созданном профиле. Профили могут быть разные, например, для анализа TCP пакетов, Wi-Fi или HTTP трафика, процесса обмена ключами в VPN и так далее.
При необходимости можно переключиться на нужный профиль и использовать заранее подготовленные настройки.
Итак, рассмотрим, что можно настроить в программе.
Профиль Для начала создадим требуемый профиль. После установки программы пользователям доступны несколько профилей.
Рис. 1.2. Создания новый профиль
Чтобы создать новый профиль перейдем Edit → Configuration profiles … и перед нами откроется такое окно
Рис. 1.3. Добавления новый профиль
Добавим профиль и введем название. Возможно программа запросит перезагрузиться. После перезапуска в качестве текущего будет установлен только что созданный профиль.
Теперь настроим другие параметры, которые будут автоматически сохранены в текущем профиле.
Слои Для отображения пакетов используются 3 слоя: Список пакетов, Детальное отображение пакетов, Байты
Рис. 1.4. Слои главного окно
По умолчанию они располагаются горизонтально один за другим. Однако данное расположение можно изменить для удобства восприятия пакетов. Откройте Edit → Configuration Profiles… → Layout
Рис. 1.5. Настройка расположения слои на главного окно
Выбирайте схему, которая вам больше по душе.
Колонки По умолчанию в программе уже настроены некоторые колонки. Однако мы можем их отредактировать и добавить новые. Существуют 2 способа добавить колонки.
1-й способ Наведите курсор мыши на название колонок и откройте контекстное меню. Выберете Column preferences …
Рис. 1.6. Настройка колонки
В открывшемся окне удалите или добавьте требуемую колонку. В поле Title введите название, в поле Type выберете тип параметра
Рис. 1.7. Выбор нужные колонки
Новый объект сразу отобразится в основном окне Wireshark
Рис. 1.8. Результат после выбора нужные колонки
Чтобы отредактировать уже существующий элемент снова откройте контекстное меню и выберите Edit Column
Рис. 1.9. Редактирования колонки
Для сортировки пакетов по определенному параметру достаточно кликнуть на название соответствующей колонки.
2-й способ Допустим вы анализируете TCP пакет и хотите отобразить определенный параметр в отдельной колонке, например, номер потока TCP. Для этого выберете любой TCP пакет, раскройте его и выделите требуемый параметр. Откройте контекстное меню и выберете опцию Apply as Column
Рис. 1.10. Другой способ настройка колонки
Теперь при желании мы можем отсортировать пакеты по номеру потока и времени поступления и визуально представить TCP пакеты от различных приложений (это не единственный способ визуального наблюдения за потоками TCP, в одном из уроков мы рассмотрим другие методы).
Время Wireshark отображает время захвата каждого пакета в соответствии с установками на вашей системе. Формат отображения времени можно поменять через View → Time Display Format
Рис. 1.11. Выбор нужные версия отображения время
Думаю многие опции понятны и говорят сами за себя. Рассмотрим подробнее Seconds Since Previous Captured Packet и Seconds Since Previous Displayed Packet.
Seconds Since Previous Captured Packet означает относительное время с момента захвата предыдущего пакета. Самый первый пакет отображается со значением 0.00000. Значение для второго пакета вычисляется по формуле: абсолютное время принятия второго пакета минус абсолютное время принятия первого пакета
Рис. 1.12. Результат после выбора нужные версия отображения время
Seconds Since Previous Displayed Packet тоже относительное время, однако в этот раз в качестве точки отсчета берется предыдущий отображенный пакет (не захваченный). Данная опция полезна, если используются фильтры и требуется отобразить относительное время между 2-мя пакетами одного протокола. Например, вы анализируете DNS запросы и хотите определить задержку между запросом и ответом.
Кстати, для анализа относительного времени между захваченными и отображаемыми пакетами можно добавить дополнительную колонку с параметрами Delta time и Delta time displayed соответственно.
Цвета Программа Wireshark используют различные цвета для отображения определенных пакетов. Например, пакеты с неправильной контрольной суммой отображаются черным цветом, TCP и UDP пакеты - голубым цветом.
Мы можем добавить новые правила подсветки пакетов. Например, отобразим DNS запросы желтым цветом, а DNS ответы - красным. Для этого откроем менеджер настройки цветов через View → Coloring Rules… и добавим новое правило. В левой части вписываем название, а в правой - фильтр отображения
Рис. 1.13. Настройка цветы
Вот как будут выглядеть пакеты после применения правила
Рис. 1.13. Результат после выбора нужные цветы
Подобным образом мы можем “окрасить” и любые другие пакеты, например, OSPF или EIGRP.
Задания Установите приложение Wireshark на разных OС, изучите панель инструментов и настройте ее по своему вкусу.
Вопросы 1. Какова функция в приложении Wireshark?
2. Что следует учитывать при выборе приложения Wireshark?
3. Как можно настроит слои главного окна приложения Wireshark?
Литературы 1. https://www.wireshark.org/#download
2. https://www.wireshark.org/docs//wsug_html_chunked/ChIOSaveSection.html
3. https://www.wireshark.org/download.html
4. https://www.wireshark.org/#download
