Huvud Nätverk Hur man läser paket i Wireshark

Hur man läser paket i Wireshark



För många IT-experter är Wireshark det bästa verktyget för analys av nätverkspaket. Programvaran med öppen källkod gör att du kan undersöka den insamlade informationen noggrant och fastställa roten till problemet med förbättrad noggrannhet. Dessutom fungerar Wireshark i realtid och använder färgkodning för att visa de fångade paketen, bland andra fiffiga mekanismer.

Hur man läser paket i Wireshark

I den här handledningen kommer vi att förklara hur man fångar, läser och filtrerar paket med Wireshark. Nedan hittar du steg-för-steg-instruktioner och uppdelningar av de grundläggande nätverksanalysfunktionerna. När du behärskar dessa grundläggande steg kommer du att kunna inspektera trafikflödet i ditt nätverk och felsöka problem med mer effektivitet.

Analysera paket

När paketen har fångats, organiserar Wireshark dem i en detaljerad paketlista som är otroligt lätt att läsa. Om du vill komma åt informationen om ett enstaka paket behöver du bara hitta det i listan och klicka. Du kan också utöka trädet ytterligare för att komma åt detaljerna för varje protokoll som finns i paketet.

För en mer omfattande översikt kan du visa varje fångat paket i ett separat fönster. Här är hur:

hur man laddar ner alla facebookfoton på en gång
  1. Välj paketet från listan med markören och högerklicka.
  2. Öppna fliken Visa från verktygsfältet ovan.
  3. Välj Visa paket i nytt fönster från rullgardinsmenyn.

Obs: Det är mycket lättare att jämföra de fångade paketen om du tar upp dem i separata fönster.

Som nämnts använder Wireshark ett färgkodningssystem för datavisualisering. Varje paket är märkt med en annan färg som representerar olika typer av trafik. Till exempel är TCP-trafik vanligtvis markerad med blått, medan svart används för att indikera paket som innehåller fel.

Naturligtvis behöver du inte memorera innebörden bakom varje färg. Istället kan du kolla på plats:

  1. Högerklicka på paketet du vill granska.
  2. Välj fliken Visa i verktygsfältet högst upp på skärmen.
  3. Välj Färgregler från rullgardinsmenyn.

Du kommer att se alternativet att anpassa färgsättningen efter dina önskemål. Men om du bara vill ändra färgreglerna tillfälligt, följ dessa steg:

  1. Högerklicka på paketet i paketlistan.
  2. Välj Färglägg med filter i listan med alternativ.
  3. Välj den färg som du vill märka den med.

siffra

Paketlistrutan visar dig det exakta antalet infångade databitar. Eftersom paketen är organiserade i flera kolumner är det ganska lätt att tolka. Standardkategorierna är:

  • Nr. (Antal): Som nämnts kan du hitta det exakta antalet fångade paket i den här kolumnen. Siffrorna kommer att förbli desamma även efter att data har filtrerats.
  • Tid: Som du kanske har gissat visas paketets tidsstämpel här.
  • Källa: Den visar var paketet kommer från.
  • Destination: Den visar platsen där paketet kommer att förvaras.
  • Protokoll: Det visar namnet på protokollet, vanligtvis i en förkortning.
  • Längd: Det visar antalet byte som finns i det fångade paketet.
  • Info: Kolumnen innehåller all ytterligare information om ett visst paket.

Tid

När Wireshark analyserar nätverkstrafiken, tidsstämplas varje fångat paket. Tidsstämplarna inkluderas sedan i paketlistrutan och är tillgängliga för senare inspektion.

Wireshark skapar inte själva tidsstämplarna. Istället hämtar analysverktyget dem från Npcap-biblioteket. Men källan till tidsstämpeln är faktiskt kärnan. Det är därför tidsstämpelns noggrannhet kan variera från fil till fil.

Du kan välja i vilket format tidsstämplarna ska visas i paketlistan. Dessutom kan du ställa in önskad precision eller antal decimaler som ska visas. Förutom standardprecisionsinställningen finns det också:

  • Sekunder
  • Tiondelar av en sekund
  • Hundradelar av en sekund
  • Millisekunder
  • Mikrosekunder
  • Nanosekunder

Källa

Som namnet antyder är källan till paketet ursprungsplatsen. Om du vill skaffa källkoden för ett Wireshark-förråd kan du ladda ner det genom att använda en Git-klient. Metoden kräver dock att du har ett GitLab-konto. Det är möjligt att göra det utan en, men det är bättre att registrera sig för säkerhets skull.

När du har registrerat ett konto, följ dessa steg:

  1. Se till att Git fungerar genom att använda detta kommando: |_+_|
  2. Dubbelkolla om din e-postadress och ditt användarnamn är konfigurerade.
  3. Gör sedan en klon av Workshark-källan. Använd |_+_| SSH URL för att göra kopian.
  4. Om du inte har ett GitLab-konto, prova HTTPS URL: |_+_|

Alla källor kommer sedan att kopieras till din enhet. Tänk på att kloningen kan ta ett tag, speciellt om du har en trög nätverksanslutning.

Destination

Om du vill veta IP-adressen för ett visst pakets destination kan du använda visningsfiltret för att hitta det. Här är hur:

  1. Ange |_+_| i Wireshark-filterlådan. Klicka sedan på Enter.
  2. Paketlistrutan kommer endast att omkonfigureras för att visa paketdestinationen. Hitta den IP-adress du är intresserad av genom att bläddra igenom listan.
  3. När du är klar väljer du Rensa i verktygsfältet för att konfigurera om paketlistrutan.

Protokoll

Ett protokoll är en riktlinje som bestämmer dataöverföringen mellan olika enheter som är anslutna till samma nätverk. Varje Wireshark-paket innehåller ett protokoll, och du kan ta fram det genom att använda displayfiltret. Här är hur:

  1. Högst upp i Wireshark-fönstret klickar du på dialogrutan Filter.
  2. Ange namnet på det protokoll du vill undersöka. Vanligtvis skrivs protokolltitlar med små bokstäver.
  3. Klicka på Enter eller Apply för att aktivera visningsfiltret.

Längd

Längden på ett Wireshark-paket bestäms av antalet byte som fångas i det specifika nätverksfragmentet. Det numret motsvarar vanligtvis antalet rådatabyte som anges längst ner i Wireshark-fönstret.

Om du vill undersöka fördelningen av längder, öppna fönstret Paketlängder. All information är uppdelad i följande kolumner:

  • Paketlängder
  • Räkna
  • Genomsnitt
  • Min Val/Max Val
  • Betygsätta
  • Procent
  • Skurhastighet
  • Sprängstart

Info

Om det finns några anomalier eller liknande föremål i ett visst fångat paket kommer Wireshark att notera det. Informationen kommer sedan att visas i paketlistan för vidare granskning. På så sätt får du en tydlig bild av atypiskt nätverksbeteende, vilket kommer att resultera i snabbare reaktioner.

Ytterligare vanliga frågor

Hur kan jag filtrera paketdata?

Filtrering är en effektiv funktion som låter dig undersöka detaljerna i en viss datasekvens. Det finns två typer av Wireshark-filter: fånga och visa. Infångningsfilter är till för att begränsa paketfångningen för att passa specifika krav. Med andra ord kan du sålla bland olika typer av trafik genom att använda ett fångstfilter. Som namnet antyder låter visningsfilter dig finslipa en viss del av paketet, från paketlängd till protokoll.

Att använda ett filter är en ganska enkel process. Du kan skriva filtertiteln i dialogrutan högst upp i Wireshark-fönstret. Dessutom kommer programvaran vanligtvis att automatiskt fylla i namnet på filtret.

Alternativt, om du vill kamma igenom standard Wireshark-filtren, gör följande:

1. Öppna fliken Analysera i verktygsfältet överst i Wireshark-fönstret.

hur man gör mobiltelefon privat

2. Välj Visningsfilter i rullgardinsmenyn.

3. Bläddra igenom listan och klicka på den du vill ansöka om.

Slutligen, här är några vanliga Wireshark-filter som kan vara användbara:

• För att endast visa käll- och destinations-IP-adressen, använd: |_+_|

• För att bara visa SMTP-trafik, skriv: |_+_|

• För att fånga all undernätstrafik, använd: |_+_|

• För att fånga allt utom ARP- och DNS-trafiken, använd: |_+_|

Hur fångar jag in paketdata i Wireshark?

När du har laddat ner Wireshark till din enhet kan du börja övervaka din nätverksanslutning. För att fånga datapaket för en omfattande analys, här är vad du behöver göra:

1. Starta Wireshark. Du kommer att se en lista över tillgängliga nätverk, så klicka på det du vill undersöka. Du kan också använda ett fångstfilter om du vill peka ut typen av trafik.

2. Om du vill inspektera flera nätverk, använd Shift + vänsterklickskontrollen.

3. Klicka sedan på hajfensikonen längst till vänster i verktygsfältet ovan.

4. Du kan också starta infångningen genom att klicka på fliken Capture och välja Start från rullgardinsmenyn.

5. Ett annat sätt att göra det är att använda knapptryckningen Control – E.

När programvaran tar tag i data kommer du att se den visas i paketlistan i realtid.

Shark Byte

Medan Wireshark är en mycket avancerad nätverksanalysator, är den förvånansvärt lätt att tolka. Paketlistrutan är extremt omfattande och välorganiserad. All information är fördelad i sju olika färger och markerad med tydliga färgkoder.

Dessutom kommer programvaran med öppen källkod med en mängd lättapplicerbara filter som underlättar övervakningen. Genom att aktivera ett fångstfilter kan du peka ut vilken typ av trafik du vill att Wireshark ska analysera. Och när data väl har tagits kan du använda flera visningsfilter för specifika sökningar. Sammantaget är det en mycket effektiv mekanism som inte är alltför svår att bemästra.

Använder du Wireshark för nätverksanalys? Vad tycker du om filtreringsfunktionen? Låt oss veta i kommentarerna nedan om det finns en användbar paketanalysfunktion som vi hoppade över.

Intressanta Artiklar

Så här stänger du av pekskärmen på en Chromebook

Så här stänger du av pekskärmen på en Chromebook

Så här lägger du till CAGR-formeln i Google Sheets kalkylark

Så här lägger du till CAGR-formeln i Google Sheets kalkylark

Redaktionen

Växla mellan HKCU och HKLM i Windows 10 Registerredigerare
Växla mellan HKCU och HKLM i Windows 10 Registerredigerare
I Windows 10 är det möjligt att växla snabbt mellan registernycklar i filialen HKEY_LOCAL_MACHINE och filialen HKEY_CURRENT_USER. Så här gör du.
Vad är en megabit (Mb)?
Vad är en megabit (Mb)?
En megabit är en måttenhet för datastorlek och/eller dataöverföring. Det kallas ofta för Mb eller Mbps när man diskuterar dataöverföringshastigheter.
Vad är en bra Instagram Stories Engagement Rate?
Vad är en bra Instagram Stories Engagement Rate?
Varför skapar vi sociala medieprofiler? Det är vanligtvis för att vi vill ha någon form av interaktion med vår familj, vänner och anhängare. Det finns inte så många som bara tittar på. Beroende på hur stor din profil är,
iMac Pro: 32 GB, 64 GB eller 128 GB, hur mycket minne behöver du?
iMac Pro: 32 GB, 64 GB eller 128 GB, hur mycket minne behöver du?
IMac Pro är en allt-i-ett-maskin som levereras med en Xeon W-processor och kan gå upp till 18 kärnor. Det kan enkelt drivas genom både flertrådade och engängade arbetsflöden och uppgifter. Med denna typ av kraft,
Metroid Winamp Skin
Metroid Winamp Skin
Namn: Metroid Typ: Classic Winamp Skin Extension: wsz Storlek: 103085 kb Du kan få Winamp 5.6.6.3516 och 5.7.0.3444 beta härifrån. Obs: Winaero är inte författare till denna hud, alla poäng går till den ursprungliga hudförfattaren (se hudinformation i Winamp-inställningar). Vissa skinn kräver ClassicPro-plugin från Skin Consortium, få det
Ny startmeny Sökalternativ i Windows 10
Ny startmeny Sökalternativ i Windows 10
Förutom nya meddelandealternativ i Windows 10 Build 18917 introducerar 20H1-grenen av den kommande funktionsuppdateringen några mindre förbättringar av sökfunktionen i Start-menyn. Annons Windows 10 kommer med en helt omarbetad Start-meny, som kombinerar Live Tiles introducerad i Windows 8 med klassiska appgenvägar.
Vad är en rotmapp eller en rotkatalog?
Vad är en rotmapp eller en rotkatalog?
Rotmappen, aka rotkatalogen, är den högsta mappen i någon mappbaserad hierarki. Till exempel är rotmappen för C-enheten C:.