Huvud Nätverk Hur man läser paket i Wireshark

Hur man läser paket i Wireshark



För många IT-experter är Wireshark det bästa verktyget för analys av nätverkspaket. Programvaran med öppen källkod gör att du kan undersöka den insamlade informationen noggrant och fastställa roten till problemet med förbättrad noggrannhet. Dessutom fungerar Wireshark i realtid och använder färgkodning för att visa de fångade paketen, bland andra fiffiga mekanismer.

Hur man läser paket i Wireshark

I den här handledningen kommer vi att förklara hur man fångar, läser och filtrerar paket med Wireshark. Nedan hittar du steg-för-steg-instruktioner och uppdelningar av de grundläggande nätverksanalysfunktionerna. När du behärskar dessa grundläggande steg kommer du att kunna inspektera trafikflödet i ditt nätverk och felsöka problem med mer effektivitet.

Analysera paket

När paketen har fångats, organiserar Wireshark dem i en detaljerad paketlista som är otroligt lätt att läsa. Om du vill komma åt informationen om ett enstaka paket behöver du bara hitta det i listan och klicka. Du kan också utöka trädet ytterligare för att komma åt detaljerna för varje protokoll som finns i paketet.

För en mer omfattande översikt kan du visa varje fångat paket i ett separat fönster. Här är hur:

hur man laddar ner alla facebookfoton på en gång
  1. Välj paketet från listan med markören och högerklicka.
  2. Öppna fliken Visa från verktygsfältet ovan.
  3. Välj Visa paket i nytt fönster från rullgardinsmenyn.

Obs: Det är mycket lättare att jämföra de fångade paketen om du tar upp dem i separata fönster.

Som nämnts använder Wireshark ett färgkodningssystem för datavisualisering. Varje paket är märkt med en annan färg som representerar olika typer av trafik. Till exempel är TCP-trafik vanligtvis markerad med blått, medan svart används för att indikera paket som innehåller fel.

Naturligtvis behöver du inte memorera innebörden bakom varje färg. Istället kan du kolla på plats:

  1. Högerklicka på paketet du vill granska.
  2. Välj fliken Visa i verktygsfältet högst upp på skärmen.
  3. Välj Färgregler från rullgardinsmenyn.

Du kommer att se alternativet att anpassa färgsättningen efter dina önskemål. Men om du bara vill ändra färgreglerna tillfälligt, följ dessa steg:

  1. Högerklicka på paketet i paketlistan.
  2. Välj Färglägg med filter i listan med alternativ.
  3. Välj den färg som du vill märka den med.

siffra

Paketlistrutan visar dig det exakta antalet infångade databitar. Eftersom paketen är organiserade i flera kolumner är det ganska lätt att tolka. Standardkategorierna är:

  • Nr. (Antal): Som nämnts kan du hitta det exakta antalet fångade paket i den här kolumnen. Siffrorna kommer att förbli desamma även efter att data har filtrerats.
  • Tid: Som du kanske har gissat visas paketets tidsstämpel här.
  • Källa: Den visar var paketet kommer från.
  • Destination: Den visar platsen där paketet kommer att förvaras.
  • Protokoll: Det visar namnet på protokollet, vanligtvis i en förkortning.
  • Längd: Det visar antalet byte som finns i det fångade paketet.
  • Info: Kolumnen innehåller all ytterligare information om ett visst paket.

Tid

När Wireshark analyserar nätverkstrafiken, tidsstämplas varje fångat paket. Tidsstämplarna inkluderas sedan i paketlistrutan och är tillgängliga för senare inspektion.

Wireshark skapar inte själva tidsstämplarna. Istället hämtar analysverktyget dem från Npcap-biblioteket. Men källan till tidsstämpeln är faktiskt kärnan. Det är därför tidsstämpelns noggrannhet kan variera från fil till fil.

Du kan välja i vilket format tidsstämplarna ska visas i paketlistan. Dessutom kan du ställa in önskad precision eller antal decimaler som ska visas. Förutom standardprecisionsinställningen finns det också:

  • Sekunder
  • Tiondelar av en sekund
  • Hundradelar av en sekund
  • Millisekunder
  • Mikrosekunder
  • Nanosekunder

Källa

Som namnet antyder är källan till paketet ursprungsplatsen. Om du vill skaffa källkoden för ett Wireshark-förråd kan du ladda ner det genom att använda en Git-klient. Metoden kräver dock att du har ett GitLab-konto. Det är möjligt att göra det utan en, men det är bättre att registrera sig för säkerhets skull.

När du har registrerat ett konto, följ dessa steg:

  1. Se till att Git fungerar genom att använda detta kommando: |_+_|
  2. Dubbelkolla om din e-postadress och ditt användarnamn är konfigurerade.
  3. Gör sedan en klon av Workshark-källan. Använd |_+_| SSH URL för att göra kopian.
  4. Om du inte har ett GitLab-konto, prova HTTPS URL: |_+_|

Alla källor kommer sedan att kopieras till din enhet. Tänk på att kloningen kan ta ett tag, speciellt om du har en trög nätverksanslutning.

Destination

Om du vill veta IP-adressen för ett visst pakets destination kan du använda visningsfiltret för att hitta det. Här är hur:

  1. Ange |_+_| i Wireshark-filterlådan. Klicka sedan på Enter.
  2. Paketlistrutan kommer endast att omkonfigureras för att visa paketdestinationen. Hitta den IP-adress du är intresserad av genom att bläddra igenom listan.
  3. När du är klar väljer du Rensa i verktygsfältet för att konfigurera om paketlistrutan.

Protokoll

Ett protokoll är en riktlinje som bestämmer dataöverföringen mellan olika enheter som är anslutna till samma nätverk. Varje Wireshark-paket innehåller ett protokoll, och du kan ta fram det genom att använda displayfiltret. Här är hur:

  1. Högst upp i Wireshark-fönstret klickar du på dialogrutan Filter.
  2. Ange namnet på det protokoll du vill undersöka. Vanligtvis skrivs protokolltitlar med små bokstäver.
  3. Klicka på Enter eller Apply för att aktivera visningsfiltret.

Längd

Längden på ett Wireshark-paket bestäms av antalet byte som fångas i det specifika nätverksfragmentet. Det numret motsvarar vanligtvis antalet rådatabyte som anges längst ner i Wireshark-fönstret.

Om du vill undersöka fördelningen av längder, öppna fönstret Paketlängder. All information är uppdelad i följande kolumner:

  • Paketlängder
  • Räkna
  • Genomsnitt
  • Min Val/Max Val
  • Betygsätta
  • Procent
  • Skurhastighet
  • Sprängstart

Info

Om det finns några anomalier eller liknande föremål i ett visst fångat paket kommer Wireshark att notera det. Informationen kommer sedan att visas i paketlistan för vidare granskning. På så sätt får du en tydlig bild av atypiskt nätverksbeteende, vilket kommer att resultera i snabbare reaktioner.

Ytterligare vanliga frågor

Hur kan jag filtrera paketdata?

Filtrering är en effektiv funktion som låter dig undersöka detaljerna i en viss datasekvens. Det finns två typer av Wireshark-filter: fånga och visa. Infångningsfilter är till för att begränsa paketfångningen för att passa specifika krav. Med andra ord kan du sålla bland olika typer av trafik genom att använda ett fångstfilter. Som namnet antyder låter visningsfilter dig finslipa en viss del av paketet, från paketlängd till protokoll.

Att använda ett filter är en ganska enkel process. Du kan skriva filtertiteln i dialogrutan högst upp i Wireshark-fönstret. Dessutom kommer programvaran vanligtvis att automatiskt fylla i namnet på filtret.

Alternativt, om du vill kamma igenom standard Wireshark-filtren, gör följande:

1. Öppna fliken Analysera i verktygsfältet överst i Wireshark-fönstret.

hur man gör mobiltelefon privat

2. Välj Visningsfilter i rullgardinsmenyn.

3. Bläddra igenom listan och klicka på den du vill ansöka om.

Slutligen, här är några vanliga Wireshark-filter som kan vara användbara:

• För att endast visa käll- och destinations-IP-adressen, använd: |_+_|

• För att bara visa SMTP-trafik, skriv: |_+_|

• För att fånga all undernätstrafik, använd: |_+_|

• För att fånga allt utom ARP- och DNS-trafiken, använd: |_+_|

Hur fångar jag in paketdata i Wireshark?

När du har laddat ner Wireshark till din enhet kan du börja övervaka din nätverksanslutning. För att fånga datapaket för en omfattande analys, här är vad du behöver göra:

1. Starta Wireshark. Du kommer att se en lista över tillgängliga nätverk, så klicka på det du vill undersöka. Du kan också använda ett fångstfilter om du vill peka ut typen av trafik.

2. Om du vill inspektera flera nätverk, använd Shift + vänsterklickskontrollen.

3. Klicka sedan på hajfensikonen längst till vänster i verktygsfältet ovan.

4. Du kan också starta infångningen genom att klicka på fliken Capture och välja Start från rullgardinsmenyn.

5. Ett annat sätt att göra det är att använda knapptryckningen Control – E.

När programvaran tar tag i data kommer du att se den visas i paketlistan i realtid.

Shark Byte

Medan Wireshark är en mycket avancerad nätverksanalysator, är den förvånansvärt lätt att tolka. Paketlistrutan är extremt omfattande och välorganiserad. All information är fördelad i sju olika färger och markerad med tydliga färgkoder.

Dessutom kommer programvaran med öppen källkod med en mängd lättapplicerbara filter som underlättar övervakningen. Genom att aktivera ett fångstfilter kan du peka ut vilken typ av trafik du vill att Wireshark ska analysera. Och när data väl har tagits kan du använda flera visningsfilter för specifika sökningar. Sammantaget är det en mycket effektiv mekanism som inte är alltför svår att bemästra.

Använder du Wireshark för nätverksanalys? Vad tycker du om filtreringsfunktionen? Låt oss veta i kommentarerna nedan om det finns en användbar paketanalysfunktion som vi hoppade över.

Intressanta Artiklar

Hur man konverterar HEIC till JPG på iPhone

Hur man konverterar HEIC till JPG på iPhone

Hur man städar upp och tämjer snabbåtkomst i Windows 10

Hur man städar upp och tämjer snabbåtkomst i Windows 10

Redaktionen

Hur man skickar foton till Echo Show
Hur man skickar foton till Echo Show
Om du ägde en av de första Amazon Alexa-högtalarna vet du att anpassningen där är begränsad till ett vinyldekal eller ett fodral. Eftersom Alexa-högtalare genomgick förändringar och uppgraderingar har vi dock sett stora förbättringar. Fall i
Hur man skapar en Potion of Osynlighet i Minecraft
Hur man skapar en Potion of Osynlighet i Minecraft
Att finna att du har ont om vapen eller utan en flyktväg kan definitivt förvandla dina möten med Minecraft-mobs till en knipa. Lyckligtvis kan Minecraft-drycker lösa dessa problem. En enda Potion of Invisibility kan få dig att försvinna från synen för
Så här aktiverar du utvecklarläge i Windows 10
Så här aktiverar du utvecklarläge i Windows 10
Utvecklarläget i Windows 10 tillåter användaren att felsöka appar. Det är extremt användbart för utvecklare. Detta läge ersätter Windows 8.1-kravet för att få en utvecklarlicens. Det möjliggör också ett antal intressanta alternativ som sidladdning av appar. Låt oss se hur det kan göras. Annons Det mest irriterande problemet med
Hur du lägger till din Instagram till Tik Tok
Hur du lägger till din Instagram till Tik Tok
Även om det var banbrytande för konceptet, har Instagram begränsade alternativ när det gäller att göra korta videoberättelser, så många användare vänder sig till andra appar när de vill skapa något unikt. TikTok är en app designad enbart för det ändamålet.
Så här rensar du WinSxS-mappen i Windows 10
Så här rensar du WinSxS-mappen i Windows 10
Så här kan du rensa WinSxS-mappen och minska storleken i Windows 10.
Så här laddar du ner offline kartor i Windows 10
Så här laddar du ner offline kartor i Windows 10
Moderna Windows-versioner har en inbyggd Maps-app som drivs av Bing Maps. Så här laddar du ner offline-kartor i Windows 10.
Nokia 3310-recension: En tusenårsback som är bäst kvar i det förflutna
Nokia 3310-recension: En tusenårsback som är bäst kvar i det förflutna
Thomas McMullan här och pekar huvudet in i rummet för att berätta om en skräckslagen anpassad version av en Nokia 3310 som du vill veta om. Innan du nöjer dig med standard, enfärgade versioner av retro