Продолжаю тему WireShark. Инструмент позволяет работать с дампами трафика. Иными словами, захватываемый трафик можно записывать в специальный файл в формате, понятном многим программам-снифферам, а потом, в случае необходимости, этот файл читать.
У захвата трафика в файл есть множество настроек, посмотрим их:
Главное меню: Capture -> Options:
Прежде всего, перед нами список интерфейсов, с которых можно осуществлять захват. Интерфейсы могут быть как реальными, так и виртуальными. Например в этой статье я показывал, как можно создать виртуальный интерфейс loopback, замыкания на себя.
Здесь же мы видим IP адрес на интерфейсе, если назначен, а так же MAC адрес. Выбираем галочкой тот интерфейс, с которого будем производить захват.
Иногда в материалах можно встретить упоминание так называемого promiscuous mode, так вот, это “Беспорядочный режим”, когда сетевая карта передает драйверу любые пакеты, приходящие на нее, а не только те, что ей адресованы. Таким образом в сегментах с концентраторами можно прослушивать вообще весь трафик, между любыми узлами.
Далее, выбираем файл, в которых сохранять захваченные пакеты. Здесь же есть возможность создать ротацию файлов, например, создавать новый файл каждые N мегабайт, килобайт, гигабайт. Как только размер файла превысит пороговое значение, будет создан новый файл с именем, в которое закодирована текущая дата и время. Так что не составит труда разобраться в правильном порядке следования файлов.
Так же возможно отсекать файлы по времени, например, создавать новый файлы каждую минуту, секунду, час, день. В пояснения этот пункт не нуждается, думаю.
Ещё есть возможность создать кольцевую ротацию, то есть для трех файлов выполняется запись сперва в первый, затем во второй, потом в третий, после чего опять в первый, второй, третий… Эта опция бывает полезна, когда нам точно нужно знать, что объем записываемых файлов должен быть строго контролируемым. Организовав буфер из 5-ти файлов, отсекая каждые 20 мегабайт мы с уверенностью можем сказать, что суммарный объем занятого дискового пространства не превысит 100 Мегабайт, а пока пишется в N-ый файл, с другими можно выполнять произвольные действия.
Ну и, разумеется, возможность остановить захват после N созданных файлов, например, указав объем файла 5 Мб, остановив после 10 файлов мы на выходе (при условии достаточной сетевой активности) получим 50 мегабайт записанного трафика, после чего программа прекратит захват.
Возможность прекратить захват после N пакетов, M мегабайт или K минут (разумеется, килобайт, гигабайт или часов, секунд, дней соответственно) может понадобится, когда нам нужно отсечь строго определенное количество трафика.
Другие опции отображения, например, разрешение MAC-адресов, разрешения других имен и т.д.
Итак, вот создались вполне определенные файлы трафика. Как их открыть? Да очень просто!
File -> Open:
Откроется дамп, как если бы он был только что захвачен. Удачи!
Comments: