После некоторых статей на почту приходят вопросы по поводу программы WireShark. И я решил немного пролить свет на этот замечательный сниффер.
Список задач, выполняемых с помощью этой утилиты довольно обширен. Будем рассматривать их на практике, может кто-то поймет для себя что-то новое. Или просто упорядочит знания свои в единую конструкцию.
Итак, WireShark мы берем с оф.сайта или с нашей файлопомойки:
Запускаем и видим примерно такое окно. Рассмотрим основные элементы.
- Главное меню программы. Когда мы будем говорить о главном меню – сразу имейте ввиду эту полоску команд;
- Панель инструментов. Все кнопки на этой панели в основном связаны с захватом пакетов.
- Окно фильтра. Здесь в довольно гибкой форме можно будет отфильтровать нужные или ненужные пакеты из окна просмотра (см. ниже);
- Опции захвата пакетов и список интерфейсов. Дублируется начало панели инструментов.
- Работа с сохраненными ранее слепками трафика. Я буду выкладывать новые задачи в виде слепков, которые нужно будет анализировать. Так вот для этого можно воспользоваться опциями главного меню File->Open или этоим окном.
Ну чтож, для начала захвата выбираете нужный интерфейс в списке интерфейсов и нажимаем Start.
Тут же забегали пакетики (если выбрали активный интерфейс) и мы увидим примерно следующее:
Прежде всего все пакеты заносятся в таблицу:
- Порядковый номер пакета;
- Точное время захвата;
- Адрес источника;
- Адрес назначения;
- Протокол;
- Длина пакета;
- Информация;
Разнотипные пакеты раскрашиваются в разные цвета. Так же в нижнем окне есть раскладка по всем уровням OSI модели, так можно раскрыт инкапсуляцию одного протокола в другой.
Фильтрация только нужных значений:
Итак, ситуация, когда у нас захвачено уже несколько тысяч пакетов, а интересует нас вполне определенное приложение или сервис. Как найти? Для этого существует фильтр. Условий фильтрации великое множество, я обязательно расскажу основные, когда придет время. А пока – вот задачка. Где-то в гуще пакетов я пропинговал Mail.ru. Как найти?
Продолжение грядёт.
Comments: