How to Use Wireshark – Wireshark Network Monitor Tutorial

Tämä Wireshark-opas opettaa sinulle kaiken, mitä sinun tarvitsee tietää siitä, miten aloittaa Wiresharkin käyttö, jotta saat kaiken irti verkostasi. Aion käsitellä tätä ohjelmistoa alusta loppuun, aina sovelluksen lataamisesta lisäominaisuuksien käyttämiseen. Opit pakettien analysoinnin, suodattimien käytön ja saadun tiedon muuttamisen käyttökelpoiseksi dataksi. Tutoriaalin aikana käsittelen usein kysyttyjä kysymyksiä ja oikoteitä, joiden avulla ohjelmiston navigointi on helppoa.

Tutoriaalin lopussa kerron sinulle salaisuuden, jolla saat Wiresharkista parempaa dataa analysoitua. Vihje: salaisuus kaikkien Wiresharkista saatavien oivallusten avaamiseen on sen käyttäminen yhdessä yhteensopivan verkkoanalyysityökalun, kuten suosikkini Network Performance Monitorin, kanssa.

Mikä on Wireshark?
Miten Wireshark toimii?
Wiresharkin lataaminen ja asentaminen
How to Use Wireshark to Capture Packets
Troubleshooting With Packet Capture
How to Read Wireshark And Analyze Wireshark Capture Packets
How to Use Wireshark to Monitor Network Traffic
How to Use Filters in Wireshark
How to Color-Code in Wireshark
How to Use Wireshark to View Network Statistics
Advanced Wireshark Features
Getting Most Out of Wireshark
Final Thoughts on Wireshark

What Is Wireshark?

Wireshark, joka tunnettiin aiemmin nimellä Ethereal, on suosittu verkkoanalyysityökalu, jolla voidaan kaapata verkkopaketteja ja näyttää ne rakeisella tasolla. Kun nämä paketit on eritelty, voit käyttää niitä reaaliaikaiseen tai offline-analyysiin. Tämä sopii erinomaisesti käyttäjille, jotka haluavat luoda tilastoja näiden tietojen perusteella tai muuttaa ne käteväksi kuvaajaksi. Käyttöliittymä on käyttäjäystävällinen ja helppokäyttöinen, kunhan tunnet pakettien kaappaamisen perusteet.

Wireshark on ainutlaatuinen, koska se on täysin ilmainen ja avoimen lähdekoodin ohjelma, mikä tekee siitä paitsi yhden parhaista pakettianalysaattoreista, myös yhden helppokäyttöisimmistä. Wiresharkista lataamasi ilmainen versio on täysversio – tässä ei ole demoversioita, joiden toiminnallisuus on rajoitettu.

Mihin Wiresharkia käytetään? Se on suunniteltu kaikille, joiden on seurattava verkon toimintaa, kotikäyttäjistä yritysten IT-tiimeihin. Monet valvontaohjelmistot jäävät vajaiksi skaalautuvuuden suhteen, mutta Wiresharkin väki on onnistunut kehittämään ohjelman, joka ei tarvitse koko joukkoa ylimääräisiä lisäosia saadakseen vähimmäistoiminnot. Sen sijaan alla suosittelemani lisätyökalut parantavat hyvää asiaa.

Se, mikä tekee Wiresharkista ainutlaatuisen, tekee siitä myös tavallaan ongelmallisen. Koska Wireshark on täysin avointa lähdekoodia, ei ole olemassa vankkaa tukirakennetta. Tämä tarkoittaa, että ei ole teknistä tukea, ei 1-800-numeroa, johon soittaa, ei edustajaa, jonka kanssa puhua välitöntä apua varten. Sen sijaan sinun on haettava apua foorumeilta, Q&A:sta, opetusohjelmista, usein kysytyistä kysymyksistä ja muista verkkolähteistä. Tämä ei ehkä ole ongelma ahkeralle kotikäyttäjälle, joka mieluummin ratkaisee ongelmansa itse, mutta suuren IT-yrityksen työntekijöillä ei välttämättä ole aikaa lähteä etsimään tietoa. Monissa yrityksissä avoimen lähdekoodin ohjelmistojen käyttöön voi liittyä myös oikeudellisia kysymyksiä.

Käyttäjien tulisi olla tietoisia siitä, että avoimen lähdekoodin ohjelmistojen sallimaan suureen vapauteen liittyy suuri vastuu. Se ei silti ole tarpeeksi hyvä syy kirjoittaa Wireshark kokonaan pois. On tärkeää harkita, voiko tämä työkalu tarjota verkollesi joitakin etuja.

Takaisin alkuun

Miten Wireshark toimii?

Ajattele verkkoanalyysia ikään kuin kurkistaisit verkkoinfrastruktuurin muttereiden ja pulttien sisään. Verkkoanalysaattorissa on laitteita, joilla mitataan, mitä järjestelmän sisällä tapahtuu. Tieto, jonka voit nähdä ja esittää visuaalisesti, on tietoa, jota voit käyttää.

Wiresharkilla on monia käyttötarkoituksia riippuen siitä, miksi olet kiinnostunut pakettien tarkkailusta. Useimmat ihmiset käyttävät Wiresharkia havaitakseen ongelmia verkossaan ja vianmääritykseen sen perusteella, mutta esimerkiksi kehittäjät voivat käyttää sitä ohjelmien virheenkorjaukseen. Verkon tietoturva-insinöörit voivat tutkia tietoturvaongelmia, QA-insinöörit verifioivat verkkosovelluksia, ja tavallinen tekniikkaan perehtynyt henkilö voi käyttää Wiresharkia oppiakseen verkkoprotokollien sisäisiä asioita.

Verkkoliikenteen tarkasteleminen Wiresharkilla on hienoa, mutta Wiresharkia ei voi käyttää tunkeutumisen havaitsemiseen. Se ei hälytä sinua, kun jotain outoa tapahtuu tai jos joku sekoilee verkossasi siellä, missä hänen ei pitäisi olla. Se kuitenkin näyttää sinulle joitakin keskeisiä tietoja ja auttaa sinua selvittämään, mitä on tekeillä jälkikäteen.

Koska Wireshark on mittaustyökalu, se ei myöskään muuta asioita verkossasi. Se ei lähetä paketteja verkon yli tai muuta verkkoa. Seurantaohjelmistona Wireshark on rakennettu vain analysoimaan ja näyttämään mittareita. Joitakin sen tärkeimpiä ominaisuuksia ovat seuraavat paketteihin liittyvät toiminnot:

• Sieppaa, etsi, tallenna, vie, tuo ja väritä eläviä datapaketteja
• Näytä paketteja yksityiskohtaisilla tiedoilla
• Avaa tiedostoja, joissa on pakettidataa, sekä Wiresharkilla että muilla vastaavilla ohjelmilla kaapattuja paketteja
• Suodata paketteja useiden kriteerien perusteella
• Luo tilastoja

Takaisin alkuun

Wiresharkin lataaminen ja asentaminen

Lataa ensin Wireshark. Voit ladata sen ilmaiseksi yhtiön verkkosivuilta; sinun kannattaa valita uusin versio alustallesi ”stable release” -osiosta. Windows, Mac ja Unix ovat kolme tuettua alustaa. Huomautus: jos Wiresharkista loppuu muisti, se kaatuu. Varmista siis ennen aloittamista, että missä tahansa järjestelmässä, johon asennat sen, on paljon muistia ja levytilaa.

Asenna Windowsissa: Lataamisen jälkeen olet valmis aloittamaan asennuksen. Asenna WinPcap, kun sinua kehotetaan, koska et pysty kaappaamaan suoraa pakettiliikennettä ilman sitä. Asennusta varten napsauta Install WinPcap (Asenna WinPcap) -ruutua, ja voit aloittaa kilpailut.

Asenna Macissa: Valmistaudu kevyeen koodaukseen. Tarvitset exquartzin kaltaisen asennusohjelman ladataksesi Wiresharkin Macille. Kun olet tehnyt sen, avaa Terminal ja syötä seuraava komento:

<%/Applications/Wireshark.app/Contents/Mac0S/Wireshark>.

Kun olet valmis, odota, että Wireshark käynnistyy.

Asenna Unixissa: Asennus Unixilla on monimutkaisempi kuin kahdella muulla alustalla, joten varaudu hieman enemmän koodaamiseen. Ennen kuin aloitat, tarvitset GTK+:n, GIMP-työkalupaketin ja Glibin. Viimeinen tarvitsemasi työkalu on libpcap. Kun olet ladannut ja asentanut kaikki tukiohjelmat sekä Wiresharkin, hae se tar-tiedostosta. Siirry sitten Wireshark-hakemistoon ja syötä loppuun seuraava komento:

./configure

make

make install

Jos tietokoneellesi on asennettu TShark, mutta ei Wiresharkia, se johtuu siitä, että on olemassa useita jakeluja, joissa on erillisiä Wireshark-paketteja graafisen käyttöliittymän (GUI) ja muiden kuin graafisen käyttöliittymän (ei-GUI) osille. Tämä saattaa olla tilanne sinun järjestelmässäsi. Yritä etsiä erillinen paketti nimeltä ”wireshark-qt” ja asenna se.

Takaisin alkuun

How to Use To Use Wireshark to Capture Packets

Oppiaksesi käyttämään Wiresharkia pakettien kaappaamiseen voi olla hankalaa ihmisille, jotka eivät ole koskaan ennen tehneet sitä, ja on kolme tärkeää alustavaa askelta.

1. Varmista, että sinulla on oikeat järjestelmänvalvojan oikeudet suorakaappauksen suorittamiseen verkossasi
2. Valitse oikea verkkoliitäntä pakettidatan kaappaamiseen
3. Kaappaa pakettidata oikeasta sijainnista verkossasi

Kun olet valinnut nuo valintaruudut, olet valmis aloittamaan pakettien kaappaamisen. Wiresharkissa on kaksi kaappaustilaa: promiscuous ja monitor. Käytät useimmiten promiscuous-tilaa. Siinä verkkoliitäntäsi asetetaan kaappaamaan kaikki paketit siinä verkkosegmentissä, johon se on määritetty, ja jokaista näkemäänsä pakettia käsitellään yksityiskohtaisesti. Monitor-tila on käytettävissä vain Unix/Linux-järjestelmissä, ja se asettaa langattoman liitännän kaappaamaan kaiken liikenteen, jota se voi vastaanottaa. Tässä Wireshark-oppaassa pitäydyn promiscuous-tilassa ja pakettien kaappaamisen yleisessä prosessissa.

Kun käynnistät Wiresharkin ensimmäisen kerran, näet tervetuliaisnäytön, jossa on luettelo laitteesi käytettävissä olevista verkkoyhteyksistä, kuten Bluetooth, Wi-Fi ja Ethernet. Kunkin verkkovaihtoehdon oikealla puolella on pieni EKG-viiva, joka edustaa verkon live-liikennettä.

Aloittaaksesi pakettien kaappaamisen, napsauta vain verkkoa, jota haluat seurata, ja paina START. Voit myös tarkkailla useita verkkoja samanaikaisesti.

Joitakin käteviä pikanäppäimiä

• Näppäimistö: Paina CTRL + E
• Työkalurivi: Napsauta Wireshark-työkalurivin vasemmassa reunassa olevaa sinistä hain eväpainiketta
• Koodaus: Syötä seuraava komentorivi: <¢ wireshark -i eth0 -k>

Olet valmis! Mietitkö jo, miten Wireshark-kaappauspaketteja luetaan? Koska Wireshark pilkkoo paketit luettavaan muotoon, voit tehdä niillä monia muita hauskoja asioita, kuten soveltaa suodattimia ja värikoodata niitä. Siitä lisää myöhemmin. Voit lopettaa kaappauksen painamalla näppäimistöllä uudelleen CTRL + E tai napsauttamalla työkalupalkin hai-suomen vieressä olevaa STOP-painiketta.

Jos haluat nähdä verkkosi pakettien siirron lintuperspektiivistä, sinun on vaihdettava promiscuous-tilaan. Kun verkko ei ole tässä tilassa, saat vain pienen tilannekuvan verkostasi koko verkon sijaan, mikä vaikeuttaa laatuanalyysin tekemistä.

Kytkeäksesi promiscuous-tilan päälle napsauta CAPTURE OPTIONS -valintaikkunaa ja valitse se vaihtoehdoista. Jos kaikki menee suunnitelmien mukaan, näet nyt kaiken verkkosi verkkoliikenteen. Monet verkkoliitännät eivät kuitenkaan ota vastaan promiscuous-tilaa, joten älä huolestu, jos se ei toimi sinulla. Tarkista Wiresharkin verkkosivuilta lisätietoja ohjelmistojen yhteensopivuudesta.

Jos käytät Wiresharkia Windowsissa, olet onnekas, sillä voit helposti tarkistaa Laitehallinnan avulla, onko asetuksesi määritetty hylkäämään promiscuous-tila. Klikkaa verkkoa ja varmista, että promiscuous mode -asetukset on asetettu kohtaan ALLOW ALL. Promiscuous-tila mahdollistaa monia Wiresharkin toimintoja, joten sinun kannattaa tehdä kaikkesi varmistaaksesi, että liittymäsi voi käyttää sitä, jos mahdollista.

Jos haluat harjoitella verkkoliikenteen kaappaamista Wiresharkilla, voit käyttää ”esimerkkikaappauksia” (sample captures), jotka näyttävät toisen verkon pakettidataa. Voit ladata esimerkkikaappauksia Wiresharkin wiki-sivustolta.

Takaisin alkuun

Vianmääritys pakettikaappauksen avulla

Käyttäjillä on ymmärrettävästi kysymyksiä siitä, miten Wireshark-verkkoliikennettä kaapataan ja miten Wireshark-kaappauksen sisältämiä paketteja luetaan, koska se on tuotteen päätarkoitus. Ajan ja tilan vuoksi en aio käsitellä jokaista usein kysyttyä kysymystä auringon alla, mutta yritän käsitellä muutamia yleisiä ongelmia, jotka liittyvät pakettikaappaukseen Macilla, Windowsilla ja Unixilla. Jos haluat tietää kaiken ja kaikenlaista, suuntaa Wireshark-sivuston FAQ-osioon.

Help, en näe mitään liikennettä, kun yritän kaapata liikennettä!

Wiresharkin asiantuntijat suosittelevat kysymään itseltään näitä kysymyksiä: ”Lähettääkö Wiresharkia käyttävä kone mitään liikennettä verkkoliitännässä, josta kaappaat, tai vastaanottaako se mitään liikennettä verkossa, tai onko verkossa broadcast-liikennettä tai monilähetysliikennettä monilähetysryhmään, johon Wiresharkia käyttävä kone kuuluu?”

Jos vastaus kaikkiin näihin kysymyksiin on kielteinen, järjestelmäsi ei ehkä toimi promiscuous-tilassa. Varmista, että se on päällä, jos verkkosi pystyy siihen.

Apu, näen vain järjestelmääni meneviä ja sieltä tulevia paketteja koko liikenteen sijasta!

Se voi johtua siitä, että rajapinta, jolla kaappaat, käyttää Ethernet- tai Token Ring -kytkentäyhteyttä, jolloin vain broadcast- ja multicast-liikenne tallentuu. Jos näin ei ole, se voi taas johtua siitä, että järjestelmäsi ei ole promiscuous-tilassa.

Help, käytän Wiresharkia Windowsissa, mutta en näe koneen lähettämää liikennettä!

Jos käytät VPN-asiakasohjelmistoa, se saattaa olla syyllinen. Monet Wiresharkin käyttäjät ovat raportoineet tästä ongelmasta, jos heidän järjestelmässään on Check Pointin VPN-ohjelmisto. Jos poistat sen, sinun pitäisi olla kunnossa.

Help, Wireshark kertoo, ettei liitäntää löydy!

Tämä on iso juttu. Jos Wireshark ei löydä yhtään verkkoa, joka on liitetty tietokoneeseen, josta se on käynnissä, saat ”no interface found” -virheilmoituksen. Tämä on tietenkin suuri ongelma, koska et voi kaapata paketteja ilman verkkoa. Liitäntävirhe voi johtua rajoitetuista käyttöoikeuksista, palomuurivirheistä tai verkkokorttivirheistä.

Wireshark tarvitsee pääsyn koko verkkoon, ei vain Windowsin järjestelmänvalvojan oikeuksia, joten kaikki käyttöoikeusongelmat johtuisivat WinPcapista. Varmista, että olet asentanut sen oikein asennuksen aikana. Linux-järjestelmässä Wireshark ajaa ohjelmia superkäyttäjän oikeuksilla, ja sitä on ajettava sudo-komennolla.

Linuxissa Wiresharkia ei tarvitse ajaa pääkäyttäjänä, mutta dumpcapia kyllä, ja tämä saattaa aiheuttaa ongelman. Aloita suorittamalla seuraava komento, jotta voit kaivaa tämän moduulin ja saada sen konfiguroitua oikein. Kaikkia Linux-järjestelmiä ei ole rakennettu samalla tavalla, joten älä lannistu, jos dumpcapin asettaminen root-käyttäjäksi ei toimi sinulla.

dumpcap setuid root

Ei toimi? Kokeile tätä varmuuskopiointikomentoa:

setcap ’CAP_NET_RAW+eip CAP_NET_ADMIN+eip’ /usr/sbin/dumpcap

Mitäs nyt? Jos sinulla on edelleen ongelmia, Wireshark-koodi saattaa olla bin-hakemistossa, vaikka sen pitäisi olla sbin-hakemistossa. Kokeile tätä, jos saat virhepalautuksen:

setcap ’CAP_NET_RAW+eip CAP_NET_ADMIN+eip’ /usr/bin/dumpcap

Kokeile sieltä:

chown root /usr/sbin/dumpcap

chmod u+s /usr/sbin/dumpcap

Jos Wireshark on edelleen bin:ssä sbin:n sijasta, vaihda koodikankaassa ”/usr/sbin/” muotoon ”/usr/bin/”. Tämä vianmääritysjakso on pitkä, mutta se kattaa kaikki perusteet. Jos sinulla on edelleen ongelmia, voi olla aika käydä blogeissa selvittämässä, mitä korjaustoimenpiteitä muut ovat kokeilleet ja testanneet.

Teoreettisesti palomuurisi ei saisi estää Wiresharkin toimintaa, mutta se ei ole mahdollisuuksien rajoissa. Testataksesi sammuta Wireshark, kytke palomuurisi pois päältä, kytke sitten Wireshark takaisin päälle ja katso, löytääkö se nyt verkkosi. Jos käy ilmi, että ongelma on palomuurissasi, aseta Wireshark poikkeukseksi palomuurisääntöihisi.

Viimeiseksi, jos kaikki muu epäonnistuu, sinun on tarkistettava verkkokorttisi. Tämä on hieman kaukaa haettua, koska jos verkossa on ongelma ja Wireshark ei pääse läpi, minkään ei pitäisi päästä läpi. Tarkista se silti varmuuden vuoksi.

Takaisin alkuun

How to Read Wireshark and Analyze Wireshark Capture Packets

Kun olet lopettanut pakettien kaappaamisen, on aika tarkastella niitä. Wireshark jakaa näkymän kolmeen osaan: pakettiluettelo, pakettitiedot ja pakettien tavut.

Ikkunan yläosassa olevassa pakettiluettelo-osiossa luetellaan kaikki kaappaustiedoston paketit. Voit selata kutakin seuraavista tietopisteistä:

• Aika: aikaleima tarkalleen siitä, milloin paketti kaapattiin
• Lähde: IP-osoite, josta paketti on peräisin
• Kohde: osoite, johon paketti ohjataan
• Protokolla: paketin protokollan nimi
• Pituus: paketin pituus tavuina
• Info: mahdolliset lisätiedot

Paketin tiedot -osiossa on valitun paketin protokollat ja protokollakentät kokoontaitettavassa muodossa. Sivun alareunassa oleva Packet bytes -osio näyttää valitun paketin sisäiset tiedot. Oletusarvoisesti nämä tiedot esitetään heksadesimaalimuodossa, mutta jos haluat vaihtaa ne bittimuotoon, voit napsauttaa paneelia hiiren kakkospainikkeella ja valita tämän vaihtoehdon valikosta.

Visuaalisesti oppiville voit tarkastella verkkoliikennettä Wireshark-ohjelmalla IO-kuvaajana. Napsauta vain STATISTICS-valikkoa ja valitse IO GRAPHS. Voit määrittää kuvaajan haluamillasi asetuksilla sen mukaan, mitä tietoja haluat näyttää. Vain yksi kuvaaja on automaattisesti käytössä, joten jos haluat tehdä lisää, sinun on napsautettava niitä manuaalisesti. Jos haluat lisätä kuvaajaan näyttösuodattimen, napsauta suodatinkuvaketta haluamassasi kuvaajassa. Vaihda lopuksi tyyli-sarakkeen avulla, millaista kuvaajaa käytät pakettidatan näyttämiseen – viivaa, FBar-, piste- tai impulssikuvaajaa.

Takaisin alkuun

How to Use to Use Wireshark to Monitor Network Traffic

Nyt osaat kaapata ja analysoida paketteja, mutta miten Wiresharkia käytetään verkkoliikenteen seurantaan? Yleisesti ottaen haluat ottaa Wiresharkilla kaapatut paketit ja pilkkoa ne eri muotoihin. Kun sinulla on nämä muodot, voit nähdä, mitä verkossa tapahtuu.

Ajattele verkonseurantaprosessia kuin värittäisit maali numeroiden mukaan -kuvaa. Suuren kuvan ääriviivat ovat jo olemassa, ja sinulla on karkea käsitys siitä, miltä kuva näyttää, kun se on valmis. Jotta se herää henkiin, sinun on aloitettava värittäminen pala palalta; vasta sitten visio kirkastuu. Toisin sanoen valtavan tietomäärän käsitteellistäminen on helpompaa, kun sen pilkkoo tiettyjen tekijöiden avulla ja rakentaa sen sitten uudelleen.

Voidakseen auttaa käyttäjiä ymmärtämään nopeasti ja helposti tulevaa dataa Wireshark käyttää suodattimia, värikoodausta ja verkkotilastoja verkkodatan kartoittamiseen. Ennen kuin aloitat minkään näistä vaihtoehdoista, varmista, että aktiivinen liikenne on mahdollisimman vähäistä. Sulje kaikki verkossa käynnissä olevat aktiiviset sovellukset; tämä helpottaa verkon tarkastelua yhdellä silmäyksellä. Koska et kuitenkaan voi kirjaimellisesti sulkea kaikkea, voit odottaa näkeväsi kohtuullisen määrän edestakaisin lähetettäviä paketteja.

Takaisin alkuun

Suodattimien käyttö Wiresharkissa

Suodattimet ovat erityisen tärkeitä analysoitaessa suuria tiedostoja. Kun yhteys on toiminnassa, verkon läpi kulkee joka sekunti tuhansia paketteja. Kaikkien sellaisten tietojen suodattaminen pois, joita et tarvitse tiettynä hetkenä, on ensimmäinen askel selkeän kuvan saamiseksi verkostasi.

Wiresharkissa on paljon sulautettuja ominaisuuksia, mutta käytät useimmiten Capture- ja Display-ominaisuuksia. Capture-suodattimet suodattavat paketteja pienentämällä saapuvien pakettien kaappauksen kokoa, jolloin osa paketeista jää pois ja osa otetaan mukaan. Muista, että Capture-suodattimia ei voi muuttaa sen jälkeen, kun kaappaus on aloitettu, ja kun ne on asetettu, niitä sovelletaan paketteihin heti, kun aloitat verkkoliikenteen tarkkailun.

Display-suodattimia taas voidaan käyttää jo tallennettujen tietojen suodattamiseen. Näyttösuodattimet määrittävät tiedot, jotka näet, kun tarkastelet aiemmin tallennettuja tekijöitä.

Katsellaksesi jotakin olemassa olevista suodattimista etsi sen nimi APPLY A DISPLAY FILTER -kentästä Wireshark-työkalurivin alta tai ENTER A CAPTURE FILTER -kentästä Tervetuloa-näytön keskeltä. Voit valita suodattimen myös napsauttamalla syöttökentän vasemmalla puolella olevaa kirjanmerkkikuvaketta. Esiin avautuu valikko, jossa on luettelo yleisimmin käytetyistä suodattimista, joista voit valita, sekä mahdollisuus hallita sekä kaappaus- että näyttöominaisuuksia. Voit selata aiemmin käytettyjä ominaisuuksia painamalla merkintäkentän oikealla puolella olevaa alaspäin osoittavaa nuolta, jolloin avautuva valikko tulee näkyviin.

Takaisin alkuun

Värikoodauksen tekeminen Wiresharkissa

Suodatuksen lisäksi voit myös käyttää eri värejä eri pakettityyppien tunnistamiseen. Esimerkiksi TCP RST on tummanpunainen ja ICMP vaaleanpunainen. Virheellisiä paketteja koodataan automaattisesti mustalla värillä käytön helpottamiseksi.

Wiresharkin oletusasetuksissa on noin 20 väriä, joista voit valita, ja voit värikoodata järjestelmääsi haluamallasi tavalla. Voit muokata, poistaa ja poistaa ne käytöstä kaikessa rauhassa. Jos haluat kytkeä värikoodauksen kokonaan pois päältä, napsauta NÄYTTÖ-valikkoa ja sitten VÄRIKOODAUS PAKETTILUETTELO. Jos haluat lisätietoja värikoodauksesta Wiresharkissa yleensä, valitse VIEW>COLORING RULES.

How to Use Use Wireshark to View Network Statistics

Näytön yläreunassa oleva tilastotoiminto on loistava keino saada lisätietoja verkostasi. Wireshark antaa sinulle tonneittain metriikoita pakettitietojen erittelyyn. Tässä muutamia tärkeimpiä vaihtoehtoja valikosta:

• Protokollahierarkia: Avaa ikkunan, jossa on taulukko kaikista kaapatuista paketeista
• Keskustelut: Näyttää verkkokeskustelun kahden päätepisteen välillä, kuten IP-osoitteesta toiseen
• Päätepisteet: näyttää luettelon päätepisteistä
• TcpPduTime: näyttää tietueen siitä, kuinka paljon aikaa tietojen hakeminen dataprotokollayksiköstä kesti
• VoIP-puhelut: listaa VoIP-puhelut suorista pakettikaappauksista
• Multicast stream: nuuskii multicast-virtoja ja mittaa useiden muiden komponenttien nopeutta
• IO-kuvaajat: näyttää kaikki Wiresharkissa tekemäsi kuvaajat
• RTP-tilastot: tallentaa RPT-äänivirran sisällön suoraan erilliseen tiedostoon
• Palvelun vasteaika: näyttää, kuinka kauan verkolta kestää vastata pyyntöön

Takaisin alkuun

Edistyneet Wireshark-ominaisuudet

Jos hallitset jo Wiresharkia ja haluat viedä verkon suorituskyvyn seurannan seuraavalle tasolle, ohjelmistoon on kätketty kokoelma edistyneempiä ominaisuuksia, joilla voit leikkiä. Voit muun muassa käyttää salauksenpurkuohjelmistoa salattujen pakettien läpikäymiseen ja keksiä omia protokollanpaljastimia Lua-kielellä. Hauskaa, eikö?

Viresharkista kaiken irti saaminen

Sen jälkeen, kun osaat Wiresharkin käytön perusteet, on aika lisätä vauhtia. Se on hieno, mutta lisäohjelmistot tekevät siitä vielä paremman. Wiresharkin kanssa yhteensopivia verkonvalvontatyökaluja on myös, ja olen käynyt ne läpi tuodakseni sinulle parhaat valintani.

SolarWinds Network Performance Monitor

SolarWinds® Network Performance Monitor (NPM) on yksi markkinoiden parhaista ja kattavimmista verkonvalvontatyökaluista, ja se tarjoaa verkonvalvonnan, joka ylittää pelkän Wiresharkin ominaisuudet. Analyysejähän ei voi koskaan olla liikaa.

Network Performance Monitor on usean toimittajan verkonvalvontajärjestelmä, joka on erityisesti suunniteltu skaalautuvuutta ja verkon turvallisuuden säilyttämistä varten. Verkkoturvallisuuden osalta et voi suojata sitä, mitä et näe, ja NPM:n avulla näet kaiken. LUCID-käyttöliittymä (looginen, käyttökelpoinen, muokattavissa oleva, interaktiivinen, porautuva) antaa sinulle täydellisen yhteenvedon kaikista verkkotoiminnoista, joten näet koko järjestelmäsi ilman, että sinun tarvitsee vaihdella edestakaisin eri näkymien ja näyttöjen välillä. Suorituskykyanalyysin reaaliaikainen kojelauta näyttää infrastruktuurisi reaaliajassa.

Network Performance Monitor sisältää laajan valikoiman työkaluja verkon suorituskyvyn valvontaan ja analysointiin, mukaan lukien erilaisia toimintoja pakettianalyysiin, kehittyneisiin hälytyksiin, raportointiin ja ongelmien diagnosointiin. Se on täysin muokattavissa, joten voit vaihtaa verkkoresursseja, karttoja ja näkymiä sen mukaan, mikä sopii parhaiten järjestelmääsi.

WiFi-lämpökarttojen käyttäminen verkon kuolleiden vyöhykkeiden ja sellaisten alueiden tunnistamiseen, joissa verkon signaalit ovat heikkoja, on luultavasti suosikkiominaisuuteni. Se vie arvailun pois sen selvittämisestä, mitkä verkon osat kärsivät eniten viiveestä. Onko se sovellus? Johtuuko se koko verkostani? Enää ei tarvitse miettiä. NPM:n NetPath-, PerfStack– ja Intelligent Map -ominaisuudet ovat valtavia apureita vianmäärityksessä.

Käytän Network Performance Monitoria koko verkkoni jatkuvaan seurantaan ja analysointiin. Jos haluat käyttää Wiresharkia tämän analyysin rinnalla, voit – mutta en ole varma, tarvitsetko sitä! Network Performance Monitor on parempi yritystason ratkaisu erityisesti niille, jotka eivät halua vaivautua avoimen lähdekoodin ohjelmistojen kanssa. Varmista vain, että käytät NPM:ää Windows Server 2016:ssa tai uudemmassa versiossa.

Free Response Time Viewer for Wireshark

Et ole varma, oletko valmis sitoutumaan kokonaan? SolarWindsin ilmainen Response Time Viewer for Wireshark -työkalu on kuin Network Performance Monitorin koekäyttö. Suosittelen tätä, jos et ole valmis investoimaan suurempaan järjestelmään.

Response Time Viewerin avulla voit nopeasti käydä läpi Wireshark-pakettikaappaustiedostoja, analysoida niitä ja korjata verkon suorituskykyongelmia löytösi perusteella. Se voi laskea verkon vasteajan yli 1 200 sovelluksessa ja näyttää tietojen/transaktioiden määrän yksityiskohtaisesti. Kaiken tämän ansiosta sinun on helpompi nähdä, missä verkkosi saattaa olla hieman hidas, ja suunnitella parannuksia sen mukaisesti. Se näyttää, miten Wiresharkin tarjoamien mahdollisuuksien varaan on mahdollista rakentaa ja mitkä uudet työkalut ja ominaisuudet voisivat auttaa tehostamaan verkonvalvontaprosessiasi.

Loppuajatuksia Wiresharkista

Tämä vie meidät Wireshark-ohjeen loppuun. Uskon, että Wireshark on monipuolinen työkalu, helppokäyttöinen ja tervetullut lisä ohjelmistorepertuaariisi. Jos päätät uskaltautua käyttämään Wiresharkia järjestelmässäsi, suosittelen lämpimästi SolarWinds Network Performance Monitorin ilmaisen kokeilujakson lataamista lisätietojen saamiseksi.