Ez a Wireshark bemutató megtanít mindent, amit tudnod kell arról, hogyan kezdd el használni a Wiresharkot, hogy a legtöbbet hozd ki a hálózatodból. Az elejétől a végéig le fogom fedni ezt a szoftvert, egészen az alkalmazás letöltésétől a speciális funkciók eléréséig. Megtanulja a csomagok elemzésének csínját-bínját, a szűrők használatát és a kapott információk hasznosítható adatokká alakítását. A bemutató során néhány gyakran feltett kérdéssel és gyorsbillentyűvel is foglalkozom, hogy a szoftverben való navigálás gyerekjáték legyen.
A bemutató végén elárulom a Wireshark jobb adatelemzésének titkát. Tipp: a Wiresharkból elérhető összes betekintés felszabadításának titka, ha egy kompatibilis hálózatelemző eszközzel együtt használjuk, mint például a kedvencem, a Network Performance Monitor.
Mi a Wireshark?
Hogyan működik a Wireshark?
Wireshark letöltése és telepítése
Hogyan használjuk a Wiresharkot csomagok rögzítésére
Hibaelhárítás csomagok rögzítésével
Hogyan olvassuk a Wiresharkot és elemezzük a Wireshark által rögzített csomagokat
Hogyan használjuk a Wiresharkot a hálózati forgalom figyelésére
Hogyan használjuk a szűrőket a Wiresharkban
Hogyan színezzük-Kódolás a Wiresharkban
Hogyan használjuk a Wiresharkot a hálózati statisztikák megtekintéséhez
A Wireshark speciális funkciói
A legtöbbet hozzuk ki a Wiresharkból
Végső gondolatok a Wiresharkról
- Mi a Wireshark?
- Hogyan működik a Wireshark?
- Wireshark letöltése és telepítése
- Hogyan használjuk a Wiresharkot csomagok rögzítésére
- Hibaelhárítás csomagrögzítéssel
- Hogyan olvassa a Wiresharkot és elemezze a Wireshark által rögzített csomagokat
- Hogyan használjuk a Wiresharkot a hálózati forgalom megfigyelésére
- Hogyan használjon szűrőket a Wiresharkban
- Hogyan kell színkódolni a Wiresharkban
- How to Use Wireshark to View Network Statistics
- Edményes Wireshark funkciók
- A Wireshark maximális kihasználása
- SolarWinds Network Performance Monitor
- Free Response Time Viewer for Wireshark
- Végső gondolatok a Wiresharkról
Mi a Wireshark?
A Wireshark, korábbi nevén Ethereal, egy népszerű hálózatelemző eszköz a hálózati csomagok rögzítésére és szemcsés szintű megjelenítésére. Miután ezeket a csomagokat lebontotta, felhasználhatja őket valós idejű vagy offline elemzésre. Ez nagyszerű azoknak a felhasználóknak, akik statisztikákat szeretnének készíteni ezen adatok alapján, vagy egy praktikus grafikonná alakítani azokat. A felület felhasználóbarát és könnyen használható, ha már ismeri a csomagok rögzítésének alapjait.
A WireShark egyedülálló, mert teljesen ingyenes és nyílt forráskódú, így nemcsak az egyik legjobb csomagelemző, hanem az egyik legkönnyebben hozzáférhető is. A Wireshark letölthető ingyenes verziója a teljes verzió – itt nincsenek csökkentett funkcionalitású demóverziók.
Mire használják a Wiresharkot? Mindenki számára készült, akinek szüksége van a hálózati tevékenység megfigyelésére, az otthoni felhasználóktól a vállalati IT-csapatokig. Sok felügyeleti szoftver alulmarad a skálázhatóság terén, de a Wireshark munkatársainak sikerült egy olyan programmal előállniuk, amelyhez nem kell egy csomó extra kiegészítő, hogy a minimális funkcionalitást elérje. Ezzel szemben az alább ajánlott kiegészítő eszközök egy jó dolgot még jobbá tesznek.
Ami a Wiresharkot egyedivé teszi, az egyben problémássá is teszi. Mivel a Wireshark teljesen nyílt forráskódú, nincs szilárd támogatási struktúra. Ez azt jelenti, hogy nincs technikai támogatás, nincs 1-800-as hívószám, nincs képviselő, akivel azonnali segítségért beszélhetne. Ehelyett a fórumokat, Q&A-kat, útmutatókat, GYIK-eket és más online forrásokat kell segítségért igénybe vennie. Ez talán nem jelent problémát a szorgalmas otthoni felhasználók számára, akik inkább maguk oldják meg a problémáikat, de egy nagy IT-vállalat alkalmazottainak nem feltétlenül van idejük a tényfeltáró küldetésre. A nyílt forráskódú szoftverek használata számos vállalat számára jogi kérdéseket is felvethet.
A felhasználóknak tisztában kell lenniük azzal, hogy a nyílt forráskódú szoftverek által biztosított nagy szabadsággal nagy felelősség is jár. Ez még mindig nem elég jó ok arra, hogy a Wiresharkot teljesen leírjuk. Fontos megfontolni, hogy ez az eszköz nyújthat-e bizonyos előnyöket a hálózatának.
Vissza a tetejére
Hogyan működik a Wireshark?
Gondoljon a hálózatelemzésre úgy, mintha bepillantást nyerhetne a hálózati infrastruktúra csavarjaiba. A hálózati analizátor olyan eszközökkel rendelkezik, amelyekkel mérni lehet, hogy mi történik egy rendszeren belül. A látható és vizuálisan megjeleníthető információk olyan információk, amelyeket fel tud használni.
A WireSharknak számos felhasználási területe van attól függően, hogy miért érdekli a csomagok megfigyelése. A legtöbb ember arra használja a Wiresharkot, hogy észlelje a hálózatában felmerülő problémákat, és ez alapján végezzen hibaelhárítást, de például a fejlesztők is használhatják programok hibakeresésére. A hálózatbiztonsági mérnökök biztonsági problémákat vizsgálhatnak, a minőségbiztosítási mérnökök hálózati alkalmazásokat ellenőrizhetnek, és az egyszerű, műszaki ismeretekkel rendelkező emberek a Wiresharkot használhatják a hálózati protokollok belső tulajdonságainak megismerésére.
A Wireshark használata a hálózati forgalom megtekintésére nagyszerű, de a Wireshark nem használható behatolásjelző célokra. Nem fog figyelmeztetni, ha valami furcsa dolog történik, vagy ha valaki olyan helyen szórakozik a hálózaton, ahol nem kellene. Viszont megmutat néhány kulcsfontosságú adatot, és utólag segít kitalálni, hogy mi történik.
Mivel a Wireshark egy mérőeszköz, nem fog változtatni a hálózaton. Nem küld csomagokat a hálózaton keresztül, és nem változtatja meg a hálózatot. Mint felügyeleti szoftver, a Wireshark csak a mérőszámok elemzésére és megjelenítésére készült. Néhány legfontosabb képességei közé tartoznak a következő, csomagokkal kapcsolatos funkciók:
- Élő adatcsomagok rögzítése, keresése, mentése, exportálása, importálása és színezése
- Pakettek megjelenítése részletes információkkal
- Fájlok megnyitása csomagolási adatokkal, mind a Wiresharkkal, mind más hasonló programokból rögzítetteket
- Szűrje a csomagokat különböző kritériumok alapján
- Készítsen statisztikákat
Vissza a tetejére
Wireshark letöltése és telepítése
Először is töltse le a Wiresharkot. A cég honlapjáról ingyenesen letölthető; a “stable release” részből a platformodhoz tartozó legújabb verziót kell kiválasztanod. A Windows, a Mac és a Unix a három legjobban támogatott platform. Megjegyzés: ha a Wireshark kifogy a memóriából, összeomlik. Ezért mielőtt belekezdene, győződjön meg róla, hogy bármilyen rendszerre telepíti is, sok memória és lemezterület áll rendelkezésére.
Telepítés Windowson: A letöltés után elkezdheti a telepítést. Telepítse a WinPcap-et, amikor erre felszólítják, mert nélküle nem lesz képes az élő csomagforgalom rögzítésére. A telepítéshez kattintson a WinPcap telepítése mezőre, és már indulhat is.
Telepítés Macen: Készüljön fel némi könnyű kódolásra. A Wireshark for Mac letöltéséhez egy olyan telepítőre lesz szüksége, mint az exquartz. Miután ezt megtetted, nyisd meg a Terminált, és írd be a következő parancsot:
<%/Applications/Wireshark.app/Contents/Mac0S/Wireshark>.
Ha kész vagy, várd meg, amíg a Wireshark elindul.
Telepítés Unixon: A telepítés Unixon bonyolultabb, mint a másik két platformon, ezért készüljön fel egy kicsit több kódolásra. Mielőtt elkezdenéd, szükséged lesz a GTK+-ra, a GIMP eszköztárra és a Glib-re. Az utolsó eszköz, amire szükséged lesz, a libpcap. Miután letöltötted és telepítetted az összes támogató szoftvert, valamint a Wiresharkot, hívd elő a tar fájlból. Ezután váltson át a Wireshark könyvtárba, és a befejezéshez írja be a következő parancsot:
./configure
make
make install
Ha a számítógépére a TShark települt, de a Wireshark nem, az azért van, mert több olyan disztribúció is létezik, amelyekben külön Wireshark csomagok vannak a GUI és nem GUI komponensekhez. Lehet, hogy ez a te rendszered esetében is így van. Próbáljon megkeresni egy “wireshark-qt” nevű külön csomagot, és telepítse.
Vissza a tetejére
Hogyan használjuk a Wiresharkot csomagok rögzítésére
A Wireshark csomagok rögzítésére való használatának megtanulása trükkös lehet azok számára, akik még sosem csináltak ilyet, és három fontos előzetes lépés van.
- Győződjön meg róla, hogy rendelkezik a megfelelő rendszergazdai jogosultságokkal a hálózat élő rögzítésének végrehajtásához
- Válassza ki a megfelelő hálózati interfészt a csomagadatok rögzítéséhez
- Fogja meg a csomagadatokat a hálózaton belüli megfelelő helyről
Mihelyt kipipálta ezeket a négyzeteket, készen áll a csomagok rögzítésének megkezdésére. Két Wireshark rögzítési mód létezik: a promiscuous és a monitor. Leggyakrabban a promiscuous módot fogja használni. Ez beállítja a hálózati interfészt, hogy minden csomagot rögzítsen azon a hálózati szegmensen, amelyhez hozzá van rendelve, és minden egyes csomagot részletez, amit lát. A monitor üzemmód csak Unix/Linux rendszereken érhető el, és a vezeték nélküli interfészt úgy állítja be, hogy minden lehetséges forgalmat rögzítsen. Ebben a Wireshark bemutatóban maradok a promiscuous módnál és a csomagok rögzítésének általános folyamatánál.
A Wireshark első indításakor egy üdvözlő képernyő jelenik meg, amely az eszköz elérhető hálózati kapcsolatainak listáját tartalmazza, például Bluetooth, Wi-Fi és Ethernet. Mindegyik hálózati opció jobb oldala felé egy kis EKG-vonal látható, amely a hálózaton zajló élő forgalmat reprezentálja.
A csomagok rögzítésének megkezdéséhez egyszerűen kattintson a megfigyelni kívánt hálózatra, és nyomja meg a START gombot. Egyszerre több hálózatot is figyelhet.
Néhány praktikus gyorsbillentyű
- Billentyűzet: CTRL + E
- Eszköztár: Nyomja meg a CTRL + E billentyűkombinációt: Kattintson a kék cápauszony gombra a Wireshark eszköztár bal oldalán
- Kódolás: Írja be a következő parancssort: <¢ wireshark -i eth0 -k>
Kész is vagy! Már kíváncsi vagy, hogyan olvashatod ki a Wireshark capture csomagokat? Mivel a Wireshark a csomagokat olvasható formátumra bontja, egy csomó más szórakoztató dolgot is csinálhatsz velük, például szűrőket alkalmazhatsz és színkódolhatod őket. Erről bővebben később. A rögzítés leállításához nyomja le újra a CTRL + E billentyűkombinációt a billentyűzeten, vagy kattintson az eszköztáron a cápauszony melletti STOP gombra.
Ha madártávlatból szeretné látni a hálózat csomagátvitelét, akkor promiscuous módba kell váltania. Ha a hálózat nincs ebben az üzemmódban, akkor az egész helyett csak egy kis pillanatfelvételt kap a hálózatról, ami megnehezíti a minőségi elemzés elvégzését.
A promiscuous mód bekapcsolásához kattintson a CAPTURE OPTIONS párbeszédpanelre, és válassza ki a lehetőségek közül. Ha minden a terv szerint halad, akkor most már látni fogja a hálózat teljes hálózati forgalmát. Sok hálózati interfész azonban nem fogékony a promiscuous módra, ezért ne ijedjen meg, ha ez nála nem működik. A szoftverek kompatibilitásáról a Wireshark weboldalán talál további információkat.
Ha a Wiresharkot Windows alatt használja, akkor szerencséje van, mert az Eszközkezelő segítségével könnyen ellenőrizheti, hogy a beállításai úgy vannak-e konfigurálva, hogy elutasítsák a promiscuous módot. Kattintson a hálózatra, és győződjön meg róla, hogy a promiscuous mode beállításai ALLOW ALL-ra vannak állítva. A promiscuous mód a Wireshark számos funkcióját lehetővé teszi, ezért mindent meg kell tennie annak érdekében, hogy az interfésze lehetőleg használni tudja.
Ha gyakorolni szeretné a hálózati forgalom Wiresharkkal történő rögzítését, használhatja a “mintafelvételeket”, amelyek egy másik hálózat csomagadatait mutatják. A mintakapcsok letölthetők a Wireshark wiki weboldaláról.
Vissza a tetejére
Hibaelhárítás csomagrögzítéssel
A felhasználóknak érthető módon kérdéseik vannak azzal kapcsolatban, hogyan lehet a Wireshark hálózati forgalmat rögzíteni, és hogyan lehet a Wireshark rögzítő csomagokat olvasni, hiszen ez a termék fő célja. Az idő és a hely miatt nem fogok minden egyes gyakran feltett kérdésre kitérni a nap alatt, de megpróbálok foglalkozni néhány gyakori problémával a Mac, a Windows és a Unix csomagrögzítéssel kapcsolatban. Ha mindenre és bármire kíváncsi vagy, látogass el a Wireshark weboldal GYIK részébe.
Segítség, nem látok semmilyen forgalmat, amikor megpróbálom rögzíteni a forgalmat!
A Wireshark szakértői azt javasolják, hogy tegye fel magának ezeket a kérdéseket: “Küld-e a Wiresharkot futtató gép bármilyen forgalmat azon a hálózati interfészen, amelyen a rögzítést végzi, vagy fogad-e bármilyen forgalmat a hálózaton, vagy van-e broadcast forgalom a hálózaton, vagy multicast forgalom egy olyan multicast csoportba, amelyhez a Wiresharkot futtató gép tartozik?”
Ha a válasz mindezekre a kérdésekre nemleges, akkor a rendszere valószínűleg nem promiscuous módban fut. Győződjön meg róla, hogy be van kapcsolva, ha a hálózata képes erre.
Segítség, csak a rendszerembe érkező és onnan érkező csomagokat látom a teljes forgalom helyett!
Ez azért lehet, mert az interfész, amelyen rögzít, Ethernet vagy Token Ring switch kapcsolatot használ, ami azt jelenti, hogy csak a broadcast és multicast forgalom kerül rögzítésre. Ha ez nem így van, megint csak azért lehet, mert a rendszered nincs promiscuous módban.
Segítség, Wiresharkot futtatok Windowson, de nem látom a gép által küldött forgalmat!
Ha VPN-kliensszoftvert használ, akkor ez lehet a bűnös. Sok Wireshark felhasználó számolt be erről a problémáról, ha Check Point VPN szoftvert használnak a rendszerükön. Ha eltávolítod, akkor minden rendben lesz.
Segítség, a Wireshark azt mondja, hogy nem találtak interfészt!
Ez egy nagy probléma. Ha a Wireshark nem talál semmilyen hálózatot, ami ahhoz a számítógéphez csatlakozik, amiről fut, akkor “no interface found” hibaüzenetet kapsz. Ez nyilvánvalóan nagy probléma, mert hálózat nélkül nem lehet csomagokat rögzíteni. Az interfész hiba oka lehet korlátozó hozzáférési jogosultságok, tűzfal hiba vagy hálózati kártya hiba.
A WireSharknak a teljes hálózathoz kell hozzáférnie, nem csak a Windows rendszergazdai jogosultságaihoz, így bármilyen hozzáférési jogosultsági probléma a WinPcapben gyökerezik. Győződjön meg róla, hogy ezt megfelelően telepítette a telepítés során. Linux rendszeren a Wireshark a programokat superuser jogosultságokkal futtatja, és sudo paranccsal kell futtatni.
Linuxon a Wiresharkot nem kell rootként futtatni, de a dumpcapot igen, és ez okozhatja a problémát. Kezdje a következő parancs futtatásával, hogy beleássa magát ebbe a modulba, és megfelelően konfigurálja. Nem minden Linux rendszer épül fel ugyanúgy, ezért ne csüggedj, ha a dumpcap root-ként való beállítása nálad nem működik.
dumpcap setuid root
Nem működik? Próbáld ki ezt a mentési parancsot:
setcap ‘CAP_NET_RAW+eip CAP_NET_ADMIN+eip’ /usr/sbin/dumpcap
How about now? Ha még mindig problémákkal találkozol, a Wireshark kódja lehet, hogy a bin könyvtárban van, holott az sbin könyvtárban kellene lennie. Próbáld ki ezt, ha hibaüzenetet kapsz:
setcap ‘CAP_NET_RAW+eip CAP_NET_ADMIN+eip’ /usr/bin/dumpcap
Ezzel próbáld meg:
chown root /usr/sbin/dumpcap
chmod u+s /usr/sbin/dumpcap
Ha a Wireshark még mindig bin-ben van sbin helyett, cseréljük a kódszövetben a “/usr/sbin/”-t “/usr/bin/”-re. Ez a hibaelhárítási sorrend hosszú, de minden alapot lefed. Ha még mindig problémái vannak, itt az ideje, hogy a blogokhoz forduljon, és megtudja, milyen jogorvoslatokat próbáltak ki és teszteltek mások.
Egyáltalán nem kellene, hogy a tűzfalának blokkolnia kellene a Wireshark tevékenységét, de ez nem áll a lehetőségek határain kívül. A teszteléshez kapcsold le a Wiresharkot, kapcsold ki a tűzfalat, majd kapcsold vissza a Wiresharkot, és nézd meg, hogy most megtalálja-e a hálózatodat. Ha kiderül, hogy a tűzfal volt a probléma, állítsa be a Wiresharkot kivételként a tűzfal szabályai között.
Végül, ha minden más nem sikerül, ellenőrizze a hálózati kártyáját. Ez egy kicsit messzire vezet, mert ha probléma van a hálózatoddal, és a Wireshark nem tud átjutni, akkor semminek sem szabadna átjutnia. A biztonság kedvéért mégis ellenőrizze.
Vissza a tetejére
Hogyan olvassa a Wiresharkot és elemezze a Wireshark által rögzített csomagokat
Amikor befejezte a csomagok rögzítését, itt az ideje, hogy megvizsgálja azokat. A Wireshark a nézetet három részre osztja: csomaglista, csomagok részletei és csomagbájtok.
A csomaglista rész, az ablak tetején, az összes csomagot felsorolja a rögzítési fájlból. A következő adatpontok mindegyikében böngészhet:
- Idő: az időbélyegző, amely pontosan megadja, hogy mikor történt a csomag rögzítése
- Forrás: az IP-cím, ahonnan a csomag származik
- Cél: a cím, ahová a csomag irányul
- Protokoll: a csomag protokollneve
- Hossz: a csomag hossza bájtban
- Info: minden további részlet
A csomag részletei szakasz a kiválasztott csomag protokolljait és protokollmezőit tartalmazza összecsukható formában. A csomagbájtok rész az oldal alján a kiválasztott csomag belső adatait mutatja. Alapértelmezés szerint ez az információ hexadecimális formátumban jelenik meg, de ha bit formátumra szeretné átállítani, akkor kattintson a jobb gombbal a panelen, és válassza ki ezt az opciót a menüből.
A vizuálisan tanulók számára a Wireshark segítségével a hálózati forgalmat IO-grafikonban is megtekintheti. Csak kattintson a STATISZTIKA menüre, és válassza az IO GRAPHS menüpontot. A grafikont bármilyen beállítással beállíthatja, attól függően, hogy milyen adatokat szeretne megjeleníteni. Csak egy grafikon van automatikusan bekapcsolva, így ha több grafikont szeretne létrehozni, akkor kézzel kell kattintania rájuk. Ha megjelenítési szűrőt szeretne hozzáadni a grafikonhoz, kattintson a szűrő ikonra azon a grafikonon, amellyel dolgozni szeretne. Végül a stílus oszlop segítségével megváltoztathatja, hogy milyen grafikont használjon a csomagadatok megjelenítésére – vonalas, FBar, pont vagy impulzus.
Vissza a tetejére
Hogyan használjuk a Wiresharkot a hálózati forgalom megfigyelésére
Most már tudja, hogyan kell rögzíteni és elemezni a csomagokat, de hogyan használja a Wiresharkot a hálózati forgalom megfigyelésére? Összességében a Wiresharkkal rögzített csomagokat különböző formákra akarod bontani. Amint megvan ezeknek a formáknak az ismerete, képes leszel látni, hogy mi történik a hálózaton belül.
Gondolj úgy a hálózatfigyelési folyamatra, mint a számok által festett kép kiszínezésére. A nagy kép körvonalai már megvannak, és van egy durva elképzelése arról, hogyan fog kinézni a kép, amikor elkészül. Ahhoz, hogy életre keljen, apránként kell elkezdenie a színezést; csak ekkor válik világossá a vízió. Más szóval, egy hatalmas adatmennyiség koncepcionálása könnyebb, ha bizonyos tényezők segítségével lebontja, majd újra felépíti.
A felhasználók gyors és egyszerű megértéséhez a Wireshark szűrőket, színkódolást és hálózati statisztikákat használ a hálózati adatok számbavételéhez. Mielőtt belevágna bármelyik lehetőségbe, győződjön meg arról, hogy az aktív forgalom minimális. Zárja be a hálózaton futó összes aktív alkalmazást; ez megkönnyíti a hálózat áttekintését. Mivel azonban nem tud mindent szó szerint leállítani, számítson arra, hogy ésszerű mennyiségű csomagot fog ide-oda küldözgetni.
Vissza a tetejére
Hogyan használjon szűrőket a Wiresharkban
A szűrők különösen fontosak a nagy fájlok elemzésekor. Amikor a kapcsolatod működik, másodpercenként több ezer csomag halad át a hálózaton. Az adott pillanatban nem szükséges információk kiszűrése az első lépés ahhoz, hogy tiszta képet kapjon a hálózatáról.
A Wiresharkban rengeteg beágyazott funkció áll rendelkezésre, de a leggyakrabban a Capture és a Display funkciót fogja használni. A Capture szűrők a bejövő csomagok rögzítésének méretének csökkentésével szűrik a csomagokat, lényegében egyeseket kizárva, míg másokat befogadva. Ne feledje, hogy a Capture Filterek nem módosíthatók a rögzítés megkezdése után, és ha egyszer beállítottuk őket, akkor a csomagokra vonatkoznak, amint elkezdjük figyelni a hálózati forgalmat.
A Display Filterek viszont a már rögzített adatok szűrésére használhatók. A Megjelenítési szűrők határozzák meg a korábban rögzített tényezők megtekintésekor megjelenő adatokat.
A meglévő szűrők egyikének megtekintéséhez keresse meg a nevét a Wireshark eszköztár alatti APPLY A DISPLAY FILTER mezőben vagy az ENTER A CAPTURE FILTER mezőben az üdvözlő képernyő közepén. A beviteli mező bal oldalán található könyvjelző ikonra kattintva is kiválaszthat egy szűrőt. Ekkor felugrik egy menü a leggyakrabban használt szűrők listájával, amelyek közül választhat, valamint lehetőség nyílik a rögzítési és a megjelenítési funkciók kezelésére is. A korábban használt funkciókat a bejegyzési mező jobb oldalán lévő lefelé mutató nyílra kattintva, a legördülő menü megjelenésével tekintheti át.
Vissza a tetejére
Hogyan kell színkódolni a Wiresharkban
A szűrésen túlmenően különböző színeket is használhat a különböző csomagtípusok azonosítására. Például a TCP RST sötétvörös, az ICMP pedig világos rózsaszínű. A hibás csomagok a könnyebb kezelhetőség érdekében automatikusan fekete színnel vannak kódolva.
A Wireshark alapértelmezett beállításaiban körülbelül 20 szín közül választhat, és a rendszer színkódolása tetszés szerint történhet. Ezeket tetszés szerint szerkesztheti, törölheti és letilthatja. Ha teljesen ki akarja kapcsolni a színkódolást, kattintson a VIEW menüre, majd a COLORIZE PACKET LIST-re. Ha többet szeretne megtudni a Wireshark színkódolásáról általában, válassza a VIEW>COLORING RULES menüpontot.
How to Use Wireshark to View Network Statistics
A képernyő tetején található statisztikai funkció kiválóan alkalmas arra, hogy több információt kapjon a hálózatáról. A Wireshark rengeteg mérőszámot ad a csomaginformációk lebontásához. Íme néhány fő lehetőség a menüből:
- Protokollhierarchia: Megnyit egy ablakot az összes rögzített csomag táblázatával
- Beszélgetések: Megmutatja a két végpont közötti hálózati beszélgetést, például az egyik IP-cím a másikhoz
- Végpontok: Megjeleníti a végpontok listáját
- TcpPduTime: megmutatja, hogy mennyi időbe telt egy adatprotokoll-egységből való adatlekérés
- VoIP-hívások: felsorolja az élő csomagfelvételekből származó VoIP-hívásokat
- Multicast stream: kiszimatolja a multicast streameket és méri egy csomó más komponens sebességét
- IO grafikonok: megmutatja az összes grafikont, amit a Wiresharkban készít
- RTP statisztikák: egy RPT audio stream tartalmát egyenesen egy külön fájlba menti
- Service response time: Megmutatja, mennyi idő alatt válaszol a hálózat egy kérésre
Vissza a tetejére
Edményes Wireshark funkciók
Ha már elsajátította a Wiresharkot, és szeretné a következő szintre emelni a hálózati teljesítményfigyelést, a szoftverben el van rejtve egy haladó funkciók gyűjteménye, amellyel játszhat. Többek között használhatsz dekódoló szoftvert a titkosított csomagok átdolgozásához, és saját protokoll-diszektorokat találhatsz ki Lua nyelven. Szórakoztató, nem?
A Wireshark maximális kihasználása
Miután már ismeri a Wireshark használatának alapjait, itt az ideje, hogy tovább lépjen. Nagyszerű, de a kiegészítő szoftverek még jobbá teszik. Vannak a Wiresharkkal kompatibilis hálózatfelügyeleti eszközök is, és átnéztem őket, hogy elhozzam a legjobb választásaimat.
SolarWinds Network Performance Monitor
A SolarWinds® Network Performance Monitor (NPM) az egyik legjobb és legátfogóbb hálózatfelügyeleti eszköz a piacon, és a Wireshark képességeit önmagában meghaladó hálózatfelügyeletet kínál. Elvégre sosem lehet elég sok elemzés.
A Network Performance Monitor egy több gyártóra kiterjedő hálózatfelügyeleti rendszer, amelyet kifejezetten a skálázhatóság és a hálózat biztonságának megőrzése érdekében terveztek. Ha hálózati biztonságról van szó, nem tudja megvédeni azt, amit nem lát, és az NPM segítségével mindent láthat. A LUCID-felület (logikus, használható, testreszabható, interaktív, drill-down) teljes összefoglalót ad az összes hálózati műveletről, így az egész rendszert láthatja anélkül, hogy oda-vissza kellene váltogatnia a különböző nézetek és képernyők között. Az élő teljesítményelemző műszerfal valós időben mutatja az infrastruktúráját.
A hálózati teljesítményfigyelő a hálózati teljesítmény felügyeletére és elemzésére szolgáló eszközök széles skáláját kínálja, beleértve a csomagelemzés, a fejlett riasztások, a jelentéskészítés és a problémadiagnózis számos funkcióját. Teljesen testreszabható, így a webes erőforrások, térképek és nézetek között aszerint válogathat, hogy az Ön rendszere számára mi működik a legjobban.
A Wi-Fi hőtérképek használata a hálózati holt zónák és a hálózat gyenge jelekkel rendelkező területeinek azonosítására valószínűleg a kedvenc funkcióm. Megszünteti a találgatásokat annak kiderítésében, hogy a hálózat mely részein tapasztalható a legnagyobb késés. Ez egy alkalmazás? Az egész hálózatom? Nincs több töprengés. Az NPM NetPath, PerfStack és az intelligens térkép funkciók hatalmas segítségek a hibaelhárításban.
A Network Performance Monitor-t a teljes hálózatom folyamatos felügyeletére és elemzésére használom. Ha Wiresharkot akarsz használni ezen elemzés mellett, megteheted – de nem vagyok benne biztos, hogy szükséged lesz rá! A Network Performance Monitor jobb vállalati szintű megoldás, különösen azok számára, akik nem akarnak foglalkozni a nyílt forráskódú szoftverekkel járó gondokkal. Csak győződjön meg róla, hogy az NPM-et Windows Server 2016 vagy újabb Windows Server 2016 rendszeren futtatja.
Free Response Time Viewer for Wireshark
Nem biztos benne, hogy készen áll a teljes elkötelezettségre? A SolarWinds ingyenes Response Time Viewer for Wireshark eszköze olyan, mint a Network Performance Monitor próbaüzeme. Ezt ajánlom, ha még nem áll készen arra, hogy nagyobb rendszerbe fektessen be.
A Response Time Viewer lehetővé teszi, hogy gyorsan lefuttassa a Wireshark csomagfelvételi fájlokat, elemezze őket, és a találtak alapján elhárítsa a hálózati teljesítményproblémákat. Több mint 1200 alkalmazás esetében képes kiszámítani a hálózati válaszidőt, és finom részletességgel megmutatni az adat/forgalom mennyiségét. Mindez megkönnyíti, hogy lássa, hol lehet kissé lassú a hálózata, és ennek megfelelően tervezzen javításokat. Megmutatja, hogyan lehet építeni arra, amit a Wireshark kínál, és milyen új eszközök és funkciók segíthetnek a hálózatfelügyeleti folyamatok fellendítésében.
Végső gondolatok a Wiresharkról
Ezzel elérkeztünk a Wireshark how-to bemutató végére. Azt hiszem, a Wiresharkot sokoldalú, könnyen használható eszköznek fogja találni, és üdvözlendő kiegészítője lesz a szoftverrepertoárjának. Ha úgy dönt, hogy belevág, és a Wiresharkot használja a rendszerével, erősen ajánlom, hogy töltse le a SolarWinds Network Performance Monitor ingyenes próbaverzióját további betekintésért.