Ten samouczek Wireshark nauczy Cię wszystkiego, co musisz wiedzieć o tym, jak zacząć używać Wireshark, aby uzyskać jak najwięcej z Twojej sieci. Omówię to oprogramowanie od początku do końca, od pobrania aplikacji po dostęp do zaawansowanych funkcji. Poznasz tajniki analizowania pakietów, używania filtrów i przekształcania uzyskanych informacji w użyteczne dane. Przez cały czas trwania samouczka będę zamieszczał najczęściej zadawane pytania i skróty klawiszowe, które ułatwią Ci poruszanie się po tym oprogramowaniu.
Na końcu samouczka zdradzę Ci sekret, jak uzyskać lepszą analizę danych z Wiresharka. Podpowiedź: sekretem odblokowania wszystkich możliwości Wiresharka jest używanie go razem z kompatybilnym narzędziem do analizy sieci, takim jak mój ulubiony Network Performance Monitor.
Czym jest Wireshark?
Jak działa Wireshark?Kodowanie w Wiresharku
Jak używać Wiresharka do przeglądania statystyk sieci
Zaawansowane funkcje Wiresharka
Wykorzystywanie Wiresharka do maksimum
Ostatnie przemyślenia na temat Wiresharka
- Co to jest Wireshark?
- Jak działa Wireshark?
- Wireshark Pobieranie i instalacja
- Jak używać Wiresharka do przechwytywania pakietów
- Troubleshooting With Packet Capture
- Jak czytać Wiresharka i analizować przechwycone przez Wiresharka pakiety
- Jak używać programu Wireshark do monitorowania ruchu sieciowego
- Jak używać filtrów w Wiresharku
- Jak kodować kolorami w Wiresharku
- How to Use Wireshark to View Network Statistics
- Zaawansowane funkcje Wiresharka
- Wykorzystanie Wiresharka w pełni
- SolarWinds Network Performance Monitor
- Free Response Time Viewer for Wireshark
- Ostatnie przemyślenia na temat Wiresharka
Co to jest Wireshark?
Wireshark, dawniej znany jako Ethereal, jest popularnym narzędziem do analizy sieci, służącym do przechwytywania pakietów sieciowych i wyświetlania ich na poziomie ziarnistym. Po rozbiciu tych pakietów, można je wykorzystać do analizy w czasie rzeczywistym lub offline. Jest to świetne rozwiązanie dla użytkowników, którzy chcą generować statystyki na podstawie tych danych lub zmienić je w poręczny wykres. Interfejs jest przyjazny dla użytkownika i łatwy w użyciu, gdy tylko pozna się podstawy przechwytywania pakietów.
Wireshark jest wyjątkowy, ponieważ jest całkowicie darmowy i open source, co czyni go nie tylko jednym z najlepszych analizatorów pakietów, ale także jednym z najbardziej dostępnych. Darmowa wersja Wiresharka, którą pobierasz, jest pełną wersją – nie ma tu wersji demonstracyjnych o ograniczonej funkcjonalności.
Do czego służy Wireshark? Jest przeznaczony dla każdego, kto musi monitorować aktywność sieciową, od użytkowników domowych po zespoły IT w przedsiębiorstwach. Wiele programów do monitorowania nie spełnia oczekiwań, jeśli chodzi o skalowalność, ale ludziom z Wiresharka udało się wymyślić program, który nie wymaga całej masy dodatkowych dodatków, aby uzyskać minimum funkcjonalności. W przeciwieństwie do nich, dodatkowe narzędzia, które polecam poniżej, sprawiają, że dobra rzecz staje się jeszcze lepsza.
To, co czyni Wiresharka wyjątkowym, jest również tym, co sprawia, że jest on w pewnym sensie problematyczny. Ponieważ Wireshark jest całkowicie open source, nie ma solidnej struktury wsparcia technicznego. Oznacza to brak wsparcia technicznego, brak numeru 1-800, pod który można zadzwonić, brak przedstawiciela, z którym można porozmawiać w celu uzyskania natychmiastowej pomocy. Zamiast tego, musisz szukać pomocy na forach, w Q&As, tutorialach, FAQs i innych zasobach online. To może nie być problemem dla pracowitego użytkownika domowego, który wolałby rozwiązać własne problemy, ale pracownicy w dużym przedsiębiorstwie IT niekoniecznie mają czas, aby przejść na misji poszukiwania informacji. Dla wielu firm mogą istnieć również problemy prawne związane z używaniem oprogramowania open-source.
Użytkownicy powinni być świadomi, że z wielką wolnością, jaką daje oprogramowanie open-source, wiąże się wielka odpowiedzialność. Nie jest to jednak wystarczający powód, aby całkowicie odrzucić Wiresharka. Ważne jest, aby rozważyć, czy to narzędzie może zaoferować Twojej sieci pewne korzyści.
Powrót na górę
Jak działa Wireshark?
Pomyśl o analizie sieci jak o zaglądaniu do środka śrubek i nakrętek infrastruktury sieciowej. Analizator sieci posiada urządzenia do pomiaru tego, co dzieje się wewnątrz systemu. Informacje, które możesz zobaczyć i przedstawić wizualnie, są informacjami, które możesz wykorzystać.
Wireshark ma wiele zastosowań w zależności od tego, dlaczego jesteś zainteresowany monitorowaniem pakietów. Większość ludzi używa Wiresharka do wykrywania problemów w sieci i rozwiązywania ich na tej podstawie, ale programiści, na przykład, mogą go używać do debugowania programów. Inżynierowie bezpieczeństwa sieciowego mogą badać kwestie bezpieczeństwa, inżynierowie QA weryfikować aplikacje sieciowe, a zwykła osoba znająca się na technice może używać Wiresharka do nauki o protokołach sieciowych.
Używanie Wiresharka do przeglądania ruchu sieciowego jest świetne, ale Wireshark nie może być używany do wykrywania włamań. Nie ostrzeże Cię, gdy dzieje się coś dziwnego lub gdy ktoś grasuje w Twojej sieci, gdzie nie powinien. Pokaże jednak pewne kluczowe dane i pomoże zorientować się, co się dzieje po fakcie.
Ponieważ Wireshark jest narzędziem pomiarowym, nie zmieni też niczego w sieci. Nie wysyła pakietów przez sieć ani nie zmienia sieci. Jako oprogramowanie monitorujące, Wireshark został stworzony właśnie do analizowania i wyświetlania metryk. Niektóre z jego najważniejszych możliwości obejmują następujące funkcje związane z pakietami:
- Przechwytywanie, wyszukiwanie, zapisywanie, eksportowanie, importowanie i kolorowanie pakietów danych na żywo
- Wyświetlanie pakietów ze szczegółowymi informacjami
- Otwieranie plików zawierających pakiety danych, zarówno te przechwycone w Wiresharku, jak i z innych podobnych programów
- Filtruj pakiety na podstawie różnych kryteriów
- Twórz statystyki
Powrót na górę
Wireshark Pobieranie i instalacja
Przede wszystkim pobierz Wiresharka. Możesz go pobrać za darmo ze strony firmy; powinieneś wybrać najnowszą wersję dla swojej platformy z sekcji „stable release”. Windows, Mac i Unix to trzy główne obsługiwane platformy. Uwaga: jeśli w Wiresharku zabraknie pamięci, nastąpi awaria. Dlatego zanim zaczniesz, upewnij się, że system, na którym go zainstalujesz, ma dużo pamięci i miejsca na dysku.
Instalacja w systemie Windows: Po pobraniu, jesteś gotowy, aby rozpocząć konfigurację. Zainstaluj program WinPcap, gdy zostaniesz o to poproszony, ponieważ bez niego nie będziesz w stanie przechwytywać ruchu pakietów na żywo. Aby zainstalować, kliknij pole Install WinPcap i już możesz się ścigać.
Instalacja na Macu: Przygotuj się na trochę lekkiego kodowania. Do pobrania Wiresharka dla komputerów Mac potrzebny będzie instalator, taki jak exquartz. Gdy już to zrobisz, otwórz Terminal i wprowadź następujące polecenie:
<%/Applications/Wireshark.app/Contents/Mac0S/Wireshark>.
Gdy skończysz, poczekaj, aż Wireshark się uruchomi.
Instalacja na Uniksie: Instalacja na Uniksie jest bardziej zaangażowana niż na pozostałych dwóch platformach, więc przygotuj się na nieco więcej kodowania. Zanim zaczniesz, będziesz potrzebował GTK+, zestawu narzędzi GIMP i Glib. Ostatnim potrzebnym narzędziem jest libpcap. Gdy już pobierzesz i zainstalujesz wszystkie programy pomocnicze oraz Wiresharka, pobierz go z pliku tar. Następnie przejdź do katalogu z Wiresharkiem i wpisz następujące polecenie, aby zakończyć:
./configure
make
make install
Jeśli na Twoim komputerze zainstalował się TShark, ale nie Wireshark, to dlatego, że istnieje kilka dystrybucji z oddzielnymi pakietami Wiresharka dla komponentów GUI i nie-GUI. Tak może być w przypadku Twojego systemu. Spróbuj poszukać oddzielnego pakietu o nazwie „wireshark-qt” i zainstaluj go.
Powrót do początku
Jak używać Wiresharka do przechwytywania pakietów
Nauczenie się, jak używać Wiresharka do przechwytywania pakietów może być trudne dla osób, które nigdy wcześniej tego nie robiły, dlatego istnieją trzy ważne kroki wstępne.
- Upewnij się, że masz odpowiednie uprawnienia administracyjne, aby wykonać przechwytywanie na żywo dla swojej sieci
- Wybierz odpowiedni interfejs sieciowy do przechwytywania danych pakietów
- Przechwyć dane pakietów z odpowiedniej lokalizacji w sieci
Po sprawdzeniu tych pól, jesteś gotowy do rozpoczęcia przechwytywania pakietów. Istnieją dwa tryby przechwytywania Wiresharka: promiscuous i monitor. Najczęściej używamy trybu promiscuous. Ustawia on interfejs sieciowy tak, aby przechwytywał wszystkie pakiety w segmencie sieci, do którego jest przypisany i wyszczególnia każdy widziany pakiet. Tryb monitora jest dostępny tylko dla systemów Unix/Linux i ustawia interfejs bezprzewodowy tak, aby przechwytywał cały ruch, jaki może odebrać. Na potrzeby tego przewodnika po Wiresharku, będę się trzymał trybu promiscuous i ogólnego procesu przechwytywania pakietów.
Po pierwszym uruchomieniu Wiresharka, zobaczysz ekran powitalny z listą dostępnych połączeń sieciowych dla Twojego urządzenia, takich jak Bluetooth, Wi-Fi i Ethernet. Po prawej stronie każdej z tych opcji sieciowych znajduje się mała linia EKG reprezentująca ruch na żywo w sieci.
Aby rozpocząć przechwytywanie pakietów, po prostu kliknij sieć, którą chcesz monitorować i naciśnij START. Można również monitorować wiele sieci w tym samym czasie.
Kilka przydatnych skrótów klawiszowych
- Klawiatura: Naciśnij CTRL + E
- Pasek narzędzi: Kliknij niebieski przycisk płetwy rekina po lewej stronie paska narzędzi Wireshark
- Kodowanie: Wprowadź następujący wiersz poleceń: <¢ wireshark -i eth0 -k>
Skończyłeś! Zastanawiasz się już, jak czytać pakiety przechwycone przez Wiresharka? Ponieważ Wireshark rozkłada pakiety na czytelny format, można z nimi robić wiele innych fajnych rzeczy, jak nakładanie filtrów i kodowanie kolorami. Więcej na ten temat później. Aby zatrzymać przechwytywanie, naciśnij ponownie CTRL + E na klawiaturze lub kliknij przycisk STOP obok płetwy rekina na pasku narzędzi.
Jeśli chcesz uzyskać widok z lotu ptaka na transfer pakietów w sieci, musisz przełączyć się na tryb promiscuous. Gdy sieć nie pracuje w tym trybie, otrzymujemy jedynie mały wycinek sieci zamiast całości, co utrudnia przeprowadzenie analizy jakościowej.
Aby włączyć tryb promiscuous, należy kliknąć okno dialogowe CAPTURE OPTIONS i wybrać go z opcji. Jeśli wszystko pójdzie zgodnie z planem, będziesz teraz widział cały ruch sieciowy w swojej sieci. Jednak wiele interfejsów sieciowych nie jest przystosowanych do trybu promiscuous, więc nie bądź zaniepokojony, jeśli nie zadziała on w Twoim przypadku. Sprawdź stronę internetową Wiresharka, aby uzyskać więcej informacji na temat kompatybilności oprogramowania.
Jeśli używasz Wiresharka w systemie Windows, masz szczęście, ponieważ możesz łatwo użyć Menedżera urządzeń, aby sprawdzić, czy Twoje ustawienia są skonfigurowane tak, aby odrzucać tryb promiscuous. Kliknij na sieć i upewnij się, że ustawienia trybu promiscuous są ustawione na ALLOW ALL. Tryb promiscuous umożliwia wiele funkcji Wiresharka, więc powinieneś zrobić wszystko, co w Twojej mocy, aby upewnić się, że Twój interfejs może z niego korzystać, jeśli to możliwe.
Jeśli chcesz poćwiczyć przechwytywanie ruchu sieciowego za pomocą Wiresharka, możesz użyć „przykładowych zrzutów”, które pokazują dane pakietów z innej sieci. Przykładowe zrzuty można pobrać z witryny Wireshark wiki.
Back to top
Troubleshooting With Packet Capture
Zrozumiałe jest, że użytkownicy mają pytania dotyczące tego, jak przechwytywać ruch sieciowy Wiresharka i jak czytać przechwycone pakiety Wiresharka, ponieważ jest to główny cel tego produktu. Ze względu na czas i miejsce, nie będę się zagłębiał w każde z najczęściej zadawanych pytań pod słońcem, ale postaram się omówić kilka typowych problemów związanych z przechwytywaniem pakietów dla systemów Mac, Windows i Unix. Jeśli chcesz wiedzieć wszystko i o wszystkim, przejdź do sekcji FAQ na stronie Wiresharka.
Pomocy, nie widzę żadnego ruchu, gdy próbuję przechwycić ruch!
Eksperci Wiresharka zalecają zadanie sobie następujących pytań: „Czy maszyna z uruchomionym Wiresharkiem wysyła jakikolwiek ruch na interfejsie sieciowym, na którym przechwytujesz, czy odbiera jakikolwiek ruch w sieci, czy jest jakikolwiek ruch rozgłoszeniowy w sieci lub ruch multicastowy do grupy multicastowej, do której należy maszyna z uruchomionym Wiresharkiem?”
Jeśli odpowiedź na wszystkie te pytania brzmi nie, Twój system może nie działać w trybie promiscuous. Upewnij się, że masz go włączonego, jeśli twoja sieć może go przyjąć.
Pomocy, widzę tylko pakiety przychodzące i wychodzące z mojego systemu zamiast całego ruchu!
Może to być spowodowane tym, że interfejs, na którym przechwytujesz, używa połączenia Ethernet lub przełącznika Token Ring, co oznacza, że tylko ruch broadcast i multicast zostanie zarejestrowany. Jeśli tak nie jest, może to być spowodowane tym, że twój system nie działa w trybie promiscuous.
Pomocy, uruchamiam Wiresharka w systemie Windows, ale nie widzę ruchu wysyłanego przez maszynę!
Jeśli używasz oprogramowania klienckiego VPN, może to być winowajca. Wielu użytkowników Wiresharka zgłaszało ten problem, jeśli w ich systemie znajduje się oprogramowanie VPN firmy Check Point. Jeśli je usuniesz, powinno być dobrze.
Pomoc, Wireshark mówi mi, że nie znaleziono żadnego interfejsu!
To jest poważna sprawa. Jeśli Wireshark nie może znaleźć żadnych sieci podłączonych do komputera, z którego jest uruchomiony, pojawi się komunikat o błędzie „nie znaleziono interfejsu”. Jest to oczywiście poważny problem, ponieważ nie można przechwytywać pakietów bez sieci. Błąd interfejsu może być spowodowany restrykcyjnymi uprawnieniami dostępu, błędami firewalla, lub błędami karty sieciowej.
Wireshark potrzebuje dostępu do całej sieci, a nie tylko uprawnień administratora w Windows, więc jakikolwiek problem z uprawnieniami dostępu byłby zakorzeniony w WinPcapie. Upewnij się, że zainstalowałeś go poprawnie podczas instalacji. W systemie Linux, Wireshark uruchamia programy z uprawnieniami superużytkownika i musi być uruchamiany z poleceniem sudo.
W Linuksie, Wireshark nie musi być uruchamiany jako root, ale dumpcap tak, i to może być przyczyną problemu. Zacznij od uruchomienia następującego polecenia, aby zagłębić się w ten moduł i skonfigurować go poprawnie. Nie każdy system Linux jest zbudowany w ten sam sposób, więc nie zniechęcaj się, jeśli ustawienie dumpcap jako root nie zadziała w twoim przypadku.
dumpcap setuid root
Nie zadziałało? Spróbuj wykonać to polecenie zapasowe:
setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip’ /usr/sbin/dumpcap
Jak teraz? Jeśli nadal napotykasz problemy, kod Wiresharka może znajdować się w katalogu bin, podczas gdy powinien być w sbin. Spróbuj tego, jeśli otrzymasz błąd odbijający się od ekranu:
setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip’ /usr/bin/dumpcap
Potem spróbuj:
chown root /usr/sbin/dumpcap
chmod u+s /usr/sbin/dumpcap
Jeśli Wireshark nadal jest w bin zamiast sbin, zmień „/usr/sbin/” na „/usr/bin/” w materiale kodowym. Ta sekwencja rozwiązywania problemów jest długa, ale obejmuje wszystkie podstawy. Jeśli nadal masz problemy, być może nadszedł czas, aby zajrzeć na blogi i dowiedzieć się, jakie środki zaradcze wypróbowali inni ludzie.
Teoretycznie zapora sieciowa nie powinna blokować aktywności Wiresharka, ale nie jest to poza zakresem możliwości. Aby przetestować, wyłącz Wiresharka, wyłącz firewall, a następnie włącz Wiresharka z powrotem i sprawdź, czy może teraz znaleźć Twoją sieć. Jeśli okaże się, że problemem jest zapora, ustaw Wiresharka jako wyjątek w regułach zapory.
Na koniec, jeśli wszystko inne zawiedzie, musisz sprawdzić swoją kartę sieciową. Jest to trochę długi strzał, ponieważ jeśli jest problem z siecią i Wireshark nie może się przez nią przedostać, to nic nie powinno się przedostać. Mimo to sprawdź ją na wszelki wypadek.
Powrót do początku
Jak czytać Wiresharka i analizować przechwycone przez Wiresharka pakiety
Po zakończeniu przechwytywania pakietów nadszedł czas, aby je obejrzeć. Wireshark dzieli widok na trzy panele: lista pakietów, szczegóły pakietów i bajty pakietów.
Sekcja listy pakietów, w górnej części okna, zawiera listę wszystkich pakietów z przechwyconego pliku. Można przeglądać każdy z następujących punktów danych:
- Czas: znacznik czasowy określający, kiedy dokładnie pakiet został przechwycony
- Źródło: adres IP, z którego pochodzi pakiet
- Miejsce docelowe: adres, do którego kierowany jest pakiet
- Protokół: nazwa protokołu pakietu
- Długość: długość pakietu, w bajtach
- Info: wszelkie dodatkowe szczegóły
Sekcja szczegółów pakietu zawiera protokoły i pola protokołu wybranego pakietu w zwiniętej formie. Bajty pakietu, na dole strony, pokazują wewnętrzne dane dla wybranego pakietu. Domyślnie informacje te są prezentowane w formacie szesnastkowym, ale jeśli chcesz zmienić je na format bitowy, możesz kliknąć prawym przyciskiem myszy na panelu i wybrać tę opcję z menu.
Dla wzrokowców możesz użyć programu Wireshark, aby wyświetlić ruch sieciowy w postaci wykresu IO. Wystarczy kliknąć menu STATISTICS i wybrać opcję IO GRAPHS. Możesz skonfigurować wykres z dowolnymi ustawieniami, w zależności od danych, które chcesz wyświetlić. Automatycznie włączany jest tylko jeden wykres, więc jeśli chcesz utworzyć ich więcej, musisz kliknąć na nie ręcznie. Aby dodać filtr wyświetlania do wykresu, kliknij ikonę filtra na wykresie, z którym chcesz pracować. Na koniec należy użyć kolumny Styl, aby zmienić rodzaj wykresu, który będzie używany do wyświetlania danych pakietów – liniowy, FBar, punktowy lub Impulse.
Powrót do początku
Jak używać programu Wireshark do monitorowania ruchu sieciowego
Wiesz już, jak przechwytywać i analizować pakiety, ale jak używać programu Wireshark do monitorowania ruchu sieciowego? Ogólnie rzecz biorąc, chcesz przechwycić pakiety przechwycone w Wiresharku i podzielić je na różne formy. Kiedy już będziesz miał te formy, będziesz mógł zobaczyć, co się dzieje w sieci.
Pomyśl o procesie monitorowania sieci jak o kolorowaniu obrazka metodą paint by numbers. Zarys dużego obrazu jest już tam, i masz przybliżone pojęcie o tym, co obraz będzie wyglądać, gdy jest skończona. Aby go ożywić, musisz zacząć kolorować kawałek po kawałku; dopiero wtedy wizja staje się jasna. Innymi słowy, konceptualizacja ogromnej ilości danych jest łatwiejsza, gdy rozłożysz je na części przy użyciu określonych czynników, a następnie zbudujesz je z powrotem.
Aby pomóc użytkownikom szybko i łatwo zrozumieć napływające dane, Wireshark wykorzystuje filtry, kodowanie kolorami i statystyki sieciowe. Zanim zaczniesz korzystać z którejkolwiek z tych opcji, upewnij się, że aktywny ruch w sieci jest minimalny. Zamknij wszystkie aktywne aplikacje działające w sieci; ułatwi to przeglądanie sieci na pierwszy rzut oka. Ponieważ jednak nie możesz dosłownie wyłączyć wszystkiego, spodziewaj się, że będziesz widział rozsądną masę pakietów wysyłanych tam i z powrotem.
Powrót do początku
Jak używać filtrów w Wiresharku
Filtry są szczególnie istotne przy analizie dużych plików. Kiedy Twoje połączenie jest aktywne, w każdej sekundzie przez sieć przechodzą tysiące pakietów. Odfiltrowanie wszystkich informacji, które nie są potrzebne w danym momencie, to pierwszy krok do uzyskania jasnego obrazu sieci.
W Wiresharku dostępnych jest wiele wbudowanych funkcji, ale najczęściej używane są Capture i Display. Capture Filters filtrują pakiety poprzez zmniejszenie rozmiaru przychodzących pakietów, zasadniczo blokując niektóre z nich, podczas gdy inne przyjmują. Pamiętaj, że Capture Filters nie mogą być modyfikowane po rozpoczęciu przechwytywania, a raz ustawione będą stosowane do pakietów, gdy tylko zaczniesz monitorować ruch sieciowy.
Display Filters, z drugiej strony, mogą być używane do filtrowania już nagranych danych. Filtry wyświetlania określają dane, które widzisz podczas przeglądania wcześniej zarejestrowanych czynników.
Aby przejrzeć jeden z istniejących filtrów, wyszukaj jego nazwę w polu APPLY A DISPLAY FILTER (Zastosuj filtr wyświetlania) pod paskiem narzędzi Wireshark lub w polu ENTER A CAPTURE FILTER (Wprowadź filtr przechwytywania) na środku ekranu powitalnego. Możesz też wybrać filtr, klikając ikonę zakładki po lewej stronie pola wprowadzania danych. Pojawi się menu z listą najczęściej używanych filtrów do wyboru, a także opcja zarządzania funkcjami Capture i Display. Możesz przeglądać poprzednio używane funkcje, naciskając strzałkę w dół po prawej stronie pola wejściowego i wyświetlając rozwijane menu.
Powrót do góry
Jak kodować kolorami w Wiresharku
Oprócz filtrowania, możesz także używać różnych kolorów do identyfikacji różnych typów pakietów. Na przykład, TCP RST jest ciemnoczerwony, a ICMP jasnoróżowy. Pakiety z błędami są automatycznie kodowane na czarno dla ułatwienia obsługi.
Wireshark w ustawieniach domyślnych ma około 20 kolorów do wyboru, a ty możesz kodować swój system kolorami, jak tylko chcesz. Możesz je edytować, usuwać i wyłączać w dowolnym momencie. Jeśli chcesz całkowicie wyłączyć kodowanie kolorami, kliknij na menu WIDOK, a następnie KOLORYZUJ LISTĘ PAKIETÓW. Jeśli chcesz dowiedzieć się więcej o kodowaniu kolorami w Wiresharku w ogóle, wybierz opcję VIEW>COLORING RULES.
How to Use Wireshark to View Network Statistics
Funkcja statystyki u góry ekranu jest świetna, aby uzyskać więcej informacji o sieci. Wireshark udostępnia mnóstwo metryk, które pozwalają na rozbicie informacji o pakietach. Oto niektóre z głównych opcji menu:
- Hierarchia protokołów: otwiera okno z tabelą wszystkich przechwyconych pakietów
- Konwersacje: pokazuje konwersację sieciową pomiędzy dwoma punktami końcowymi, jak jeden adres IP do drugiego
- Punkty końcowe: pokazuje listę punktów końcowych
- TcpPduTime: pokazuje zapis, ile czasu zajęło pobranie danych z jednostki Data Protocol Unit
- VoIP calls: wyświetla listę połączeń VoIP z przechwytywania pakietów na żywo
- Multicast stream: wyłapuje strumienie multicastowe i mierzy prędkość kilku innych komponentów
- Wykresy IO: pokazuje wszystkie wykresy tworzone w Wiresharku
- Statystyki RTP: zapisuje zawartość strumienia audio RPT prosto do osobnego pliku
- Czas odpowiedzi usługi: pokazuje, ile czasu zajmuje sieci odpowiedź na żądanie
Back to top
Zaawansowane funkcje Wiresharka
Jeśli opanowałeś już Wiresharka i chcesz przenieść monitorowanie wydajności sieci na wyższy poziom, w oprogramowaniu ukryta jest kolekcja zaawansowanych funkcji, którymi możesz się pobawić. Możesz między innymi używać oprogramowania deszyfrującego do pracy z zaszyfrowanymi pakietami i wymyślać własne deszyfratory protokołów w języku Lua. Zabawa, prawda?
Wykorzystanie Wiresharka w pełni
Ponieważ znasz już podstawy korzystania z Wiresharka, nadszedł czas, aby rozwinąć jego możliwości. Jest on świetny, ale dodatkowe oprogramowanie czyni go jeszcze lepszym. Istnieją również narzędzia do monitorowania sieci zgodne z Wiresharkiem, a ja przejrzałem je, aby przedstawić moje najlepsze propozycje.
SolarWinds Network Performance Monitor
SolarWinds® Network Performance Monitor (NPM) to jedno z najlepszych i najbardziej wszechstronnych narzędzi do monitorowania sieci na rynku, które oferuje monitorowanie sieci wykraczające poza możliwości samego Wiresharka. W końcu nigdy nie można mieć za dużo analiz.
Network Performance Monitor jest systemem monitorowania sieci wielu producentów, zaprojektowanym specjalnie z myślą o skalowalności i utrzymaniu bezpieczeństwa sieci. Jeśli chodzi o bezpieczeństwo sieci, nie można chronić tego, czego nie widać, a NPM pozwala zobaczyć wszystko. Interfejs LUCID (logical, useable, customizable, interactive, drill-down) daje Ci pełne podsumowanie wszystkich operacji sieciowych, dzięki czemu możesz zobaczyć cały system bez konieczności przełączania się pomiędzy różnymi widokami i ekranami. Pulpit analizy wydajności na żywo pokazuje infrastrukturę w czasie rzeczywistym.
Network Performance Monitor posiada szeroki zakres narzędzi do monitorowania i analizy wydajności sieci, w tym szereg funkcji do analizy pakietów, zaawansowanego alarmowania, raportowania i diagnozowania problemów. Jest w pełni konfigurowalny, więc można przełączać się między zasobami sieciowymi, mapami i widokami w oparciu o to, co działa najlepiej dla twojego systemu.
Używanie map ciepła Wi-Fi do identyfikacji martwych stref sieci i obszarów o słabym sygnale w sieci jest prawdopodobnie moją ulubioną funkcją. To bierze zgadywanie z dowiedzieć się, jakie części sieci doświadczają najbardziej lag. Czy to aplikacja? Czy to moja cała sieć? Koniec z zastanawianiem się. Funkcje NetPath, PerfStack i inteligentna mapa w NPM są wielkimi pomocnikami, jeśli chodzi o rozwiązywanie problemów.
Używam Network Performance Monitor do ciągłego monitorowania i analizy całej mojej sieci. Jeśli chcesz używać Wiresharka równolegle z tą analizą, możesz, ale nie jestem pewien, czy będziesz go potrzebował! Network Performance Monitor jest lepszym rozwiązaniem dla przedsiębiorstw, szczególnie dla tych, którzy nie chcą mieć do czynienia z kłopotami z oprogramowaniem open source. Upewnij się tylko, że uruchamiasz NPM na Windows Server 2016 lub nowszym.
Free Response Time Viewer for Wireshark
Nie jesteś pewien, czy jesteś gotowy, aby poświęcić całą drogę? Darmowe narzędzie Response Time Viewer for Wireshark od SolarWinds jest jak próbne uruchomienie Network Performance Monitor. Polecam je, jeśli nie jesteś gotowy na inwestycję w większy system.
Response Time Viewer pozwala na szybkie przeglądanie plików przechwytywania pakietów Wireshark, analizowanie ich i rozwiązywanie problemów z wydajnością sieci na podstawie tego, co znajdziesz. Może obliczyć czas odpowiedzi sieci w ponad 1200 aplikacjach i pokazać wolumen danych/transakcji w najdrobniejszych szczegółach. Wszystko to sprawia, że łatwiej jest zobaczyć, gdzie sieć może być nieco wolna i zaplanować odpowiednie usprawnienia. Pokazuje to, jak można wykorzystać możliwości Wiresharka i jakie nowe narzędzia i funkcje mogą pomóc w usprawnieniu procesu monitorowania sieci.
Ostatnie przemyślenia na temat Wiresharka
To prowadzi nas do końca naszego poradnika Wiresharka. Myślę, że przekonasz się, że Wireshark jest wszechstronnym narzędziem, łatwym w użyciu i mile widzianym dodatkiem do Twojego repertuaru oprogramowania. Jeśli zdecydujesz się na użycie Wiresharka w swoim systemie, gorąco polecam pobranie darmowej wersji próbnej SolarWinds Network Performance Monitor, aby uzyskać dodatkowe informacje.
.