Как перехватывать HTTP-трафик в Wireshark

Wireshark позволяет анализировать трафик внутри вашей сети с помощью различных инструментов. Если вы хотите увидеть, что происходит внутри вашей сети или у вас есть проблемы с сетевым трафиком или загрузкой страниц, вы можете использовать Wireshark. Это позволяет вам перехватить трафик, чтобы вы могли понять, в чем проблема, или отправить его в службу поддержки для дальнейшей помощи. Продолжайте читать эту статью, и вы узнаете, как захватывать http-трафик в Wireshark.

Установка Wireshark

Установка Wireshark — простой процесс. Это бесплатный инструмент для разных платформ. Его можно скачать и установить следующим образом:

Пользователи Windows и Mac

1. Откройте браузер.
2. Посещать https://www.wireshark.org/download.html.
3. Выберите версию для вашего устройства.
   
4. Wireshark будет загружен на ваше устройство.
5. Установите его, следуя инструкциям в упаковке.
   

Пользователи Linux

Если вы пользователь Linux, вы можете найти Wireshark в Центре программного обеспечения Ubuntu. Скачайте его оттуда и установите согласно инструкции в пакете.

Захват HTTP-трафика в Wireshark

Теперь, когда вы установили Wireshark на свой компьютер, мы можем перейти к захвату HTTP-трафика. Вот шаги, которые нужно сделать:

1. Откройте браузер. Вы можете использовать любой браузер.
2. Очистить кеш. Прежде чем захватывать трафик, вам необходимо очистить кеш браузера. Сделать это можно, если зайти в настройки браузера.
   
3. Откройте Вайршарк.
   
4. Нажмите «Снять».
   
5. Нажмите «Интерфейсы». Теперь вы увидите всплывающее окно на вашем экране.
6. Выберите интерфейс. Вероятно, вы хотите проанализировать трафик, проходящий через ваш драйвер Ethernet.
   
7. Выбрав интерфейс, нажмите «Пуск» или нажмите «Ctrl + E».
   
8. Теперь вернитесь в браузер и посетите URL-адрес, с которого вы хотите захватывать трафик.
   
9. Как только вы закончите, прекратите захват трафика. Вернитесь в Wireshark и нажмите «Ctrl + E».
   
10. Сохраните захваченный трафик. Если у вас проблемы с сетью и вы хотите отправить перехваченный трафик в службу поддержки, сохраните его в файл формата *.pcap.
    

Захват пакетов в Wireshark

Помимо захвата http-трафика, вы можете захватывать любые сетевые данные, которые вам нужны, в Wireshark. Вот как вы можете это сделать:

1. Откройте Вайршарк.
   
2. Вы увидите список доступных сетевых подключений, которые вы можете проверить. Выберите тот, который вас интересует. При желании вы можете проанализировать несколько сетевых подключений одновременно, нажав «Shift + Щелчок левой кнопкой мыши».
   
3. Теперь вы можете начать перехват пакетов. Вы можете сделать это несколькими способами: первый — коснуться значка акульего плавника в верхнем левом углу. Второй — нажать «Захватить», а затем нажать «Старт». Третий способ начать захват — нажать «Ctrl + E».
   

Во время захвата Wireshark будет отображать все захваченные пакеты в режиме реального времени. Как только вы закончите захват пакетов, вы можете использовать те же кнопки/ярлыки, чтобы остановить захват.

Фильтры Wireshark

Одной из причин, по которой Wireshark сегодня является одним из самых известных анализаторов протоколов, является его способность применять различные фильтры к перехваченным пакетам. Фильтры Wireshark можно разделить на фильтры захвата и отображения.

Фильтры захвата

Эти фильтры применяются перед сбором данных. Если Wireshark захватит данные, которые не соответствуют фильтрам, он не сохранит их, и вы их не увидите. Итак, если вы знаете, что ищете, вы можете использовать фильтры захвата, чтобы сузить область поиска.

Вот некоторые из наиболее часто используемых фильтров захвата, которые вы можете использовать:

• хост 192.168.1.2 — захватывать весь трафик, связанный с 192.168.1.2.
• порт 443 — захват всего трафика, связанного с портом 443.
• порт не 53 — захватывать весь трафик, кроме трафика, связанного с портом 53.

Фильтры отображения

В зависимости от того, что вы анализируете, пройти через захваченные пакеты может быть очень сложно. Если вы знаете, что ищете, или хотите сузить область поиска и исключить ненужные данные, вы можете использовать фильтры отображения.

Вот некоторые из фильтров отображения, которые вы можете использовать:

• http – если вы захватили несколько разных пакетов, но хотите видеть только HTTP-трафик, вы можете применить этот фильтр отображения, и Wireshark будет показывать вам только эти пакеты.
• http.response.code == 404 – если у вас возникли проблемы с загрузкой определенных веб-страниц, этот фильтр может оказаться полезным. Если вы примените его, Wireshark будет показывать только те пакеты, в которых был ответ «404: страница не найдена».

Важно отметить разницу между фильтрами захвата и отображения. Как вы видели, вы применяете фильтры захвата до и отображаете фильтры после захвата пакетов. С помощью фильтров захвата вы отбрасываете все пакеты, которые не соответствуют фильтрам. С фильтрами отображения вы не отбрасываете пакеты. Вы просто скрываете их из списка в Wireshark.

Дополнительные возможности Wireshark

Хотя захват и фильтрация пакетов — это то, что делает Wireshark знаменитым, он также предлагает различные варианты, которые могут упростить фильтрацию и устранение неполадок, особенно если вы новичок в этом.

Вариант раскрашивания

Вы можете раскрасить пакеты в списке пакетов в соответствии с различными фильтрами отображения. Это позволяет вам выделить пакеты, которые вы хотите проанализировать.

Существует два типа правил окраски: временные и постоянные. Временные правила применяются только до тех пор, пока вы не закроете программу, а постоянные правила сохраняются, пока вы не измените их обратно.

Вы можете скачать образцы правил раскрашивания. здесьили вы можете создать свой собственный.

Беспорядочный режим

Wireshark фиксирует трафик, входящий или исходящий от устройства, на котором он работает. Включив беспорядочный режим, вы сможете перехватить большую часть трафика в вашей локальной сети.

Командная строка

Если вы используете свою систему без графического пользовательского интерфейса (графического интерфейса пользователя), вы можете использовать интерфейс командной строки Wireshark. Вы можете захватывать пакеты и просматривать их в графическом интерфейсе.

Статистика

Wireshark предлагает меню «Статистика», которое можно использовать для анализа захваченных пакетов. Например, вы можете просматривать свойства файлов, анализировать трафик между двумя IP-адресами и т. д.

Часто задаваемые вопросы

Как прочитать данные, собранные в WireShark?

Как только вы закончите захват пакетов, Wireshark отобразит их все на панели списка пакетов. Если вы хотите сосредоточиться на конкретном захвате, дважды щелкните его, и вы сможете прочитать о нем дополнительную информацию.

Вы можете открыть конкретный снимок в отдельном окне для облегчения анализа:

1. Выберите пакет, который хотите прочитать.

2. Щелкните по нему правой кнопкой мыши.

3. Нажмите «Просмотр».

4. Нажмите «Показать пакет в новом окне».

Вот некоторые подробности из панели списка пакетов, которые помогут вам при чтении захватов:

1. № – номер перехваченного пакета.

2. Время. Здесь показано, когда пакет был перехвачен, относительно того, когда вы начали захват. Вы можете настроить и настроить значение в меню «Настройки».

3. Источник. Это источник захваченного пакета в форме адреса.

4. Назначение – адрес назначения захваченного пакета.

5. Протокол – тип перехваченного пакета.

6. Длина – показывает длину захваченного пакета. Это выражается в байтах.

7. Информация – дополнительная информация о перехваченном пакете. Тип информации, которую вы видите здесь, зависит от типа захваченного пакета.

Все вышеперечисленные столбцы можно сузить с помощью фильтров отображения. В зависимости от того, что вас интересует, вы можете проще и быстрее интерпретировать снимки Wireshark, применяя различные фильтры.

В мире рыб станьте Wireshark

Теперь вы узнали, как захватывать http-трафик в Wireshark, а также получили полезную информацию о программе. Если вы хотите проверить свою сеть, устранить неполадки или убедиться, что все в порядке, Wireshark — это то, что вам нужно. Его легко использовать и интерпретировать, и он бесплатен.

Вы раньше использовали Wireshark? Расскажите нам в разделе комментариев ниже.