Как перехватывать пакеты в WireShark

Wireshark — это бесценный инструмент сетевого анализа, который преобразует данные, проходящие через ваши сети, в читаемый формат. Вы можете выявлять проблемы сети или безопасности, отлаживать реализации протоколов или просто отслеживать трафик, перехватывая пакеты с помощью Wireshark.

Внимательно посмотрите, что происходит в вашей сети, собрав именно ту информацию, которая вам нужна. Вот как можно перехватывать различные типы пакетов в Wireshark.

Как перехватывать пакеты

Начало процесса захвата в Wireshark занимает всего несколько кликов. Все, что вам нужно сделать, это запустить режим захвата, и данные начнут поступать без фильтрации. Хотя этот нефильтрованный режим удобен, когда вам нужен полный отчет о том, что происходит, объем собираемых таким образом данных может быть огромным. Чтобы сделать его более управляемым, вы можете использовать фильтры и собирать только определенный тип данных. Ниже вы найдете инструкции для этого.

А пока давайте посмотрим, как начать перехватывать все пакеты в Wireshark:

1. Убедитесь, что у вас установлена ​​последняя версия Wireshark. Программу можно скачать бесплатно с официального сайта. Вайршарк веб-сайт.
   
   
2. Запустите программу. Вас встретит экран приветствия со списком обнаруженных сетей.
   
3. Запустите перехват пакетов одним из следующих способов:

Примечание. Перед началом работы вы можете настроить параметры захвата, например беспорядочный режим, нажав «Захват», а затем «Параметры».

Как только вы нажмете сетевой интерфейс или кнопку «Пуск», вы попадете на экран захвата. Вы увидите, как Wireshark захватывает пакеты данных в режиме реального времени. Если вы удовлетворены объемом собранных данных, вы можете остановить сбор, нажав красную кнопку остановки на верхней панели инструментов. Начните анализировать данные прямо сейчас или сохраните их на будущее, нажав «Файл», а затем «Сохранить как…» в строке меню.

Как перехватить UDP-пакеты

Выполнение описанных выше шагов предложит программе перехватить все пакеты. Несмотря на то, что различные типы трафика в Wireshark легко различимы благодаря цветовому кодированию, вам все равно придется анализировать большой объем данных. Если вы ищете информацию только об определенных пакетах, вы можете использовать фильтры, чтобы облегчить вашу работу.

Wireshark поддерживает фильтры захвата и отображения. Использование фильтра захвата будет означать, что программа захватывает только определенные вами пакеты. Фильтры отображения просто фильтруют уже захваченные пакеты. Два фильтра работают по-разному и используют разные команды, поэтому вам нужно будет решить, какой из них лучше всего соответствует вашим потребностям.

Если вы хотите захватывать только UDP-трафик, используйте фильтр захвата перед началом процесса захвата.

1. Запустите Вайршарк.
   
2. Найдите панель «Фильтр захвата» на экране приветствия. Это тот, который находится прямо над списком ваших сетей.
   
3. Введите «udp» в строке «Фильтр захвата» и нажмите Enter, чтобы начать захват UDP-трафика. Вы также можете добавить определенный порт после «udp», если хотите дополнительно указать свой фильтр.
   

Совет: Еще один способ настроить фильтры захвата — нажать «Захват», а затем «Параметры» в меню. Панель фильтров будет находиться в нижней части интерфейса захвата.

Wireshark Как перехватывать пакеты DHCP

Чтобы перехватывать исключительно пакеты DHCP, вам необходимо ввести соответствующий номер порта в фильтре захвата. Используйте фильтр захвата «порт 67» или «порт 68» или комбинацию двух «порт 67 или порт 68» для захвата пакетов DHCP.

Аналогично, фильтр дисплея может отфильтровывать пакеты DHCP на экране захвата. Однако помните, что фильтры отображения используют другой синтаксис, чем фильтры захвата. Вам нужно будет ввести «udp.port == 68» в строке фильтра отображения.

Как перехватывать пинг-пакеты

Лучший способ перехватить пинг-пакеты (также известные как эхо-трафик протокола управляющих сообщений Интернета (ICMP)) в Wireshark — использовать фильтр отображения в режиме захвата. Вот процесс.

1. Откройте Wireshark и запустите процесс захвата, как описано выше.
   
2. Откройте командную строку и пропингуйте выбранный вами адрес.
   
3. Вернитесь в Wireshark и остановите процесс захвата.
   
4. Создайте фильтр для пинг-пакетов, набрав «icmp» в строке фильтра дисплея, а затем нажмите Enter.
   

В списке пакетов вы увидите как запросы, так и ответы на пинг.

Wireshark: как перехватывать пакеты с определенного IP-адреса

Если вы хотите сосредоточить захват на определенном IP-адресе, перед началом захвата введите следующий фильтр захвата: «хост (IP-адрес, который вы хотите записать)». Например, для перехвата пакетов, связанных с IP-адресом 111.11.1.1, потребуется фильтр «хост 111.11.1.1» на панели фильтров захвата.

Вы также можете определить, хотите ли вы перехватывать трафик, входящий или исходящий от определенного IP-адреса, добавив в начале «src» для источника или «dst» для пункта назначения вместо «host:».

• введите «src 111.11.1.1» для пакетов, поступающих с рассматриваемого IP-адреса.
• введите «dst 111.11.1.1» для пакетов, отправляемых на соответствующий IP-адрес.

Естественно, вы можете комбинировать эти фильтры, чтобы указать трафик, который вы хотите дополнительно захватывать. Соедините два фильтра с помощью «и», чтобы пакеты перемещались между двумя заданными вами IP-адресами. Например, «src 111.11.1.1 и dst 222.22.2.2» будут захватывать только пакеты, отправленные с 111.11.1.1 на 222.22.2.2.

Используйте фильтры отображения для фильтрации пакетов, относящихся к определенному IP-адресу, в уже захваченном наборе данных. Для вышеупомянутого IP-адреса введите «ip.addr == 111.11.1.1» в строке фильтра отображения и т. д.

Часто задаваемые вопросы

Как перехватывать пакеты маршрутизатора в Wireshark?

Вы можете перехватывать пакеты маршрутизатора с помощью Wireshark только в том случае, если у вас есть маршрутизатор, поддерживающий зеркалирование портов. Во-первых, вам необходимо зеркально отразить трафик на порт LAN. Процесс может отличаться в зависимости от вашего устройства.

1. Перейдите в раздел LAN, а затем в раздел «Зеркало порта LAN».

2. Включите зеркалирование портов.

3. Настройте точки источника и назначения.

Если вы сможете зеркалировать свой трафик таким образом, вы сможете нормально перехватывать пакеты маршрутизатора в режиме захвата Wireshark.

Почему я не могу перехватывать пакеты в Wireshark?

Если ваш Wireshark не перехватывает пакеты, рассмотрите следующие возможности устранения проблемы:

• Убедитесь, что у вас не включены какие-либо слишком специфические фильтры захвата.

• Найдите обновления Wireshark в меню «Справка».

• Убедитесь, что брандмауэр не блокирует ваше приложение Wireshark.

Если ни один из вышеперечисленных факторов к вам не относится, скорее всего, проблема связана с вашим оборудованием.

Надо захватить все

Перехват пакетов с помощью Wireshark занимает всего несколько кликов. Вероятно, это будет самая простая часть вашей задачи по устранению неполадок. Захватите весь трафик и отфильтруйте пакеты позже или используйте фильтры захвата для записи только определенного типа данных.

Удалось ли вам перехватить нужные пакеты, используя эти советы? Какие фильтры захвата Wireshark вы считаете наиболее полезными? Дайте нам знать в разделе комментариев ниже.