Wireshark הוא מנתח רב עוצמה לרשת קוד פתוח אשר ניתן להשתמש כדי לרחרח את הנתונים ברשת, כעוזר לפתרון בעיות תעבורת הרשת, אבל באותה מידה כמו כלי חינוכי כדי לעזור להבין את העקרונות של רשתות ופרוטוקולי תקשורת.

זה זמין עבור כמעט כל הפצה לינוקס עבור אובונטו, זה יכול להיות מותקן באמצעות מרכז תוכנה אובונטו או הטרמינל:

 sudo apt-get להתקין wireshark

לפני השימוש dumpcap, את השירות dumpcap צריך לתת אישור לפעול כמו שורש. בלי זה, Wireshark לא יוכלו ללכוד את תעבורת הרשת כאשר אתה מחובר כמשתמש רגיל (אשר תמיד בחלוקות כמו אובונטו). כדי להוסיף את הקטע " setuid " ל- dumpcap, השתמש בפקודה הבאה:

 sudo chmod 4711 `אשר dumpcap`

שים לב כי סימני המרכאות סביב "איזה dumpcap" הם לא ציטוטים בודדים רגילים, אלא התו המבטא הקבר. במערכות דמויות יוניקס, זה מחליף את תחליף הפקודה שבו הפלט של הפקודה which הופך לפרמטר עבור הפקודה chmod, כלומר את הנתיב המלא של בינארי dumpcap .

הפעל את Wireshark ולאחר מכן לחץ על ממשק הרשת שבו ברצונך להשתמש כדי ללכוד את הנתונים. ברשת קווית, זה יהיה כנראה eth0 . כעת לחץ על התחל.

Wireshark יתחיל לכידת התנועה ולהציג אותו כרשימה צבע מקודדת בחלון הראשי. תעבורת TCP ירוקה, מנות UDP כחולות בהירות, בקשות ARP הן צהוב ותנועת DNS מוצגת בכחול כהה.

ממש מתחת לסרגל הכלים הוא התיבה מסנן. כדי להציג רק סוגים מסוימים של מנות רשת, הזן את שם הפרוטוקול בתיבת העריכה ולחץ על החל. לדוגמה, כדי להציג רק את ההודעה ARP (פרוטוקול פתרון כתובת), הקלד arp בתיבה Filter ולחץ על החל. הרשימה תשתנה להצגת הודעות ARP בלבד. ARP משמש ברשת LAN כדי לגלות איזו מכונה משתמשת בכתובת IP מסוימת. מסננים לדוגמה אחרים הם HTTP, ICMP, SMTP, SMB וכן הלאה.

Wireshark יכול לסנן באמצעות קריטריונים מתקדמים יותר מאשר רק סוג פרוטוקול. לדוגמה, כדי לראות את כל התעבורה הקשורה ל- DNS שמגיעה ממארח ​​מסוים, השתמש במסנן ip.src==192.168.1.101 and dns שבו 192.168.1.101 הוא כתובת המקור שברצונך לסנן.

אם אתה מבחין אינטראקציה מעניינת בין שני המארחים שאתה רוצה לראות בשלמותה, אז Wireshark יש "זרם זרם" אפשרות. לחץ לחיצה ימנית על כל מנה בבורסה ולאחר מכן לחץ על "עקוב אחר זרם TCP" (או עקוב אחר זרם UDP, עקוב אחר זרם SSL בהתאם לסוג הפרוטוקול). Wireshark יציג עותק מלא של השיחה.

נסה את זה

שימוש Wireshark יכול להיות מורכב או פשוט כמו שאתה צריך את זה כדי להיות, יש הרבה תכונות מתקדמות עבור מומחים ברשת אבל אלה שרוצים ללמוד על רשתות יכול גם להפיק תועלת להשתמש בו. הנה משהו לנסות אם אתה רוצה ללמוד עוד על Wireshark. התחל ללכוד ולהגדיר את המסנן ICMP. עכשיו ping מכונת לינוקס שלך באמצעות פקודה כזו ממכשיר לינוקס אחר או אפילו מתוך פגז של Windows PC הפקודה:

 ping 192.168.1.10

איפה 192.168.1.10 היא כתובת ה- IP של מכונת לינוקס. עכשיו תסתכל על רשימת מנות ולראות אם אתה מזהה את תעבורת הרשת עבור ping.