О Wireshark
В мире достаточно много существует различных сервисов, которые предлагают сохранность информации. Сегодня наш выбор остановится на программе-анализаторе трафика для компьютерных сетей.
Что позволяет делать эта программа? Программа Wireshark предназначена для захвата, записи и анализа сетевого трафика, то есть является сниффером (sniffer) и анализатором. Wireshark позволяет:
- захватывать сетевой трафик на машине и обмениваться захваченными пакетами;
- просматривать содержимое пакетов в структурированном виде и «как есть»;
- отбирать сетевые пакеты по гибким критериям;
- анализировать отдельные пакеты, сеансы и статистику на множестве пакетов;
- восстанавливать потоки данных, содержащиеся в наборах пакетов.
Для чего, в целом, это нужно делать? Это инструмент для захвата и анализа сетевого трафика, фактически стандарт как для образования, так и для траблшутинга. Таблшутинг является формой решения проблем для ремонта и обслуживания различных устройств, узлов или процессов, который представляется в виде поиска проблем для ее решения.
Работа самой программы
Давайте на наглядном примере рассмотрим работу программы Wireshark и ее возможности.
Добыча пакетов или захват трафика
Вначале, перед стартом программы, нам представлен выбор сетевых интерфейсов и пакетов, данные с которых будут захвачены. Сетевые интерфейсы - это специальные устройства, которые предназначены для передачи данных через компьютерную сеть. Сетевые интерфейсы могут быть виртуальными и физическими. Любые данные, получаемые или отправляемые в сети, проходят через сетевой интерфейс.
Изображение 1 - Список доступных сетевых интерфейсов для сканирования
Каким образом реализован захват сетевого трафика?
Все приходящие пакеты на сетевой интерфейс выглядят следующим образом:
Изображение 2 - Анализ всех приходящих пакетов
Какой можно сделать предварительный вывод, глядя на эту информацию? Здесь виден список пакетов, приходящих на сетевой интерфейс, время получения пакета, его адрес и протокол отправки пакетов, их длинна и краткая информация. Уже на данном этапе можно определить по заранее подготовленному списку данных является ли данный адрес достоверным источником. В противном случае, адрес подлежит блокировке. Эта блокировка пакетов называется фильтрация.
Фильтрация пакетов
Изображение 3 - Фильтрация пакетов
Фильтром называется определенное выражение, состоящее из значений, которые могут быть объединены логическими функциями. Само выражение фильтра вводится в панель фильтрации. Примеры фильтров:
- ip.addr == 192.168.1.140 — пакеты с заданным адресом отправителя или получателя;
- eth.dst == ff:ff:ff:ff:ff:ff — широковещательные кадры;
- tcp.dstport == 80 — сегменты TCP на порт 80.
- (ip.srcaddr == 10.0.0.1) && (udp.srcport == 1234) — дейтаграммы UDP от 10.0.0.1, порт отправителя — 1234;
- !(ip.addr == 192.168.1.1) — пакеты от любого узла, кроме заданного.
Решение проблемы медленного получения данных
Постановка проблемы: клиент жалуется низкую скорость получения данных.
Решение проблемы: Открываем сетевой анализатор Wireshark. С помощью фильтра находим строку с данными клиента.
Изображение 4 - Поиск клиента в базе данных обмена
пакетами данных с помощью логического выражения
Изображение 5 - Результат поиска
Изображение 6 - Результат поиска неисправностей
Вывод из решения этой проблемы следующий: если клиент делает запрос и ответ приходит спустя 2-3 секунды, то проблема, однозначно, в сети. И тогда изучение этой проблемы кроется в более глубоком анализе.
Возможно ли с Wireshark узнать что было скачано с нашего ресурса?
Однозначно можно, ведь это одна из основных функций программы. Для этого необходимо как на изображении 2 выбрать порт. Затем выбираем предпочтения протокола и экспортируем файл объекта. Таким образом, можно извлекать видео, аудио, изображение и пр.
Изображение 7 - Экспорт файлов объекта
Обратим внимание, что Wireshark может извлечь полноценные фото, видео, аудио, которые были загружены с порта пользователем.
Ваши разговоры могут быть подслушаны в Wireshark?
Wireshark имеет специальные функции для работы с VoIP. VoIP представляет собой IP-телефонию и, конечно же, умеет перехватывать и сохранять голосовой трафик.
Изображение 8 - Как происходит обмен пакетами IP-телефонии
Wireshark используется не совсем для целей прослушивания разговоров, а, скорее, для обнаружения неисправностей и проблем.
Изображение 9 - Анализ обмена пакетами с клиентом VoIP
Нажав на кнопку Analyze (на изображении 9), перед нами откроется окно анализа, в котором можно выбирать потоки и проигрывать при декодировке.
Изображение 10 - Анализатор спектра прослушиваемого разговора
На изображении 10 видим анализ спектра, в котором можно выделить необходимый период времени записи разговора и прослушать его.
Помимо приложения существует сайт Wireshark
Изображение 11 - Сайт Wireshark
Разработчики Wireshark создали отличный онлайн-сервис, который поможет выполнить анализ дампа трафика. К сожалению, захватывать сетевой трафик не удается возможным.
Вывод
Был рассмотрен основной функционал программы Wireshark, принципы работы и возможности. В настройках мы можем точно провести калибровку сетевого трафика и узнать мельчайшие подробности информации о сетевом трафике. С помощью данной программы можно диагностировать и решать проблемы и неисправности сети.
Список литературы
- Wireshark wiki [Электронный ресурс]. – Режим доступа: https://wiki.wireshark.org/. – Дата доступа: 22.03.2022.
- PacketLife [Электронный ресурс]. – Режим доступа: https://packetlife.net/. – Дата доступа: 22.03.2022.
- How-To Geek [Электронный ресурс]. – Режим доступа: https://www.howtogeek.com/104278/. – Дата доступа: 22.03.2022.