Перейти к основному содержанию
 

Wireshark — анализатор сетевого трафика

Wireshark

Wireshark — бесплатный и очень подробный анализатор сетевого трафика с открытым исходным кодом. Незаменимый инструмент администратора сети. Работает с подавляющим большинством известных протоколов. Программа переводит сетевую карту в режим promiscuous mode и просматривает весь трафик в режиме реального времени.

Wireshark имеет графический пользовательский интерфейс и много возможностей по сортировке и фильтрации полученной информации.

Это один из лучших доступный анализаторов пакетов. Может анализировать дампы tcpdump.

tcpdump — анализатор сетевого трафика

PktMon — анализатор сетевого трафика

net

Ссылки

Дистрибутив Wireshark доступен для многих операционных систем: Microsoft Windows, macOS, UNIX, Linux, и BSD.

https://www.wireshark.org/download.html

Самую полную документация по Wireshark можно найти в Wireshark User’s Guide. Последняя на данный момент версия доки 3.5.0 содержит 303 страницы.

https://www.wireshark.org/download/docs/user-guide.pdf

net

Кто использует Wireshark

  • Сетевые администраторы — для устранения сетевых неполадок.
  • Инженеры по информационной безопасности — для изучения проблем безопасности.
  • Инженеры QA — для проверки сетевых приложений.
  • Разработчики — для отладки реализаций протоколов.
  • Люди — для изучения внутренних компонентов сетевого протокола.

В любой другой непонятной ситуации используй Wireshark.

net

Возможности

  • Доступно для UNIX и Windows.
  • Захват пакетов с сетевого интерфейса в режиме реального времени.
  • Анализ файлов дампа пакетов, захваченных с помощью tcpdump/WinDump, Wireshark и многих других программ захвата пакетов. Импорт файлов, содержащих шестнадцатеричные дампы. Создание дампов, экспорт некоторых или всех пакетов в несколько форматов.
  • Подробная информация.
  • Поиски и фильтрация пакетов по многим критериям.
  • Подсветка различных типов пакетов на основе фильтров.
  • Статистика.
  • Многое другое.

net

Интерфейсы

Wireshark поддерживает разные интерфейсы.

  • any — виртуальный интерфейс, захватывает все возможные интерфейсы
  • lo — виртуальный интерфейс обратной петли
  • eth0, eth1, … — ethernet интерфейсы
  • ppp0, ppp1, … — PPP интерфейсы
  • wlan0, wlan1, … — wireless LAN
  • team0, bond0 — комбинированные интерфейсы (NIC bonding, NIC teaming)
  • br0, br1, … — сетевой мост Ethernet
  • tunl0, tunl1 — IP туннелирование
  • gre0, gre1 — GRE туннелирование
  • ipsec0, ipsec1 — вторичный IP
  • nas0, nas1 — мост ATM как в RFC 2684
  • usb0, usb1, … — USB интерфейсы

net

Фильтрры

Основные фильтры:

  • ip.dst — IP получателя
  • ip.src — IP отправителя
  • ip.addr — IP отправителя или получателя
  • ip.proto — протокол
  • tcp.dstport — порт получателя
  • tcp.srcport — порт отправителя
  • ip.ttl — TTL
  • http.request_uri — запрашиваемый URI

Операции для фильтров:

  • == — равно (ip.dst == 192.168.1.1)
  • != — не равно (udp.dst != 53)
  • < — меньше (ip.ttl < 10)
  • > — больше (http.content_length > 2000)
  • <= — меньше или равно (frame.len <= 0x20)
  • >= — больше или равно (tcp.analysis.bytes_in_flight >= 1000)
  • matches — регулярное выражение (frame matches "[Pp][Aa][Ss][Ss]")
  • contains — содержит (dns.resp.name contains example)
  • && — и (ip.dst == 192.168.1.1 && ip.src == 10.10.30.10)
  • || — или (ip.dst == 192.168.1.1 || ip.dst == 10.10.10.12)

net

Теги