Wireshark - це один з найвідоміших інструментів мережевого аналізу в світі і тому, що він безкоштовний і тому, що він добре працює і не є надто складним у використанні. Його слава, однак, випливає з того, що за допомогою цієї програми можна фільтрувати, захоплювати та шпигувати за пакетами та інформацією, що передаються всередині комп'ютерної мережі .
Шпигунство за пакетами, як видно із загального посібника (Введення захищеної мережі Wi-Fi для захоплення пакетів та шпигунства за тим, що ви робите в Інтернеті), дозволяє читати будь-яку інформацію, яка стає зрозумілою при спілкуванні між ПК та Інтернетом.
Це означає, що якщо двоє людей знаходяться в одному офісі чи будинку та підключаються до однієї мережі (або того ж маршрутизатора), щоб перейти в Інтернет, то два ПК можна побачити, і з одного можна, використовуючи Wireshark, захопити інформацію про інші, включаючи веб-сайти, які ви відвідуєте, паролі прямого тексту (на сайтах, які не є https), електронні листи, чати тощо.
Wireshark, однак, це, перш за все, дуже потужна програма аналізу мережі, яку також використовують професійні фахівці, а потім давайте подивимось, як її серйозно використовувати.
Ви можете завантажити Wireshark для Windows або Mac OS X з його офіційного веб-сайту.
Якщо ви використовуєте Linux або іншу схожу на UNIX систему, Wireshark повинен знаходитись у сховищі програмного забезпечення для дистрибуції.
Завантаживши та встановивши Wireshark, ви можете його запустити і потрібно негайно вибрати правильний мережевий інтерфейс для аналізу .
Наприклад, якщо ви хочете придбати трафік по бездротовій мережі, клацніть мережеву карту wifi в іншому випадку, якщо мережа, що використовується, є дротовою, ви повинні вибрати підключення до локальної мережі тощо.
Як тільки ви виберете інтерфейс, ви відразу побачите, що будь-яка інформація, що проходить через мережу, видно у списку суцільної прокрутки.
Якщо ви ввімкнете управління в мережі, спільною для декількох комп'ютерів (наприклад, Wi-Fi), і ви активували отримання даних у безладному режимі, ви також побачите пакети інших комп'ютерів, підключених до тієї ж мережі .
Придбання в безладному режимі можливе на ПК з Windows тільки шляхом встановлення драйверів WinPCap, які входять до інсталяційного пакету Wireshark.
У верхньому лівому куті ви можете зупинити процес зйомки в режимі реального часу та зупинити отримання трафіку.
Wireshark показує перехоплені дані різного кольору, щоб легше визначити типи трафіку.
За замовчуванням трафік TCP зелений, трафік DNS темно-синього кольору, натомість UDP-трафік - світло-синій; чорні - це пакети TCP з проблемами.
Щоб розпочати роботу та побачити, чи працює вона, вам потрібно переконатися, що під час перегляду Інтернету, відкривши кілька веб-сайтів, Wireshark захоплює дані та інформацію.
HTTP-дзвінки - це ті, що стосуються інтернет-трафіку, які можуть бути найцікавішими, якщо ви збираєтесь знайти інформацію про перегляд, наприклад, відвідувані сайти.
Ви також можете завантажити зразок файлу для аналізу в Wireshark для
Важливо не загубитися в морі створених даних - використовувати правила фільтрації пакетів.
Найпростіший спосіб застосувати фільтр - це ввести ключ пошуку у поле фільтру у верхній частині вікна та натиснути Застосувати.
Наприклад, набравши " http ", ви побачите лише з'єднання, виконані через браузер в Інтернеті.
Кожен пакет можна оглянути та просто натиснути на нього правою кнопкою, щоб побачити більше деталей та потік TCP або історію зроблених кроків (наприклад, якщо ви шукаєте в Google більше речей, ви можете переглянути весь потік).
Більш конкретні фільтри можна застосувати з меню Аналіз .
При придбанні пакетів може бути незручно і важко зрозуміти потік фтористих даних і інформації в мережі, оскільки відображаються лише IP-адреси.
Однак можна перетворити IP-адреси в доменні імена (для http-трафіку це означає бачити імена веб-сайтів), активувавши функціональність у меню Правка -> Налаштування -> Дозвіл імені та активуючи " Увімкнути дозвіл мережевих імен ".
Увімкнувши цю опцію, ви побачите доменні імена замість IP-адрес, але, оскільки Wireshark повинен буде шукати кожне доменне ім’я, запити DNS збільшуються за рахунок збільшення потоку даних.
Якщо ви хочете налаштувати автоматичне захоплення пакетів на своєму комп’ютері, ви можете створити ярлик на робочому столі, щоб швидко запустити Wireshark.
Після створення посилання клацніть правою кнопкою миші, введіть властивості та, де написано " Місце призначення ", додайте пробіл до рядка після остаточних лапок, а потім -i # -k .
замість # потрібно поставити номер мережевої картки, яку потрібно перевірити, згідно з порядком, який дає Wireshark під час фази вибору.
Захоплення трафіку з інших комп’ютерів, підключених до тієї самої мережі, можливо, це найсмішніша мета, яка робить нас трохи хакером по-своєму власним маленьким способом (однак, це не так просто).
Якщо ви хочете записувати мережевий трафік і шпигувати за інформацією, що проходить через маршрутизатор, сервер чи інший комп'ютер, вам слід скористатися віддаленим захопленням Wireshark, яке в Windows використовує драйвер WinPcap.
Після його встановлення необхідно відкрити вікно служб Windows (натисніть кнопку Пуск і напишіть команду Services.msc у поле Пошук або Виконати).
У списку послуг знайдіть та активуйте те, що називається Протокол захоплення віддалених пакетів .
Ця служба відключена за замовчуванням.
Клацніть на Параметри Захоплення у початковому вікні Wireshark та виберіть Віддалене у вікні Інтерфейс .
Потім введіть адресу віддаленої системи (наприклад, 192.168.2.3 ) і як порт 2002 .
Для роботи потрібно мати доступ до порту 2002 на віддаленій системі, тому вам потрібно буде відкрити цей порт на брандмауері або маршрутизаторі комп'ютера.
Після підключення ви можете вибрати інтерфейс віддаленої системи з вікна, у якому перераховані мережеві карти, та натисніть кнопку "Почати", щоб почати запис з'єднань, зроблених із цього комп'ютера.
У цьому відео ви можете побачити вступний підручник, зроблений дуже добре, щоб навчитися користуватися Wireshark.
Wireshark - надзвичайно потужний інструмент, навіть якщо лише найдосвідченіші можуть його глибоко зрозуміти і використовувати для виконання будь-якого типу операцій у мережі.
Цей підручник лише вступний до всього, що ви можете зробити (тут є повна інструкція англійською мовою); просто знайте, що професіонали використовують його для налагодження встановлення мережевих протоколів, аналізу проблем безпеки та контролю трафіку в компаніях.
Нарешті, ще одна остання рекомендація: багато організацій не дозволяють Wireshark або подібним інструментам діяти у своїх мережах (проблема конфіденційності), тому не варто ризикувати його використанням в офісі, якщо у вас немає дозволу.
Якщо ви хочете спробувати більш прості програми, рекомендую завантажити інструменти Nirsoft, щоб нюхати мережу ПК та переглянути відвідувані сайти, пошук в Інтернеті та паролі .
