วิธีใช้ Wireshark เพื่อจับภาพกรองและตรวจสอบแพ็กเก็ต

Wireshark ซึ่งเป็นเครื่องมือวิเคราะห์เครือข่ายเดิมชื่อ Ethereal จับภาพแพ็กเก็ตแบบเรียลไทม์และแสดงในรูปแบบที่มนุษย์อ่านได้ Wireshark ประกอบด้วยฟิลเตอร์การเข้ารหัสสีและคุณสมบัติอื่น ๆ ที่ช่วยให้คุณเจาะลึกการรับส่งข้อมูลเครือข่ายและตรวจสอบแต่ละแพ็กเก็ต

บทช่วยสอนนี้จะช่วยให้คุณรู้ข้อมูลเบื้องต้นเกี่ยวกับการบันทึกแพ็กเก็ตกรองข้อมูลและตรวจสอบได้อย่างรวดเร็ว คุณสามารถใช้ Wireshark เพื่อตรวจสอบปริมาณการใช้งานเครือข่ายของโปรแกรมที่น่าสงสัยวิเคราะห์การรับส่งข้อมูลบนเครือข่ายของคุณหรือแก้ไขปัญหาเครือข่าย

รับ Wireshark

คุณสามารถดาวน์โหลด Wireshark สำหรับ Windows หรือ macOS ได้จากเว็บไซต์ทางการ หากคุณใช้ Linux หรือระบบอื่นที่คล้าย UNIX คุณอาจพบ Wireshark ในที่เก็บแพ็กเกจ ตัวอย่างเช่นหากคุณใช้ Ubuntu คุณจะพบ Wireshark ใน Ubuntu Software Center

เพียงคำเตือนสั้น ๆ : หลายองค์กรไม่อนุญาตให้ใช้ Wireshark และเครื่องมือที่คล้ายกันในเครือข่ายของตน อย่าใช้เครื่องมือนี้ในที่ทำงานเว้นแต่คุณจะได้รับอนุญาต

การจับแพ็คเก็ต

หลังจากดาวน์โหลดและติดตั้ง Wireshark คุณสามารถเปิดใช้งานและดับเบิลคลิกที่ชื่อของอินเทอร์เฟซเครือข่ายภายใต้ Capture เพื่อเริ่มบันทึกแพ็กเก็ตบนอินเทอร์เฟซนั้น ตัวอย่างเช่นหากคุณต้องการจับการรับส่งข้อมูลบนเครือข่ายไร้สายของคุณให้คลิกอินเทอร์เฟซไร้สายของคุณ คุณสามารถกำหนดค่าคุณสมบัติขั้นสูงได้โดยคลิกที่ Capture> Options แต่ตอนนี้ยังไม่จำเป็น

ทันทีที่คุณคลิกชื่อของอินเทอร์เฟซคุณจะเห็นแพ็กเก็ตเริ่มปรากฏตามเวลาจริง Wireshark จับแต่ละแพ็กเก็ตที่ส่งไปยังหรือจากระบบของคุณ

หากคุณเปิดใช้งานโหมดสำส่อน - เปิดใช้งานโดยค่าเริ่มต้นคุณจะเห็นแพ็กเก็ตอื่น ๆ ทั้งหมดบนเครือข่ายแทนที่จะเป็นเพียงแพ็กเก็ตที่ส่งไปยังอะแดปเตอร์เครือข่ายของคุณ หากต้องการตรวจสอบว่าเปิดใช้งานโหมดสำส่อนหรือไม่ให้คลิกจับภาพ> ตัวเลือกและตรวจสอบว่าช่องทำเครื่องหมาย“ เปิดใช้งานโหมดสำส่อนบนอินเทอร์เฟซทั้งหมด” ที่ด้านล่างของหน้าต่างนี้

คลิกปุ่ม "หยุด" สีแดงใกล้มุมบนซ้ายของหน้าต่างเมื่อคุณต้องการหยุดจับการจราจร

การเข้ารหัสสี

คุณอาจเห็นแพ็คเก็ตที่เน้นด้วยสีที่แตกต่างกัน Wireshark ใช้สีเพื่อช่วยคุณระบุประเภทการรับส่งข้อมูลได้อย่างรวดเร็ว โดยค่าเริ่มต้นสีม่วงอ่อนคือการรับส่งข้อมูล TCP สีฟ้าอ่อนคือการรับส่งข้อมูล UDP และสีดำจะระบุแพ็กเก็ตที่มีข้อผิดพลาดตัวอย่างเช่นอาจมีการจัดส่งไม่เป็นระเบียบ

หากต้องการดูความหมายของรหัสสีให้คลิกมุมมอง> กฎการระบายสี คุณยังสามารถปรับแต่งและแก้ไขกฎการระบายสีได้จากที่นี่หากต้องการ

จับตัวอย่าง

หากไม่มีอะไรน่าสนใจในเครือข่ายของคุณให้ตรวจสอบ wiki ของ Wireshark ได้กล่าวถึง วิกิประกอบด้วยหน้าของไฟล์การจับภาพตัวอย่างที่คุณสามารถโหลดและตรวจสอบได้ คลิกไฟล์> เปิดใน Wireshark และเรียกดูไฟล์ที่ดาวน์โหลดมาเพื่อเปิดไฟล์

คุณยังสามารถบันทึกการจับภาพของคุณเองใน Wireshark และเปิดในภายหลังได้ คลิกไฟล์> บันทึกเพื่อบันทึกแพ็กเก็ตที่จับได้

การกรองแพ็คเก็ต

หากคุณกำลังพยายามตรวจสอบสิ่งที่เฉพาะเจาะจงเช่นการรับส่งข้อมูลที่โปรแกรมส่งเมื่อโทรกลับบ้านจะช่วยปิดแอปพลิเคชันอื่น ๆ ทั้งหมดที่ใช้เครือข่ายเพื่อให้คุณสามารถ จำกัด ปริมาณการใช้งานได้ ถึงกระนั้นคุณอาจมีแพ็คเก็ตจำนวนมากให้กรอง นั่นคือสิ่งที่ตัวกรองของ Wireshark เข้ามา

วิธีพื้นฐานที่สุดในการใช้ตัวกรองคือการพิมพ์ลงในช่องตัวกรองที่ด้านบนของหน้าต่างแล้วคลิกนำไปใช้ (หรือกด Enter) ตัวอย่างเช่นพิมพ์“ dns” แล้วคุณจะเห็นเฉพาะแพ็กเก็ต DNS เมื่อคุณเริ่มพิมพ์ Wireshark จะช่วยเติมตัวกรองของคุณโดยอัตโนมัติ

คุณยังสามารถคลิกวิเคราะห์> ตัวกรองการแสดงผลเพื่อเลือกตัวกรองจากตัวกรองเริ่มต้นที่รวมอยู่ใน Wireshark จากที่นี่คุณสามารถเพิ่มตัวกรองที่กำหนดเองและบันทึกเพื่อเข้าถึงได้ง่ายในอนาคต

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับภาษาการกรองการแสดงผลของ Wireshark โปรดอ่านหน้านิพจน์ตัวกรองการแสดงผลอาคารในเอกสารของ Wireshark อย่างเป็นทางการ

สิ่งที่น่าสนใจอีกอย่างที่คุณสามารถทำได้คือคลิกขวาที่แพ็กเก็ตแล้วเลือกติดตาม> สตรีม TCP

คุณจะเห็นการสนทนา TCP เต็มรูปแบบระหว่างไคลเอนต์และเซิร์ฟเวอร์ คุณยังสามารถคลิกโปรโตคอลอื่น ๆ ในเมนูติดตามเพื่อดูการสนทนาทั้งหมดสำหรับโปรโตคอลอื่น ๆ หากมี

ปิดหน้าต่างและคุณจะพบว่ามีการใช้ตัวกรองโดยอัตโนมัติ Wireshark กำลังแสดงแพ็กเก็ตที่ประกอบขึ้นเป็นบทสนทนา

การตรวจสอบแพ็คเก็ต

คลิกที่แพ็กเก็ตเพื่อเลือกและคุณสามารถขุดลงไปเพื่อดูรายละเอียดได้

คุณยังสามารถสร้างตัวกรองได้จากที่นี่เพียงคลิกขวาที่รายละเอียดรายการใดรายการหนึ่งแล้วใช้เมนูย่อยใช้เป็นตัวกรองเพื่อสร้างตัวกรองตาม

Wireshark เป็นเครื่องมือที่ทรงพลังอย่างยิ่งและบทช่วยสอนนี้เป็นเพียงแค่การขีดข่วนพื้นผิวของสิ่งที่คุณสามารถทำได้ ผู้เชี่ยวชาญใช้เพื่อดีบักการใช้งานโปรโตคอลเครือข่ายตรวจสอบปัญหาด้านความปลอดภัยและตรวจสอบภายในโปรโตคอลเครือข่าย

คุณสามารถดูข้อมูลโดยละเอียดเพิ่มเติมได้ในคู่มือผู้ใช้ Wireshark อย่างเป็นทางการและหน้าเอกสารอื่น ๆ บนเว็บไซต์ของ Wireshark