Рубрика WireShark — Это своего рода мануал по работе с программой анализа трафика.

Большинство статей — переведены и подготовлены для русскоязычных читателей, имеющих желание подробно ознакомиться с данной программой, но не обладающих достаточными знаниями английского языка. Все недочеты и пожелания оставляйте в комментариях.



Быстрое меню
×

Как использовать GeoIP в wireshark

В некоторых версиях программы wireshark есть возможность использовать GeoIP и определять геолокацию ip. Wireshark , начиная от версии 2.6 и выше могут использовать базы данных MaxMind для поиска по стране, городу, номеру автономной системы, координатам и другой информации для IP-адреса. Платные базы более точны. Нам для тестов подойдет и бесплатный вариант, страна и город будут доступны для определения.

Итак как же использовать GeoIP в wireshark? Начать следует с определения того, поддерживает ли ваша версия wireshark использование GeoIP. Для этого, запустите программу и пройдите по меню в:

Help —> About Wireshark

Откроется окно изображенное на Рис 1

Читать полностью.

Wireshark что такое SACK_PERM, TSval, TSecr

В SYN пакетах, которые используются в настройке сеанса рукопожатия TCP есть дополнительные параметры TCP, такие как: SACK_PERM, TSval,  TSecr.  Все это так называемые высокопроизводительные параметры, которые сейчас широко распространены, поскольку все современные стеки TCP знают о них и используют, особенно в средах с высокой пропускной способностью с высокой задержкой (LFN).

Читать полностью.

Как сохранить фильтры для дальнейшего использования.

Вы можете создать фильтры отображения с помощью Wireshark, дать им метки для последующего использования и сохранить в программе. Такая операция может сэкономить время на запоминание и повторный набор сложных фильтров, которые вы чаще всего используете.

Для того, чтобы определить новый фильтр или изменить существующий, необходимо открыть окно Display Filters  Захват → Захват фильтров … или Анализировать → Показать фильтры … . Затем Wireshark откроет диалоговое окно «Фильтры»,  «Диалоговые окна« Фильтры захвата »и« Экранные фильтры » .

Диалоговое Окно «Фильтры захвата»

Читать полностью.

Диалоговое окно «Выражение фильтра». Как просто составлять выражения фильтра отображения.

Когда вы привыкли к системе фильтрации Wireshark и знаете, какие метки вы хотите использовать в своих фильтрах, очень просто ввести строку фильтра. Однако, если вы новичок в Wireshark или работаете с немного незнакомым протоколом, может быть очень затруднительным попытаться выяснить, что вводить или составить фильтр отображения. Диалоговое окно «Выражение фильтра» поможет вам в этом.

Чтобы вызвать окно «Выражение фильтра» после запуска WireSharka  нажмите на надпись Expression… у поля фильтрации

 

 

Читать полностью.

Формирование выражений фильтра отображения

Wireshark предлагает простой, но мощный экранный фильтр, позволяющий создавать довольно сложные выражения фильтра. Вы можете сравнивать значения в пакетах, а также комбинировать выражения в более конкретные выражения. Ниже разобраны конкретные примеры и описания.

 

Поля отображения фильтра

Каждое поле в панели сведений о пакете может использоваться как строка фильтра, это приведет к отображению только тех пакетов, где это поле существует. Например: строка фильтра: tcp отобразит все пакеты, содержащие протокол tcp.

Полный список всех полей фильтра доступен через пункт меню Справка

Читать полностью.

Объединение файлов захвата

Иногда необходимо объединить несколько файлов захвата в один. Например, это может быть полезно, если вы одновременно захватили сразу несколько интерфейсов (например, используя несколько экземпляров Wireshark).

Существует три способа объединения файлов захвата с помощью Wireshark:

Читать полностью.

Сохранение захваченных пакетов в WireShark

После захвата пакетов вы можете сохранить их в файл, в любую папку на вашем компьютере, через пункты меню File → Save As … . Вы можете выбрать, какие пакеты сохранить и какой формат файла использовать.

Не вся информация будет сохранена в файле захвата. Например, большинство форматов файлов не записывают количество отброшенных пакетов.

Диалоговое окно «Сохранить как» позволяет сохранить текущий захват в файл.  Внешний вид этого диалога зависит от системы. Однако функциональность должна быть одинаковой для всех систем.

Читать полностью.

Открыть файлы захвата

Wireshark может читать ранее сохраненные файлы захвата. Чтобы прочитать их, просто выберите пункт меню « Файл/File» → « Открыть/Open» или «Панель инструментов». Затем Wireshark откроет диалоговое окно «Открыть файл», которое более подробно описано в разделе 5.2.1 «Диалоговое окно« Открыть файл захвата »» .

Удобно использовать drag-and-drop
Вы можете открыть файл, просто перетащив его в свой файловый менеджер и опустив его в главное окно Wireshark. Однако перетаскивание не всегда может быть доступно.

Если вы ранее не сохранили текущий файл захвата, вам будет предложено сделать это, чтобы предотвратить потерю данных. Это предупреждение можно отключить в настройках.

В дополнение к своему собственному файловому формату (pcapng) Wireshark может читать и записывать файлы захвата из большого количества других программ захвата пакетов.

Читать полностью.

Фильтрация при захвате. Обзор синтаксиса фильтров.

Wireshark использует язык фильтра libpcap для фильтров захвата. Ниже приведен краткий обзор синтаксиса.

НЕ путайте фильтры захвата (Capture filter) ( пример : tcp port 80 ) и фильтры отображения (display filter) ( пример : tcp.port == 80 ). Фильтры захвата устанавливаются до Старта захвата, а фильрами отображения вы можете оперировать во время захвата.

Фильтр захвата принимает форму серии примитивных выражений, связанных конъюнкциями ( и | или ) и необязательно предшествующих НЕ :

[not] примитив [and | or [not] примитив …]

 

Фильтр захвата для telnet, который фиксирует трафик на конкретный хост и с него

tcp port 23 and host 10.0.0.5

В этом примере фиксируется трафик telnet с хостом 10.0.0.5 и с него, а также показано, как использовать два примитива и соединение. В другом примере показан «Захват всего трафика telnet не с 10.0.0.5» , и показывает, как захватить весь трафик telnet, кроме 10.0.0.5.

Читать полностью.

Захват файлов и файловые режимы.

При захвате базового механизма захвата libpcap будут захватывать пакеты с сетевой карты и сохранять пакетные данные в (относительно) небольшом буфере ядра. Эти данные считываются Wireshark и сохраняются в файле захвата.

По умолчанию Wireshark сохраняет пакеты во временный файл. Вы также можете сообщить Wireshark о сохранении в конкретном («постоянном») файле и переключиться на другой файл по истечении заданного времени или на определенное количество пакетов. Эти параметры контролируются на вкладке «Выход» в диалоговом окне «Параметры захвата».

Параметры вывода захвата

Читать полностью.