Рубрика WireShark — Это своего рода мануал по работе с программой анализа трафика.

Большинство статей — переведены и подготовлены для русскоязычных читателей, имеющих желание подробно ознакомиться с данной программой, но не обладающих достаточными знаниями английского языка. Все недочеты и пожелания оставляйте в комментариях.



Быстрое меню
×

Диалоговое окно «Интерфейсы удаленного захвата»

Помимо выполнения захвата на локальных интерфейсах Wireshark способен охватить сеть через так называемый демон захвата или процессы обслуживания для получения захваченных данных.

Только Microsoft Windows

Этот диалог и возможности доступны только в Microsoft Windows. В Linux / Unix вы можете добиться того же эффекта (безопасно) через SSH-туннель.

Перед тем, как Wireshark сможет подключиться к ней, сначала необходимо запустить службу протокола удаленного захвата пакетов. Самый простой способ — установить WinPcap на цель. По завершении установки перейдите на панель управления «Службы», найдите службу «Протокол удаленного захвата пакетов» и запустите ее.

Читать полностью.

Панель состояния

В строке состояния отображаются информационные сообщения.

В общем, на левой стороне будет отображаться связанная с контекстом информация, средняя часть будет отображать информацию о текущем файле захвата, а в правой части отобразится выбранный профиль конфигурации. Перетащите рукоятки между текстовыми областями, чтобы изменить размер.

Начальная панель состояния

Эта строка состояния отображается, пока загружается файл захвата, например, когда Wireshark запущен.

Читать полностью.

Экспертная информация

Экспертная информация — это своего рода журнал аномалий, найденных Wireshark в файле захвата.

Общая идея следующей «Экспертной информации» заключается в том, чтобы лучше отображать «необычное» или просто заметное поведение сети. Таким образом, как начинающие, так и опытные пользователи, мы надеемся, найдут вероятные сетевые проблемы намного быстрее, по сравнению с сканированием списка пакетов «вручную».

Читать полностью.

Панель сведений о пакете

На панели сведений о пакете отображается текущий пакет (выбранный в панели «Список пакетов») в более подробной форме.

На этой панели отображаются протоколы и поля протокола пакета, выбранного в панели «Список пакетов». Протоколы и поля пакета, отображаемые в дереве,  можно развернуть и свернуть.

Читать полностью.

Панель «Список пакетов»

Каждая строка в списке пакетов соответствует одному пакету в файле захвата и он же является захваченным в Wireshark трафиком. Если вы выберете строку на этой панели, более подробная информация о данном трафике или правильнее сказать, захваченных пакетах, будет отображаться в панелях «Пакетная информация» и «Пакеты пакетов».

Разбирая пакет, Wireshark будет размещать информацию из дисконтов протокола в столбцах. Поскольку протоколы более высокого уровня могут перезаписывать информацию с более низких уровней, вы  увидите информацию только с максимально возможного уровня.


Читать полностью.

WireShark панель инструментов «Фильтр» (Filter)

Панель инструментов Wireshark фильтры, позволяет быстро редактировать и применять фильтры отображения.

Вы можете определить фильтры с помощью Wireshark и дать им метки для последующего использования. Это может сэкономить время на запоминание и повторный набор некоторых более сложных фильтров, которые вы используете.

Для того, чтобы определить новый фильтр или изменить существующий один, выберите Capture(Захват) → Захват фильтров(Capture Filters) …или Анализировать(Analyze) → Показать фильтры (Display Filters) … . Затем Wireshark откроет диалоговое окно «Фильтры»

Читать полностью.

WireShark форматы отображения времени и ссылки времени.

Пока пакеты захвачены, каждый пакет имеет отметку времени. Эти временные метки будут сохранены в файле захвата, поэтому они будут доступны для последующего анализа.

Формат представления метки времени и точность в списке пакетов можно выбрать с помощью меню «Вид»

Доступные форматы:

  • Дата и время суток: 1970-01-01 01: 02: 03.123456 Абсолютная дата и время дня, когда пакет был захвачен.
  • Время суток: 01: 02: 03.123456 Абсолютное время дня, когда пакет был захвачен.
  • Секунды с начала захвата: 123.123456 Время относительно начала файла захвата или первого «пакета по времени» перед этим пакетом
  • Секунды с предыдущего захваченного пакета: 1.123456 Время относительно предыдущего захваченного пакета.
  • Секунды с предыдущего показанного пакета : 1.123456 Время относительно предыдущего отображаемого пакета.
  • Seconds Since Epoch (1970-01-01): 1234567890.123456 Время относительно эпохи ( UTC от 1 января 1970 года).

Читать полностью.

WireShark описание меню «Statistics»

Меню Statistics в Wireshark содержит в себе следующие элементы:

Читать полностью.

WireShark окно Диалоги (Conversations)

Сетевой разговор в Wireshark — это трафик между двумя конкретными конечными точками. Например, IP-разговор — это весь трафик между двумя IP-адресами.

Окно бесед похоже на окно конечной точки. Наряду с адресами, счетчиками пакетов и байтовыми счетчиками окно беседы добавляет четыре столбца:  время начала разговора («Начало отпуска») или («Начало Abs»), продолжительность разговора в секундах и средние биты ( не байтов) в секунду в каждом направлении.  График временной шкалы также нарисован в столбцах «Начало начала» / «Абс-Старт» и «Длительность».

Читать полностью.

WireShark описание меню «Analyze»

Меню Analyze в Wireshark содержит в себе следующие элементы:

Читать полностью.