Изучение и настройка интерфейса Wireshark

Введение

В этой лабораторной работе вы познакомитесь с интерфейсом Wireshark и его компонентами, которые имеют решающее значение для анализа сетевого трафика и устранения неполадок. Вы изучите различные части графического интерфейса Wireshark (GUI), поймете их функции и получите практический опыт настройки интерфейса.

К концу этой лабораторной работы вы будете знакомы с базовой структурой Wireshark и хорошо подготовлены к началу анализа сетевого трафика.

Запуск Wireshark

На этом шаге мы запустим Wireshark и познакомим вас с его начальным интерфейсом. Wireshark — очень полезный инструмент в области анализа сети. Это мощный анализатор сетевых протоколов, что означает, что он может захватывать и изучать трафик данных, проходящий через вашу сеть. Это имеет решающее значение для понимания того, как различные устройства в вашей сети взаимодействуют, обнаружения потенциальных угроз безопасности и устранения неполадок в сети.

Запуск Wireshark из терминала

Сначала мы научимся запускать Wireshark с помощью терминала. Терминал — это текстовый интерфейс, который позволяет вам взаимодействовать с вашим компьютером, вводя команды.

1. Убедитесь, что вы находитесь в среде рабочего стола вашей виртуальной машины LabEx (LabEx VM). Виртуальная машина (VM) похожа на отдельный компьютер, работающий внутри вашего фактического компьютера, а среда рабочего стола — это графический интерфейс, где вы можете видеть значки и окна.
2. Откройте терминал. Это можно сделать двумя способами. Вы можете щелкнуть значок терминала на панели задач, которая обычно находится внизу или вверху экрана. Или вы можете использовать сочетание клавиш: одновременно нажмите Ctrl+Alt+T.
3. После открытия терминала вам нужно ввести команду для запуска Wireshark. В терминале введите следующую команду и нажмите Enter:

wireshark

Эта команда сообщает компьютеру о необходимости запуска программы Wireshark.

4. После нажатия Enter вам нужно подождать несколько секунд, пока Wireshark запустится. Как только он будет готов, вы должны увидеть главное окно Wireshark на экране, как показано ниже:

Понимание начального экрана

Когда Wireshark впервые открывается, на экране есть несколько важных элементов, о которых вам следует знать.

• Есть приветственный экран, который предоставляет некоторую основную информацию о Wireshark. Это может дать вам обзор того, что может делать инструмент.
• Вы увидите список доступных сетевых интерфейсов. Сетевые интерфейсы — это как двери, через которые ваш компьютер подключается к сети. Вы можете выбрать один из этих интерфейсов для захвата трафика, который входит и выходит из вашего компьютера.
• Может быть список последних файлов захвата. Если вы использовали Wireshark раньше и сохранили некоторые файлы захвата, вы можете открыть их здесь, чтобы просмотреть ранее захваченный сетевой трафик.
• Есть также поля ввода фильтра отображения (display filter) и фильтра захвата (capture filter). Фильтры используются для фокусировки на определенных типах сетевого трафика. Например, вы можете использовать фильтр, чтобы показывать только трафик с определенного IP-адреса.

Потратьте некоторое время, чтобы посмотреть на этот начальный экран. Это отправная точка, где вы обычно выбираете сетевой интерфейс для начала захвата трафика или открываете ранее сохраненный файл захвата.

Определение основных областей интерфейса

Еще до того, как вы начнете захват сетевого трафика, вы можете определить основные области интерфейса Wireshark. Эти области важны, потому что они предоставляют различные функции и элементы управления для эффективного использования Wireshark.

• В самом верху окна находится Строка меню (Menu Bar). Она содержит такие параметры, как File, Edit, View и т. д. Вы можете использовать эти параметры для выполнения различных действий, таких как сохранение файла захвата, изменение настроек просмотра или редактирование настроек.
• Под строкой меню находится Панель инструментов (Toolbar). На ней есть кнопки для общих действий. Например, может быть кнопка для запуска или остановки захвата или для быстрого сохранения файла.
• Строка фильтров (Filter Bar) — это место, где вы можете вводить фильтры отображения. Как упоминалось ранее, фильтры помогают вам сосредоточиться на определенных типах трафика. Вы можете ввести здесь выражение фильтра, чтобы отображать только трафик, соответствующий вашим критериям.
• В основной области содержимого в настоящее время отображается приветственный экран. Позже, когда вы начнете захват, в этой области будет отображаться захваченный сетевой трафик.

На следующем шаге мы более подробно рассмотрим эти компоненты.

Изучение интерфейса Wireshark

На этом шаге мы подробно рассмотрим различные части интерфейса Wireshark. Wireshark — мощный инструмент для анализа сетевого трафика, и понимание его компонентов необходимо для эффективного изучения сетевых данных. Ознакомившись с этими элементами, вы будете лучше подготовлены к анализу сетевого трафика и устранению неполадок.

Запуск примера захвата

Чтобы упростить изучение интерфейса Wireshark, мы начнем с захвата некоторого примера сетевого трафика. Вот как это можно сделать:

1. Откройте главное окно Wireshark. В этом окне вы увидите список сетевых интерфейсов. Эти интерфейсы подобны дверям, через которые ваш компьютер подключается к различным сетям. Например, eth0 может быть вашим Ethernet-соединением, а lo — интерфейсом обратной петли (loopback interface). Интерфейс обратной петли — это специальный сетевой интерфейс, который позволяет компьютеру взаимодействовать с самим собой.

2. Найдите в списке интерфейс с именем lo и щелкните по нему. Когда вы щелкнете по lo, Wireshark начнет захватывать весь сетевой трафик, проходящий через ваш локальный интерфейс обратной петли. Это отличный способ начать, потому что это простая и контролируемая среда.

3. Через несколько секунд посмотрите на панель инструментов Wireshark. Вы увидите красный квадратный значок, который является кнопкой Stop (Стоп). Нажмите на него, чтобы остановить захват трафика.

После остановки захвата вы должны увидеть список захваченных пакетов в окне Wireshark. Эти пакеты помогут нам изучить различные компоненты интерфейса Wireshark.

Основные компоненты интерфейса

Интерфейс Wireshark разделен на несколько важных областей. Каждая область имеет определенную функцию и предоставляет различные типы информации о захваченном сетевом трафике.

1. Строка меню

В самом верху окна Wireshark находится строка меню (menu bar). Строка меню содержит различные меню, каждое из которых содержит набор связанных команд. Вот что делает каждое меню:

• File (Файл): Это меню используется для основных операций с файлами. Вы можете использовать его для открытия существующих файлов захвата, сохранения текущего захвата или экспорта захваченных данных в различных форматах.
• Edit (Правка): Меню Edit содержит команды для копирования данных из захваченных пакетов, поиска конкретной информации в пакетах и настройки личных предпочтений для работы Wireshark.
• View (Вид): Это меню позволяет вам контролировать, как отображаются пакеты и элементы интерфейса. Вы можете изменить макет, размер шрифта и другие визуальные аспекты окна Wireshark.
• Capture (Захват): Меню Capture предоставляет параметры для запуска, остановки и настройки процесса захвата трафика. Вы можете установить фильтры, выбрать, с каких сетевых интерфейсов захватывать трафик, и многое другое.
• Analyze (Анализ): Это меню содержит инструменты для углубленного анализа данных пакетов. Вы можете использовать эти инструменты для поиска закономерностей, обнаружения аномалий и понимания поведения сетевого трафика.
• Statistics (Статистика): Меню Statistics предлагает различные статистические инструменты. Эти инструменты могут помочь вам понять общие характеристики захваченного трафика, такие как количество отправленных и полученных пакетов, распределение протоколов и многое другое.
• Telephony (Телефония): Если вы работаете с VoIP (Voice over Internet Protocol) или другим сетевым трафиком, связанным с телефонией, меню Telephony содержит инструменты анализа, специально разработанные для этих типов протоколов.
• Wireless (Беспроводная сеть): Для анализа беспроводных сетей меню Wireless предоставляет инструменты, адаптированные к уникальным характеристикам беспроводных сетей, таким как уровень сигнала, использование каналов и многое другое.
• Help (Справка): Меню Help содержит документацию и справочные ресурсы. Если вы застряли или вам нужна дополнительная информация о том, как использовать определенную функцию в Wireshark, здесь вы можете найти ответы.

2. Панель инструментов

Панель инструментов (toolbar) расположена чуть ниже строки меню. Она обеспечивает быстрый доступ к некоторым из наиболее часто используемых функций в Wireshark.

Когда вы перемещаете мышь над панелью инструментов, вы увидите всплывающую подсказку с названием кнопки.

Вот что делает каждая группа кнопок на панели инструментов:

• Start/Stop Capture (Начать/Остановить захват): Эти кнопки позволяют легко запускать и останавливать процесс захвата трафика без необходимости переходить в меню Capture.
• Open/Save (Открыть/Сохранить): Кнопки Open и Save — это ярлыки для операций с файлами в меню File. Вы можете использовать их для быстрого открытия существующего файла захвата или сохранения текущего захвата.
• Zoom (+/-) (Масштаб (+/-)): Инструменты Zoom позволяют увеличивать и уменьшать масштаб просмотра пакетов. Это полезно, когда вы хотите внимательнее рассмотреть конкретный пакет или увидеть больше пакетов одновременно.
• Go To (Перейти к): Кнопки Go To используются для навигации. Вы можете использовать их для быстрого перемещения между различными пакетами в захваченном списке.
• Colorize (Раскрасить): Элементы управления Colorize позволяют изменять раскраску пакетов в списке пакетов. Раскраска может помочь вам быстро идентифицировать различные типы пакетов на основе их характеристик.

3. Панель списка пакетов

Панель списка пакетов (Packet List Pane) является одной из наиболее важных частей интерфейса Wireshark. Она отображает список всех захваченных пакетов вместе с некоторой важной сводной информацией о каждом пакете. Вот что означает каждый столбец в панели списка пакетов:

• No. (№): Это номер пакета в захвате. Это последовательный номер, который помогает вам отслеживать порядок, в котором были захвачены пакеты.
• Time (Время): Столбец Time показывает временную метку (timestamp) захвата пакета. Это может быть полезно для понимания времени сетевых событий.
• Source (Источник): Столбец Source отображает IP-адрес устройства, которое отправило пакет. Это помогает вам определить, откуда поступает сетевой трафик.
• Destination (Назначение): Столбец Destination показывает IP-адрес устройства, которому предназначен пакет. Он сообщает вам, куда идет сетевой трафик.
• Protocol (Протокол): Столбец Protocol указывает протокол самого высокого уровня, обнаруженный в пакете. Например, это может быть TCP (Transmission Control Protocol), UDP (User Datagram Protocol) или HTTP (Hypertext Transfer Protocol).
• Length (Длина): Столбец Length показывает длину пакета в байтах. Это может дать вам представление о размере передаваемых данных.
• Info (Информация): Столбец Info предоставляет сводку содержимого пакета. Он дает вам краткий обзор того, что делает пакет, например, запрос веб-страницы или ответ от сервера.

Чтобы увидеть более подробную информацию о конкретном пакете, щелкните по нему в панели списка пакетов. Когда вы это сделаете, другие панели в интерфейсе Wireshark обновятся, чтобы показать подробности о выбранном пакете.

4. Панель подробностей пакета

Панель подробностей пакета (Packet Details Pane) показывает подробную информацию о выбранном пакете в иерархическом формате. Когда вы щелкаете по пакету в панели списка пакетов, эта панель отображает всю информацию об этом пакете, разбитую по уровням протокола.

• Пакет разделен на различные уровни протокола, такие как уровень Frame (Кадр), уровень Ethernet, уровень IP, уровень TCP и так далее. Каждый уровень представляет собой различную часть процесса сетевой связи.
• Рядом с каждым уровнем есть стрелка. Вы можете щелкнуть по этой стрелке, чтобы развернуть или свернуть уровень. Когда вы разворачиваете уровень, вы увидите все поля и значения внутри этого уровня, которые предоставляют конкретную информацию о пакете.

Попробуйте щелкнуть по стрелкам рядом с различными уровнями протокола, чтобы увидеть, как вы можете детализировать конкретные детали пакета. Это отличный способ понять, как работают сетевые протоколы и как данные передаются по сети.

5. Панель байтов пакета

Панель байтов пакета (Packet Bytes Pane) отображает необработанные байты выбранного пакета в шестнадцатеричном и ASCII-форматах. Эта панель дает вам представление о данных пакета на низком уровне.

• Левый столбец в панели байтов пакета показывает смещение (offset), которое является положением каждого байта в пакете.
• Средние столбцы отображают шестнадцатеричные значения байтов. Шестнадцатеричная система счисления обычно используется в информатике для представления двоичных данных в более удобочитаемом виде.
• Правый столбец показывает ASCII-представление байтов. ASCII — это стандарт кодировки символов, который сопоставляет двоичные данные с символами.

Когда вы выбираете определенное поле в панели подробностей пакета, соответствующие байты в панели байтов пакета будут выделены. Это помогает вам увидеть взаимосвязь между высокоуровневой информацией о протоколе в панели подробностей пакета и необработанными двоичными данными в панели байтов пакета.

Изменение размера панелей

Вы можете настроить размер каждой панели в интерфейсе Wireshark, чтобы сосредоточиться на информации, которая наиболее важна для вашего анализа. Вот как это можно сделать:

1. Переместите курсор к разделителю между двумя панелями. Когда вы это сделаете, курсор изменится на курсор изменения размера, который выглядит как двунаправленная стрелка. Это указывает на то, что теперь вы можете изменить размер панелей.

2. Щелкните и удерживайте кнопку мыши, затем перетащите разделитель, чтобы изменить размер панелей в соответствии с вашими предпочтениями. Вы можете сделать одну панель больше, а другую меньше.

3. Например, если вы хотите увидеть больше пакетов одновременно, вы можете увеличить панель списка пакетов. Если вы хотите увидеть более подробную информацию о пакете без необходимости прокрутки, вы можете увеличить панель подробностей пакета.

4. Вы также можете дважды щелкнуть по разделителю. Когда вы это сделаете, Wireshark автоматически изменит размер панелей до размера по умолчанию или оптимального размера.

Возможность изменять размер панелей очень полезна, особенно при анализе сложных сетевых захватов с большим количеством пакетов или подробной информацией о протоколе. Это позволяет вам настроить интерфейс Wireshark в соответствии с вашими конкретными потребностями анализа.

Настройка интерфейса Wireshark

На этом шаге мы рассмотрим, как настроить интерфейс Wireshark. Настройка интерфейса имеет решающее значение, поскольку она позволяет адаптировать Wireshark к вашим личным предпочтениям, делая задачи сетевого анализа более эффективными. Wireshark поставляется с широким спектром опций настройки, которые могут значительно улучшить ваш рабочий процесс.

Настройка макета

Wireshark предоставляет различные варианты макета, которые определяют, как расположены основные панели. Эти панели важны, поскольку они отображают различные аспекты захваченных сетевых данных.

1. Сначала найдите строку меню в верхней части окна Wireshark. Нажмите Edit (Редактировать), а затем выберите Preferences (Настройки) из выпадающего меню. Откроется окно настроек, где вы можете внести различные изменения в конфигурацию.
2. В окне настроек посмотрите на левую боковую панель. Перейдите в Appearance (Внешний вид), а затем нажмите Layout (Макет). Здесь вы найдете настройки, связанные с макетом интерфейса.
3. У вас есть несколько вариантов макета на выбор:
   • Список пакетов, детали пакетов и байты пакетов в одной колонке (по умолчанию): Это макет по умолчанию, где вся важная информация собрана в одной колонке.
   • Список пакетов сверху, детали пакетов и байты пакетов в одной колонке снизу: В этом макете Список пакетов находится сверху, а две другие панели расположены под ним в одной колонке.
   • Список пакетов сверху, детали пакетов и байты пакетов рядом снизу: Здесь Список пакетов находится сверху, а панели Детали пакетов и Байты пакетов расположены рядом под ним.
   • Пользовательский макет: Эта опция позволяет располагать панели в сетке в соответствии с вашими конкретными потребностями.
4. Попробуйте выбрать другой макет, например, "Список пакетов сверху, детали пакетов и байты пакетов рядом снизу". Это может дать вам лучший обзор данных в зависимости от ваших требований к анализу.
5. После выбора макета нажмите OK, чтобы применить изменения.
6. Наблюдайте, как меняется макет интерфейса. Различные макеты могут быть более подходящими для различных задач анализа или размеров экрана. Например, если у вас большой экран, макет "рядом" может быть более удобным для детального анализа.

Настройка столбцов в списке пакетов

Панель "Список пакетов" отображает список захваченных пакетов. Вы можете изменять, какие столбцы отображаются на этой панели, чтобы показывать информацию, наиболее релевантную вашему анализу.

1. Щелкните правой кнопкой мыши по любому заголовку столбца в панели "Список пакетов". Появится контекстное меню с несколькими опциями.
2. В контекстном меню выберите Column Preferences (Настройки столбцов). Откроется окно, где вы можете управлять столбцами в панели "Список пакетов".
3. В открывшемся окне настроек:
   • Чтобы добавить новый столбец: Нажмите кнопку +. Появится выпадающее меню, где вы можете выбрать тип столбца. После выбора типа укажите заголовок для нового столбца.
   • Чтобы удалить столбец: Выберите столбец, который вы хотите удалить из списка, и нажмите кнопку -.
   • Чтобы изменить порядок столбцов: Выберите столбец и используйте кнопки со стрелками вверх/вниз, чтобы переместить его вверх или вниз по списку.
   • Чтобы изменить столбец: Дважды щелкните по столбцу. Это позволит вам редактировать его свойства, такие как заголовок или отображаемое поле.
4. Давайте попробуем добавить новый столбец:
   • Нажмите кнопку +.
   • Для "Field type" (Тип поля) выберите "Custom" (Пользовательский). Это дает вам возможность выбрать конкретное поле для отображения.
   • Для "Field name" (Имя поля) введите "ip.src". Это покажет исходные IP-адреса пакетов.
   • Для "Title" (Заголовок) введите "Source IP" (Исходный IP). Это будет заголовок нового столбца.
   • Нажмите OK, чтобы подтвердить настройки.
5. Нажмите OK в окне настроек, чтобы применить изменения.
6. Теперь вы должны увидеть новый столбец в панели "Список пакетов". Этот новый столбец поможет вам быстро идентифицировать исходные IP-адреса захваченных пакетов.

Настройка правил раскраски

Wireshark использует цвета, чтобы помочь вам быстро идентифицировать различные типы трафика. Настраивая эти правила раскраски, вы можете еще легче различать различные типы пакетов.

1. В строке меню выберите View (Вид), а затем нажмите Coloring Rules (Правила раскраски). Откроется окно "Правила раскраски".
2. В окне "Правила раскраски" вы увидите список существующих правил раскраски. Каждое правило состоит из трех основных компонентов:
   • Имя: Это метка для правила, облегчающая его идентификацию.
   • Фильтр отображения: Это определяет, к каким пакетам применяется правило. Например, фильтр может быть установлен для соответствия только пакетам определенного протокола.
   • Цвета переднего и заднего плана: Это цвета, используемые для выделения соответствующих пакетов.
3. Чтобы добавить новое правило раскраски:
   • Нажмите кнопку +.
   • Введите имя для вашего правила, например, "ICMP Packets" (Пакеты ICMP). Это поможет вам легко распознать правило позже.
   • Введите фильтр отображения, например, "icmp". Этот фильтр гарантирует, что правило будет применяться только к пакетам ICMP.
   • Нажмите на кнопки цвета переднего и заднего плана, чтобы выбрать цвета, которые вы хотите использовать для выделения этих пакетов.
   • Нажмите OK, чтобы сохранить новое правило.
4. Чтобы изменить приоритет правил, выберите правило и используйте кнопки вверх/вниз. Правила наверху имеют более высокий приоритет, чем те, что ниже. Это означает, что если пакет соответствует нескольким правилам, будет применено правило с наивысшим приоритетом.
5. Нажмите OK, чтобы применить изменения.
6. Наблюдайте, как пакеты, соответствующие вашему фильтру, теперь отображаются выбранными вами цветами. Это значительно упрощает быстрое обнаружение определенных типов трафика в захваченных данных.

Сохранение профиля

После настройки Wireshark по своему вкусу вы можете сохранить свою конфигурацию в виде профиля. Профили полезны, поскольку они позволяют быстро переключаться между различными конфигурациями интерфейса в зависимости от типа задачи сетевого анализа, над которой вы работаете.

1. В строке меню выберите Edit (Редактировать), а затем нажмите Configuration Profiles (Профили конфигурации). Откроется окно "Профили конфигурации".
2. В окне "Профили конфигурации" нажмите +, чтобы создать новый профиль.
3. Введите имя для вашего профиля, например, "My Custom Profile" (Мой пользовательский профиль). Это имя поможет вам легко идентифицировать профиль позже. Затем нажмите OK.
4. Текущие настройки вашей конфигурации теперь сохранены в этом профиле. Это означает, что всякий раз, когда вы выбираете этот профиль, Wireshark будет загружать настроенные вами параметры.
5. Вы можете переключаться между различными профилями, перейдя в Edit (Редактировать) > Configuration Profiles (Профили конфигурации) и выбрав профиль из списка. Например, у вас может быть один профиль для общего просмотра веб-страниц и другой для детального анализа протоколов.

Восстановление настроек по умолчанию

Если вы хотите вернуться к настройкам Wireshark по умолчанию после внесения множества изменений, правильный способ — переключиться обратно на профиль конфигурации по умолчанию. Этот профиль встроен и сохраняет исходные настройки.

1. В строке меню выберите Edit (Редактировать), а затем нажмите Configuration Profiles (Профили конфигурации). Откроется окно "Профили конфигурации".
2. В списке профилей выберите профиль Default (По умолчанию).
3. Нажмите OK. Это немедленно восстановит макет, столбцы и цвета до состояния по умолчанию.

Более быстрый способ сделать это — щелкнуть правой кнопкой мыши по имени профиля в строке состояния в правом нижнем углу окна Wireshark и выбрать Default (По умолчанию) из контекстного меню.

Ваш пользовательский профиль не удаляется этим действием. Вы можете вернуться к нему в любое время.

Резюме

В этой лабораторной работе вы узнали об интерфейсе Wireshark и его компонентах, которые необходимы для анализа и устранения неполадок сетевого трафика. Вы изучили процесс запуска Wireshark, ознакомились с его пятью основными компонентами и научились запускать базовый захват и генерировать трафик для анализа.

Вы также освоили методы навигации по захваченным пакетам, настройки интерфейса и создания профилей конфигурации. Эти навыки закладывают прочную основу для расширенного анализа сети. По мере продвижения в области кибербезопасности и администрирования сети ваша способность использовать и настраивать Wireshark будет бесценной для устранения неполадок, анализа инцидентов и понимания сетевых протоколов.