Com llegir paquets a Wireshark

Per a molts experts en TI, Wireshark és l'eina de referència per a l'anàlisi de paquets de xarxa. El programari de codi obert us permet examinar de prop les dades recopilades i determinar l'arrel del problema amb una precisió millorada. A més, Wireshark funciona en temps real i utilitza codificacions de colors per mostrar els paquets capturats, entre altres mecanismes enginyosos.

Com llegir paquets a Wireshark

En aquest tutorial, explicarem com capturar, llegir i filtrar paquets amb Wireshark. A continuació, trobareu instruccions pas a pas i desglossaments de les funcions bàsiques d'anàlisi de xarxa. Un cop domineu aquests passos fonamentals, podreu inspeccionar el flux de trànsit de la vostra xarxa i resoldre problemes amb més eficiència.

Anàlisi de paquets

Un cop capturats els paquets, Wireshark els organitza en un panell de llista de paquets detallat que és increïblement fàcil de llegir. Si voleu accedir a la informació d'un sol paquet, només heu de localitzar-lo a la llista i fer clic. També podeu ampliar encara més l'arbre per accedir als detalls de cada protocol contingut al paquet.

Per obtenir una visió general més completa, podeu mostrar cada paquet capturat en una finestra independent. Així és com:

  1. Seleccioneu el paquet de la llista amb el cursor i feu clic amb el botó dret.

  2. Obriu la pestanya "Visualitza" de la barra d'eines de dalt.

  3. Seleccioneu "Mostra el paquet a la finestra nova" al menú desplegable.

Nota: és molt més fàcil comparar els paquets capturats si els mostreu en finestres separades.

Com s'ha esmentat, Wireshark utilitza un sistema de codificació de colors per a la visualització de dades. Cada paquet està marcat amb un color diferent que representa diferents tipus de trànsit. Per exemple, el trànsit TCP se sol ressaltar amb blau, mentre que el negre s'utilitza per indicar paquets que contenen errors.

Per descomptat, no cal memoritzar el significat de cada color. En comptes d'això, podeu comprovar-ho al moment:

  1. Feu clic amb el botó dret sobre el paquet que voleu examinar.

  2. Seleccioneu la pestanya "Visualitza" de la barra d'eines a la part superior de la pantalla.

  3. Trieu "Regles per pintar" al tauler desplegable.

Veureu l'opció de personalitzar la coloració al vostre gust. Tanmateix, si només voleu canviar les regles de coloració temporalment, seguiu aquests passos:

  1. Feu clic amb el botó dret al paquet al panell de la llista de paquets.
  2. A la llista d'opcions, seleccioneu "Acoloreix amb filtre".

  3. Trieu el color amb què voleu etiquetar-lo.

Número

El panell de la llista de paquets us mostrarà el nombre exacte de bits de dades capturats. Com que els paquets estan organitzats en diverses columnes, és bastant fàcil d'interpretar. Les categories per defecte són:

  • Núm. (Nombre): Com s'ha esmentat, podeu trobar el nombre exacte de paquets capturats en aquesta columna. Els dígits romandran iguals fins i tot després de filtrar les dades.
  • Hora: com haureu endevinat, aquí es mostra la marca de temps del paquet.
  • Font: Mostra on es va originar el paquet.
  • Destinació: Mostra el lloc on es guardarà el paquet.
  • Protocol: mostra el nom del protocol, normalment en una abreviatura.
  • Longitud: Mostra el nombre de bytes continguts en el paquet capturat.
  • Informació: la columna inclou qualsevol informació addicional sobre un paquet concret.

Temps

A mesura que Wireshark analitza el trànsit de la xarxa, cada paquet capturat té un segell de temps. Aleshores, les marques de temps s'inclouen al panell de la llista de paquets i estan disponibles per a una inspecció posterior.

Wireshark no crea les marques de temps per si mateix. En canvi, l'eina analitzadora els obté de la biblioteca Npcap. Tanmateix, la font de la marca de temps és en realitat el nucli. És per això que la precisió de la marca de temps pot variar d'un fitxer a un altre.

Podeu triar el format en què es mostraran les marques de temps a la llista de paquets. A més, podeu definir la precisió preferida o el nombre de decimals que es mostren. A més de la configuració de precisió predeterminada, també hi ha:

  • segons
  • Des dècimes de segon
  • Centèsimes de segon
  • Mil·lisegons
  • Microsegons
  • Nanosegons

Font

Com el seu nom indica, la font del paquet és el lloc d'origen. Si voleu obtenir el codi font d'un dipòsit de Wireshark, podeu descarregar-lo mitjançant un client Git. Tanmateix, el mètode requereix que tingueu un compte de GitLab. És possible fer-ho sense cap, però és millor apuntar-se per si de cas.

Un cop hàgiu registrat un compte, seguiu aquests passos:

  1. Assegureu-vos que Git sigui funcional utilitzant aquesta ordre: "$ git -–versió.

  2. Comproveu si la vostra adreça de correu electrònic i nom d'usuari estan configurats.
  3. A continuació, feu un clon de la font de Workshark. Utilitzar el "$ git clone -o upstream [correu electrònic protegit] :wireshark/wireshark.git” URL SSH per fer la còpia.
  4. Si no teniu cap compte de GitLab, proveu l'URL HTTPS: "$ git clone -o amunt //gitlab.com/wireshark/wireshark.git.

Totes les fonts es copiaran posteriorment al vostre dispositiu. Tingueu en compte que la clonació pot trigar una estona, sobretot si teniu una connexió de xarxa lenta.

Destinació

Si voleu saber l'adreça IP de la destinació d'un paquet concret, podeu utilitzar el filtre de visualització per localitzar-lo. Així és com:

  1. Introduïu “ip.addr == 8.8.8.8" a la "caixa de filtres" de Wireshark. A continuació, feu clic a "Enter".

  2. El panell de la llista de paquets es reconfigurarà només per mostrar la destinació del paquet. Trobeu l'adreça IP que us interessa desplaçant-vos per la llista.

  3. Un cop hàgiu acabat, seleccioneu "Esborra" a la barra d'eines per tornar a configurar el panell de la llista de paquets.

Protocol

Un protocol és una pauta que determina la transmissió de dades entre diferents dispositius connectats a la mateixa xarxa. Cada paquet de Wireshark conté un protocol, i el podeu mostrar mitjançant el filtre de visualització. Així és com:

  1. A la part superior de la finestra de Wireshark, feu clic al quadre de diàleg "Filtre".
  2. Introduïu el nom del protocol que voleu examinar. Normalment, els títols dels protocols s'escriuen en minúscules.
  3. Feu clic a "Enter" o "Aplica" per activar el filtre de visualització.

Llargada

La longitud d'un paquet de Wireshark ve determinada pel nombre de bytes capturats en aquest fragment de xarxa en particular. Aquest nombre normalment es correspon amb el nombre de bytes de dades en brut que apareix a la part inferior de la finestra de Wireshark.

Si voleu examinar la distribució de longituds, obriu la finestra "Longituds del paquet". Tota la informació es divideix en les columnes següents:

  • Longituds dels paquets
  • Compte
  • Mitjana
  • Val Mín/Val Màx
  • Taxa
  • Per cent
  • Velocitat d'explosió
  • Començament en ràfega

Informació

Si hi ha alguna anomalia o elements similars dins d'un determinat paquet capturat, Wireshark ho notarà. Aleshores, la informació es mostrarà al panell de la llista de paquets per a un examen posterior. D'aquesta manera, tindreu una imatge clara del comportament atípic de la xarxa, que donarà lloc a reaccions més ràpides.

Preguntes freqüents addicionals

Com puc filtrar el paquet de dades?

El filtratge és una característica eficient que us permet analitzar les especificitats d'una seqüència de dades concreta. Hi ha dos tipus de filtres Wireshark: captura i visualització. Els filtres de captura estan allà per restringir la captura de paquets per adaptar-se a demandes específiques. En altres paraules, podeu filtrar diferents tipus de trànsit aplicant un filtre de captura. Com el seu nom indica, els filtres de visualització us permeten aprofundir en un element concret del paquet, des de la longitud del paquet fins al protocol.

Aplicar un filtre és un procés bastant senzill. Podeu escriure el títol del filtre al quadre de diàleg de la part superior de la finestra de Wireshark. A més, el programari normalment completarà automàticament el nom del filtre.

Alternativament, si voleu revisar els filtres Wireshark predeterminats, feu el següent:

1. Obriu la pestanya "Analitzar" a la barra d'eines a la part superior de la finestra de Wireshark.

2. A la llista desplegable, seleccioneu "Filtre de visualització".

3. Navegueu per la llista i feu clic a la que voleu aplicar.

Finalment, aquí teniu alguns filtres Wireshark comuns que poden ser útils:

• Per veure només l'adreça IP d'origen i de destinació, utilitzeu: “ip.src==adreça IP i ip.dst==adreça IP

• Per veure només el trànsit SMTP, escriviu: “tcp.port eq 25

• Per capturar tot el trànsit de subxarxa, apliqueu: “net 192.168.0.0/24

• Per capturar tot menys el trànsit ARP i DNS, utilitzeu: “port no 53 i no arp

Com puc capturar el paquet de dades a Wireshark?

Un cop hàgiu descarregat Wireshark al vostre dispositiu, podeu començar a controlar la vostra connexió de xarxa. Per capturar paquets de dades per a una anàlisi completa, això és el que heu de fer:

1. Inicieu Wireshark. Veureu una llista de xarxes disponibles, així que feu clic a la que voleu examinar. També podeu aplicar un filtre de captura si voleu identificar el tipus de trànsit.

2. Si voleu inspeccionar diverses xarxes, utilitzeu el control "majúscules + clic esquerre".

3. A continuació, feu clic a la icona d'aleta de tauró de l'extrem esquerre de la barra d'eines de dalt.

4. També podeu iniciar la captura fent clic a la pestanya "Captura" i seleccionant "Inici" a la llista desplegable.

5. Una altra manera de fer-ho és utilitzar la tecla "Control - E".

A mesura que el programari agafa les dades, veureu que apareixen al panell de la llista de paquets en temps real.

Shark Byte

Tot i que Wireshark és un analitzador de xarxes molt avançat, és sorprenentment fàcil d'interpretar. El panell de llista de paquets és extremadament complet i ben organitzat. Tota la informació es distribueix en set colors diferents i està marcada amb codis de colors clars.

A més, el programari de codi obert inclou una gran quantitat de filtres fàcilment aplicables que faciliten la supervisió. En activar un filtre de captura, podeu identificar quin tipus de trànsit voleu que Wireshark analitzi. I un cop agafades les dades, podeu aplicar diversos filtres de visualització per a cerques especificades. En definitiva, és un mecanisme altament eficient que no és massa difícil de dominar.

Utilitzeu Wireshark per a l'anàlisi de la xarxa? Què en penseu de la funció de filtració? Feu-nos saber als comentaris següents si hi ha una funció útil d'anàlisi de paquets que hem omès.