Wireshark Advanced: En komplett guide till inspelningar och analys

Informatec Digital » Resurser » Wireshark Advanced: En komplett guide till inspelningar och analys

Om du redan är bekant med Wireshark och vill ta det ett steg längre, är den här artikeln för dig. Vi ska se hur du verkligen får ut det mesta av det, från från grundläggande inspelningar till avancerad trafikanalys, inklusive filter, färger, protokoll och praktiska användningsområden i cybersäkerhetsanalysprestanda och problemlösning.

Genom hela den här texten hittar du många koncept förklarade lugnt och på enkel, vardaglig spanska. Dessa koncept finns ofta i professionella verktyg, kurser, böcker och labb som TryHackMe, men tillämpas i praktiska situationer. Målet är att du, när du är klar med läsningen, ska kunna Navigera enkelt runt i Wireshark-gränssnittet och fånga det som intresserar dig. och förstå vad som händer i ditt nätverk.

Vad är Wireshark och varför är det så viktigt?

Wireshark är i grund och botten, en nätverksprotokollanalysator (en gammaldags paketsniffare) som låter dig se, ett efter ett, de paket som kommer in och ut ur dina nätverksgränssnitt, oavsett om offentliga Wi-Fi-nätverkEthernet eller andra. Varje paket fångas upp, isoleras och visas i realtid, med alla dess detaljer.

Vi pratar om ett program fri och öppen källkodDistribueras under GNU General Public License v2. Det betyder att det inte finns några nedkortade versioner eller "demoversioner": det du laddar ner är den fullständiga versionen, med alla funktioner, och vilken utvecklare som helst kan granska dess kod för att kontrollera att den inte gör något ovanligt.

Projektet hanteras av Wireshark-stiftelsenWireshark är en ideell organisation som samordnar utveckling, dokumentation och distribution av programvaran. Många företag och yrkesverksamma som förlitar sig på Wireshark för sitt arbete bidrar med donationer, vilket håller verktyget vid liv och gör att det kan fortsätta utvecklas.

Wireshark är tillgängligt för Windows-, macOS- och Linux-distributioner som UbuntuDen kan laddas ner från dess officiella webbplats, wireshark.org. När den är installerad ser du ett gränssnitt som till en början kan verka överväldigande: hundratals rader som ändras i hög hastighet, kolumner med IP-adresser, protokoll, längder, tidsstämplar… men allt detta är rent guld för att diagnostisera fel, upptäcka attacker eller förstå vad dina enheter gör.

Wireshark-gränssnitt: paneler, inställningar och hur man kommer igång

När du öppnar Wireshark är skärmen organiserad i flera huvudpaneler: listan över paket, detaljerna för det valda paketet och råvyn (hexadecimala och ASCII-byte). Att förstå dessa paneler är grunden för att fungera smidigt.

Den övre panelen visar alla insamlade paket; varje rad motsvarar ett paket och innehåller information som paketnummer, tid, käll-IP-adress, destinations-IP-adress, protokoll och en kort sammanfattning. I mittenpanelen kan du se den skiktade nedbrytningen av paketet (länk, nätverk, transport, applikation), och längst ner, byten i hexadecimalt format och deras textrepresentation.

Från inställningsmenyn kan du öppna Wireshark-inställningar och justera saker som tidsformat, hur panelerna visas, fältens språk eller till och med dölja vissa element. Du kan till exempel ändra panellayouten eller inaktivera visningen av hexadecimala byte om du föredrar att bara fokusera på logisk analys.

Navigering inom en skärmdump är också viktigt: du kan gå direkt till ett specifikt paketnummer, hoppa till det första eller sista i listan och navigera genom konversationer med hjälp av kortkommandon. Dessutom är det möjligt markera paket för att återvända till dem senareDetta är mycket användbart när du följer ett långt flöde och behöver komma ihåg vissa viktiga punkter.

Trafikregistrering: gränssnitt, gränser och pakettyper

Innan du analyserar måste du spela in. Wireshark låter dig välja vilka du vill spela in. nätverksgränssnitt Vill du höraEthernet-kortet, WiFi, virtuella gränssnitt, tunnlar etc. Alla gränssnitt stöder inte samma detaljnivå, men i allmänhet kommer du att kunna se trafiken som passerar din enhet och till och med, i vissa lägen, trafiken som cirkulerar genom ditt lokala nätverk.

För övning är det mycket vanligt att arbeta med begränsade inspelningar. Du kan till exempel starta en inspelning begränsad till 1.000 förpackningareller konfigurera den så att den stoppar automatiskt efter 5 sekunder. Detta är användbart för att undvika stora filer och fokusera på specifika tillfälliga aktivitetsfönster.

Wireshark stöder även infångningsfilter, så endast vissa paket spelas in från början. Ett typiskt användningsfall är att endast infånga UDP-trafik eller TCP-trafikDu kan till exempel starta en inspelning som bara tar emot UDP-paket om du är intresserad av onlinespel eller streamingtjänster, eller begränsa inspelningen till TCP när du vill studera HTTP-, TLS-, FTP-sessioner etc.

När du har det du behöver kan du spara resultatet i en fil med filändelsen .pcap eller .pcapng, till exempel som "example_tcp.pcap"och stäng Wireshark. Sedan kan du öppna programmet igen, ladda filen och analysera den när du vill, utan att trafiken fortsätter att röra sig i realtid och utan risk att förlora något.

Att arbeta med tid: poäng, skillnader och tidsanalys

Tidsstämpelfältet är ett av de kraftfullaste i Wireshark. I paketlistan kan du se när varje paket fångades, men du kan också mäta Hur lång tid har gått mellan starten av inspelningen och ett specifikt paket?eller mellan två specifika paket. Du kan till exempel titta på tiden det tar att nå paket 300 för att se hur en kommunikation utvecklas.

En mycket praktisk funktion är att ställa in ett paket som nolltidsreferensDetta gör att du kan omdefiniera tiden "0" när som helst i inspelningen, så att alla andra tider mäts i förhållande till den punkten. Detta är idealiskt när du vill studera ett specifikt utbyte snarare än hela sessionen.

Genom att kombinera tidsstämplar med filter och flödesspårning (följ TCP-ström, följ UDP-ström) kan du se ganska exakt latens, fördröjningar, vidarebefordran och återutsändningar som uppstår i nätverket. Detta är särskilt användbart för att diagnostisera problem med lagg, flaskhalsar eller paketförlust.

Skiktanalys: från MAC till applikation

En av Wiresharks största styrkor är att den låter dig se varje paket uppdelat i lager av OSI- eller TCP/IP-modellen. Från botten kan du se vilket fysiskt medium eller vilken typ av länk som används (till exempel Ethernet) och vilken typ av gränssnitt som stöder det.

I lager 2 (datalänk) kan du kontrollera vad protokollet användsDetta är vanligtvis Ethernet II i moderna nätverk. Det är här fältet "EtherType" blir viktigt, eftersom det kan visa värden som 0x0800 (vilket indikerar IPv4) eller andra mindre vanliga identifierare. Du kan söka efter paket med ett specifikt värde, till exempel 0x0800 eller 0xEBF2, med hjälp av filter eller sökningar inom inspelningen.

Om du går upp till lager 3 hittar du nätverksprotokollet, vanligtvis IPv4 eller IPv6Här kan du se käll- och destinations-IP-adresserna, och du kan expandera fältträdet för att visa andra detaljer som TTL, fragmentering, alternativ etc. Identifiera käll-IP och destinations-IP Det är en av de mest grundläggande, men också den vanligaste uppgiften när man undersöker problem.

I lager 4 berättar Wireshark om du har att göra med TCP, UDP eller andra transportprotokollHär kan du se käll- och destinationsportar, TCP-flaggor (SYN, ACK, FIN, RST), sekvens- och bekräftelsenummer och viktiga detaljer för att förstå om en anslutning är stabil, om det finns återsändningar, om paket går förlorade eller om den har stängts plötsligt.

Slutligen, på applikationslagret, försöker Wireshark tolka innehållet enligt det detekterade protokollet: HTTP, HTTPS (TLS/SSL), DNS, DHCP, FTP, RTP, SIP och många andra. När trafiken inte är krypterad är det till och med möjligt att se innehållet i klartext, inklusive HTTP-rubriker, FTP-kommandon och till och med inloggningsuppgifter om de skickas osäkert.

Sökningar, filter och textsträngar i paket

Att arbeta med stora bilder kräver kraftfulla filter och sökfunktioner. Högst upp i Wireshark hittar du verktygsfältet. visa filter, vilket låter dig bara visa de paket som uppfyller vissa villkor: till exempel ip.addr == 192.168.1.50 för att fokusera på en specifik enhet, eller http för att bara se webbtrafik.

Om du misstänker att lösenord eller känsliga uppgifter överförs okrypterade i ett infångat meddelande kan du söka efter textsträngar i paketets innehåll. Det är möjligt att hitta paket som till exempel innehåller ordet "pass" eller "innehåll" i den insamlade datan. Du kan också kontrollera om dessa strängar visas i sammanfattningen eller paketinformationen, inte bara i brödtexten.

Detta är särskilt användbart vid analys av osäkra protokoll som HTTP eller FTP. I träningsmiljöer av TryHackMe-typ är en av de typiska uppgifterna att extrahera inloggningsuppgifter skickas i klartext genom dessa tjänster, eller upptäcka formulär som skickar okrypterad information, vilket utgör en uppenbar säkerhetsrisk.

Utöver textsträngar kan du använda mycket finare filter genom att kombinera protokollfält, logiska operatorer och jämförelser. Detta gör att du till exempel kan isolera endast misslyckade DNS-förfrågningar, TCP-paket med fel eller meddelanden från en specifik RTP-ström.

Färger och markeringsregler för bättre synlighet i trafiken

Wireshark inkluderar ett system av färger för paketen Detta hjälper dig att snabbt skilja mellan olika typer av trafik. Grönt är vanligtvis förknippat med "normal" TCP-trafik, blått med UDP- eller DNS-trafik, och svart eller rött indikerar fel eller avvikelser. Bara genom att titta på skärmen kan du se om allt fungerar någorlunda bra eller om det finns för många problematiska rader.

Från inställningsmenyn kan du aktivera eller inaktivera färgvyn. Vid behov är det också möjligt ändra bakgrundsfärgen för specifika reglerTill exempel att skapa en regel som markerar alla TCP-sessioner i en specifik nyans, eller som markerar omsändningar eller felaktigt utformade paket i en annan färg.

Förutom att ändra färger har du möjlighet att inaktivera en specifik regel utan att ta bort den, så att den slutar färglägga paket men du kan återaktivera den senare. Detta är mycket användbart när du testar olika scheman och inte vill förlora dina befintliga inställningar.

En annan intressant teknik är att färglägga alla paket som tillhör samma TCP- eller UDP-konversationPå så sätt kan du visuellt följa hela flödet mellan två slutpunkter, även när det blandas med hundratals andra parallella anslutningar. Du kan sedan navigera mellan de markerade paketen mycket enklare.

Diagnostisera nätverksproblem hemma och på företaget

Även om Wireshark är ett professionellt verktyg kan det också hjälpa hemmaanvändare att förstå vad som händer med deras anslutning. Om du till exempel märker lagg eller hack i dina onlinespel kan det hjälpa dig att felsöka din internetanslutning. WiFi-störningarDu kan analysera trafiken för att se om Paket går förlorade om de anländer i fel ordning. eller om det är alltför stora förseningar under en viss del av resan.

I det här sammanhanget är det vanligt att fokusera på UDP-trafik, som används av många spel och realtidsapplikationer. Om du, när du filtrerar efter UDP, ser många rader markerade med felfärger, paket i fel ordning eller omsändningar, vet du att problemet inte bara är en hög ping i ett test, utan något djupare relaterat till ruttstabilitet eller mättnaden hos en nod.

Wireshark är också mycket användbart när en Webbplatsen laddas inte, skrivaren försvinner från nätverket eller en intern tjänst misslyckas. Med skärmdumpen framför dig kan du se exakt var kommunikationen bryts ner: om begäran lämnar din dator men aldrig får något svar, om det finns DNS-fel, om servern svarar med en felkod, etc.

Ur ett integritetsperspektiv låter verktyget dig se vilken data dina enheter skickar över internet. Det kan upptäcka om en enhet "pratar för mycket" med molnet, upprätthåller anslutningar till okända servrar eller skickar okrypterad information som du föredrar att se krypterad. Allt detta hjälper dig att granska beteendet hos IoT-enhetermobiltelefoner, IP-kameror, smarta TV-apparater och alla anslutna enheter.

I hemnätverk med många enheter kan du isolera IP-adressen för varje enhet och observera vilka servrar den ansluter till, hur ofta och vilken typ av innehåll den överför. På så sätt får du bättre förståelse för nätverkets råa trafik och kan fatta beslut som att segmentera enheter, blockera domäner eller ändra konfigurationer.

Avancerad analys: HTTP, DNS, nätverksskanningar och attacker

I mer avancerade miljöer blir Wireshark ett viktigt verktyg för säkerhetsanalys och incidentutredning. Det möjliggör detaljerad analys. HTTP-trafik, DNS-frågor och svar, portskanningar med NmapARP-förgiftningsförsök, SSH-tunnlar och mycket mer.

Med HTTP kan du granska rubriker, svarskoder, begärda URL:er och, när det inte finns någon kryptering, till och med innehållet i formulär eller filer. Med DNS ser du vilka domäner som matchas, vilka servrar som efterfrågas och om det finns några misstänkta svar eller domäner som inte matchar utrustningens normala användning.

Nmap-skanningar lämnar karakteristiska mönster i nätverket: flera anslutningsförsök till många portar, användning av specifika TCP-flaggor etc. Med lämpliga filter kan du upptäcka dessa aktiviteter och bekräfta om någon är illvillig. kartläggning av exponerade tjänster i din infrastruktur.

ARP-förfalskning/förgiftning kan också upptäckas genom att observera hur IP- och MAC-adressassociationer ändras i det lokala nätverket. Och med SSH-tunnlar kan du, även om innehållet är krypterat, fortfarande analysera anslutningsmönster, sessionslängd och överförd datavolym.

Många av dessa övningar är en del av praktiska laborationer som de från TryHackMe, vilka är inriktade på analys av skadlig eller misstänkt trafikDu kommer att arbeta med förgenererade inspelningar så att du kan lära dig att känna igen indikatorer på kompromisser, attackvektorer och avvikande beteenden med hjälp av endast Wireshark.

Wireshark 4.6.0 på macOS: pktap-metadata och processanalys

En av de mest intressanta förbättringarna för Mac-användare kommer med version Wireshark 4.6.0vilket introducerar inbyggt stöd för macOS pktap-metadata. Detta gör att varje nätverkspaket kan associeras med den systemprocess som genererade det, vilket ger en mycket kraftfull detaljnivå.

Tack vare denna integration kan Wireshark visa information som PID (processidentifierare) och applikationsnamn vilket ger upphov till trafiken, tillsammans med annan relevant metadata. Detta förenklar felsökning av applikationer avsevärt, eftersom du vet exakt vilken komponent som öppnar anslutningar, förbrukar bandbredd eller orsakar fel.

Metadata innehåller även data om flödesidentifierare och statistik över tappade paket, vilket möjliggör en mer detaljerad analys av prestandaproblem. Denna information samlas vanligtvis in via... tcpdump med alternativen -ky -K, och sedan importeras den till Wireshark, som tolkar och visar dessa block i pcap-ng-formatet.

För utvecklings- och säkerhetsteam i Apples ekosystem representerar detta ett betydande steg: de kan undersöka incidenter med mycket exakt hänvisning till specifika processer, upptäcka avvikande beteenden i sina egna appar och validera att säkerhets- och integritetspolicyer faktiskt följs.

Dessutom är installationsprogrammet för Wireshark 4.6.0 för macOS universell för Arm64- och Intel-arkitekturerDetta förenklar installationen på moderna Mac-datorer med Apple Silicon och på lite äldre datorer med Intel-processorer.

Wireshark som ett professionellt verktyg: kurser, böcker och moderna miljöer

Avancerad användning av Wireshark är ett återkommande ämne i specialiserade utbildningar, där dess mest kraftfulla funktioner för felsökning, granskning och säkerhetsuppgifter visas upp. Dessa kurser lär ut hur man... konfigurera verktyget från grunden, anpassa den och analysera de vanligaste nätverksprotokollen i företagsmiljöer.

Mycket tid läggs vanligtvis ner på protokoll som t.ex. HTTP, FTP, SSL/TLS, DNS, DHCP, RTP, SIP och andra vanliga problem inom VoIP, webbtjänster och krypterad kommunikation. Praktiska fallstudier genomförs för att diagnostisera låga hastigheter, problem med samtalskvaliteten, avbrott i tjänsten och felaktiga konfigurationer.

Parallellt har avancerade böcker och resurser dykt upp, inriktade på nätverksproffs, cybersäkerhetsspecialister och studenter som vill bemästra Wireshark i moderna scenarier. Dessa material kombinerar vanligtvis teori med TCP/IP, TLS, paketanalys och avancerade filter med praktiska övningar och guidade laborationer.

Ett vanligt tillvägagångssätt är att integrera användningen av Wireshark med andra säkerhets- och övervakningsverktyg, såsom Snort, Suricata, Zeek eller ELK-stacken (Elasticsearch, Logstash, Kibana) inom SIEM-plattformar. Tanken är att använda Wireshark för detaljerad inspektion på låg nivå, medan de andra verktygen tillhandahåller korrelation, varningar och övergripande dashboards.

Den täcker även specifika tillämpningar i IoT-nätverk och system som använder artificiell intelligens, där trafikinsynlighet är avgörande för att upptäcka sårbarheter, felkonfigurerade enheter eller oväntad kommunikation. Att behärska Wireshark i dessa miljöer gör verktyget till ett strategisk resurs för säkerhet och optimering av komplexa nätverk.

Sammantaget går Wireshark från att vara en enkel sniffer till att bli ett grundläggande verktyg för avancerad övervakning, feldiagnos, hotanalys och djup förståelse för hur applikationer och tjänster beter sig i nätverket.

Med allt det erbjuder, från grundläggande insamlings- och filtreringsfunktioner till avancerade analysmöjligheter efter protokoll, färger, tider och processmetadata, är det tydligt att Wireshark är ett viktigt verktyg För alla som behöver förstå vad som verkligen händer i sitt nätverk, oavsett om det är hemma, i ett litet företag eller i en stor organisation.