Wireshark és una aplicació gratuïta que us permet capturar i visualitzar les dades que viatgen d'anada i tornada a la vostra xarxa, oferint la capacitat de perfeccionar i llegir el contingut de cada paquet: es filtra per satisfer les vostres necessitats específiques. Normalment s'utilitza per resoldre problemes de xarxa i per desenvolupar i provar programari. Aquest analitzador de protocol de codi obert és àmpliament acceptat com a estàndard de la indústria, guanyant la seva part justa de premis al llarg dels anys.
Originalment coneguda com Ethereal, Wireshark presenta una interfície fàcil d'usar que pot mostrar dades de centenars de protocols diferents en tots els tipus de xarxa principals. Aquests paquets de dades es poden veure en temps real o analitzar-se fora de línia, amb desenes de formats de fitxers de captura / seguiment compatibles, inclosos CAP i ERF . Les eines de desxifratge integrades us permeten veure paquets xifrats per a diversos protocols populars com WEP i WPA / WPA2 .
01 de 07
Descàrrega i instal·lació de Wireshark
Wireshark es pot descarregar sense cost des del lloc web de la Fundació Wireshark tant per a sistemes operatius macOS com per a Windows. A menys que sigui un usuari avançat, es recomana que només descarregueu l'última versió estable. Durant el procés de configuració (només Windows), haureu d'instal·lar WinPcap si es demana, ja que inclou una biblioteca necessària per a la captura de dades en directe.
L'aplicació també està disponible per a Linux i la majoria d'altres plataformes UNIX, incloses Red Hat , Solaris i FreeBSD. Els binaris requerits per a aquests sistemes operatius es poden trobar a la part inferior de la pàgina de baixades a la secció Paquets de tercers.
També podeu descarregar el codi font de Wireshark des d'aquesta pàgina.
02 de 07
Com capturar paquets de dades
Quan comenceu primer a Wireshark, haureu de mostrar una pantalla de benvinguda similar a la que es mostra a dalt, que conté una llista de connexions de xarxa disponibles al dispositiu actual. En aquest exemple, es mostrarà que es mostren els següents tipus de connexió: Connexió de xarxa Bluetooth , Ethernet , Xarxa única de host virtual , Wi-Fi . Es mostra a la dreta de cadascun d'ells un gràfic de línia d'estil EKG que representa el trànsit en directe d'aquesta xarxa respectiva.
Per començar a capturar paquets, primer seleccioneu una o més d'aquestes xarxes fent clic a la vostra elecció i utilitzant les tecles Shift o Ctrl si voleu registrar dades de diverses xarxes simultàniament. Un cop seleccionat un tipus de connexió per a finalitats de captura, el fons estarà ombrejat en blau o en gris. Feu clic a Captura des del menú principal, situat cap a la part superior de la interfície Wireshark. Quan aparegui el menú desplegable, seleccioneu l'opció Inici .
També podeu iniciar la captura de paquets a través d'un dels accessos directes següents.
- Teclat: premeu Ctrl + E
- Ratolí: per començar a capturar paquets d'una xarxa en particular, simplement feu doble clic al seu nom
- Barra d'eines: feu clic al botó blau de tauró, situat a l'extrem esquerre de la barra d'eines Wireshark
El procés de captura en directe començarà ara, amb els detalls del paquet que es mostren a la finestra de Wireshark mentre es registren. Realitzeu una de les accions següents per deixar de capturar.
- Teclat: premeu Ctrl + E
- Barra d'eines: feu clic al botó d'aturar vermell, situat al costat de l'aleta de tauró a la barra d'eines Wireshark
03 de 07
Visualització i anàlisi del contingut del paquet
Ara que ha registrat algunes dades de la xarxa, és hora de fer un cop d'ull als paquets capturats. Com es mostra a la captura de pantalla de dalt, la interfície de dades capturada conté tres seccions principals: el panell de llista de paquets, el panell de detalls del paquet i el panell de bytes de paquets.
Llista de paquets
El panell de llista de paquets, ubicat a la part superior de la finestra, mostra tots els paquets que es troben al fitxer de captura actiu. Cada paquet té una fila pròpia i el número corresponent assignat a aquest, juntament amb cadascun d'aquests punts de dades.
- Hora: la marca de temps de quan es va capturar el paquet es mostra en aquesta columna, el format predeterminat és el nombre de segons (o segons parcials) ja que es va crear per primera vegada aquest fitxer de captura específic. Per modificar aquest format a alguna cosa que pot ser una mica més útil, com ara l'hora real del dia, seleccioneu l'opció Format de visualització de temps del menú de Vista de Wireshark, ubicat a la part superior de la interfície principal.
- Font: aquesta columna conté l'adreça (IP o altra) en què es va originar el paquet.
- Destinació: aquesta columna conté l'adreça a la qual s'envia el paquet.
- Protocol: es pot trobar el nom del protocol del paquet (p. Ex., TCP) en aquesta columna.
- Longitud: la longitud del paquet, en bytes, es mostra en aquesta columna.
- Informació: es presenten aquí detalls addicionals sobre el paquet. El contingut d'aquesta columna pot variar molt depenent del contingut del paquet.
Quan es selecciona un paquet al panell superior, pot aparèixer que apareixen un o més símbols a la primera columna. Els claudàtors oberts i / o tancats, així com una línia horitzontal recta, poden indicar si un paquet o grup de paquets formen part de la mateixa conversa d'entrada i sortida a la xarxa. Una línia horitzontal trencada significa que un paquet no forma part d'aquesta conversa.
Detalls del paquet
El panell de detalls, que es troba al mig, presenta els protocols i els camps de protocol del paquet seleccionat en un format que es pot plegar. A més d'ampliar cada selecció, també podeu aplicar filtres Wireshark individuals basats en detalls específics, així com seguir fluxos de dades basats en el tipus de protocol a través del menú contextual de detalls, accessible fent clic amb el botó secundari del ratolí sobre l'element desitjat dins d'aquest panell.
Bytes de paquets
A la part inferior hi ha el panell de bytes del paquet, que mostra les dades en brut del paquet seleccionat en una vista hexadecimal. Aquest bolcat hexadecimal conté 16 bytes hexadecimals i 16 bytes ASCII al costat del desplaçament de dades.
Si seleccioneu una part específica d'aquestes dades, destaca automàticament la secció corresponent al panell de detalls del paquet i viceversa. Els bytes que no es poden imprimir es representen per un període.
Podeu triar mostrar aquestes dades en format de bits a diferència d'hexadecimal fent clic amb el botó secundari a qualsevol lloc dins del panell i seleccionant l'opció adequada des del menú contextual.
04 de 07
Ús de filtres Wireshark
Un dels conjunts de funcions més importants de Wireshark és la seva capacitat de filtre, especialment quan es tracta d'arxius de mida significativa. Els filtres de captura es poden configurar abans del fet, tot indicant a Wireshark que només registri aquells paquets que compleixin els criteris especificats.
Els filtres també es poden aplicar a un fitxer de captura que ja s'ha creat perquè només es mostrin alguns paquets. Aquests s'anomenen filtres de visualització.
Wireshark proporciona una gran quantitat de filtres predefinits de manera predeterminada, cosa que us permet reduir la quantitat de paquets visibles amb poques tecles o clics del ratolí. Per utilitzar un d'aquests filtres existents, col·loqueu el nom al camp Aplica un camp d'entrada del filtre de display (situat directament a sota de la barra d'eines Wireshark) o al camp d'introducció del filtre de captura (situat al centre de la pantalla de benvinguda).
Hi ha diverses maneres d'aconseguir-ho. Si ja coneixeu el nom del vostre filtre, simplement escriviu-lo al camp corresponent. Per exemple, si només volíeu mostrar paquets TCP, escriviu tcp . La característica d'autocompletar de Wireshark mostrarà els noms suggerits a mesura que comença a escriure, per la qual cosa és més fàcil trobar el codi necessari per al filtre que cerqueu.
Una altra forma de triar un filtre és fer clic a la icona de marcadors que es troba al costat esquerre del camp d'entrada. Això mostrarà un menú que conté alguns dels filtres més utilitzats, així com una opció per gestionar filtres de captura o Gestionar filtres de visualització . Si escolliu gestionar qualsevol tipus d'escriptura, apareixerà una interfície que us permetrà afegir, eliminar o editar filtres.
També podeu accedir als filtres utilitzats anteriorment seleccionant la fletxa cap avall, situada al costat dret del camp d'entrada, que mostra la llista desplegable d'un historial.
Una vegada configurat, els filtres de captura s'aplicaran tan bon punt comenceu a registrar el trànsit de la xarxa. Per aplicar un filtre de visualització, però, haureu de fer clic al botó de fletxa dreta que es troba a l'extrem dret del camp d'entrada.
05 de 07
Regles per acolorir
Tot i que els filtres de captura i visualització de Wireshark us permeten limitar els paquets que es registren o es mostren a la pantalla, la seva funcionalitat de colorització fa que les coses siguin un pas més enllà fent que sigui fàcil distingir entre diferents tipus de paquets basats en el seu to individual. Aquesta característica pràctica us permet localitzar ràpidament determinats paquets dins d'un conjunt desat mitjançant l'esquema de color de la vostra fila al panell de llista de paquets.
Wireshark inclou unes 20 regles de color per defecte incorporades; cadascuna que es pot editar, desactivar o esborrar si ho desitja. També podeu afegir nous filtres basats en l'ombra a través de la interfície de regles de color, accessibles des del menú Visualitza . A més de definir un criteri de nom i filtre per a cada regla, també se li demana que associi tant un color de fons com un color de text.
La colorització de paquets es pot activar i activar mitjançant l'opció Colourize Packet List , que també es troba dins del menú Visualitza .
06 de 07
Estadístiques
A més de la informació detallada sobre les dades de la vostra xarxa que es mostra a la finestra principal de Wireshark, hi ha diverses altres mètriques útils disponibles a través del menú desplegable Statistics que es troba a la part superior de la pantalla. Aquests inclouen informació sobre la mida i la sincronització del fitxer de captura en si mateix, juntament amb desenes de gràfics i gràfics que van des d'un paquet de paquets de converses per carregar la distribució de peticions HTTP.
Els filtres de display es poden aplicar a moltes d'aquestes estadístiques a través de les seves interfícies individuals, i els resultats es poden exportar a diversos formats de fitxer comuns, inclosos CSV , XML i TXT.
07 de 07
Característiques avançades
Encara que hem cobert la major part de la funcionalitat principal de Wireshark en aquest article, també hi ha una col·lecció de funcions addicionals disponibles en aquesta poderosa eina que normalment es reserva per als usuaris avançats. Això inclou la possibilitat d'escriure dissectors del vostre propi protocol en el llenguatge de programació Lua.
Per obtenir més informació sobre aquestes funcions avançades, consulteu la guia oficial de l'usuari de Wireshark.