Wireshark является одним из самых известных инструментов сетевого анализа в мире, потому что он бесплатный и потому что он хорошо работает и не слишком сложен в использовании. Однако его известность проистекает из того факта, что с помощью этой программы можно фильтровать, собирать и отслеживать пакеты и информацию, которые передаются в компьютерной сети .
Шпионаж пакетов, как видно из общего руководства (вход в защищенную сеть Wi-Fi для захвата пакетов и слежка за тем, что вы делаете в Интернете), позволяет вам читать информацию любого типа, которая передается в незашифрованном виде при обмене данными между ПК и Интернетом.
Это означает, что если два человека находятся в одном офисе или дома и подключены к одной и той же сети (или к одному и тому же маршрутизатору) для выхода в Интернет, то можно увидеть два компьютера, и с одного устройства можно, используя Wireshark, получить информацию о другие, включая веб-сайты, которые вы посещаете, незашифрованные пароли (на сайтах, отличных от https), электронные письма, чаты и так далее.
Wireshark, однако, прежде всего очень мощная программа сетевого анализа, также используемая профессиональными специалистами, а затем давайте посмотрим, как ее использовать серьезно.
Вы можете скачать Wireshark для Windows или Mac OS X с официального сайта.
Если вы используете Linux или другую UNIX-подобную систему, Wireshark должен находиться в репозитории программного обеспечения для распространения.
После загрузки и установки Wireshark вы можете запустить его, и вы должны немедленно выбрать правильный сетевой интерфейс для анализа .
Например, если вы хотите получать трафик в беспроводной сети, в противном случае щелкните сетевую карту Wi-Fi, если используемая сеть является проводной, вы должны выбрать подключение к локальной сети и т. Д.
Как только вы выберете интерфейс, вы сразу увидите, что любая информация, которая передается по сети, видна в списке с непрерывной прокруткой.
Если вы включите управление в сети, которая используется несколькими компьютерами (например, Wi-Fi), и вы активировали сбор данных в случайном режиме, вы также увидите пакеты других компьютеров, подключенных к той же сети .
Получение в случайном режиме возможно с ПК с Windows только путем установки драйверов WinPCap, которые включены в установочный пакет Wireshark.
В верхнем левом углу вы можете остановить процесс захвата в режиме реального времени и остановить сбор трафика.
Wireshark показывает перехваченные данные разного цвета, чтобы легче идентифицировать типы трафика.
По умолчанию TCP-трафик зеленый, DNS-трафик темно-синий, UDP-трафик светло-голубой; черные - TCP-пакеты с проблемами.
Чтобы начать и посмотреть, работает ли он, вам нужно убедиться, что при просмотре Интернета, открыв несколько веб-сайтов, данные и информация собираются в Wireshark.
HTTP-вызовы относятся к интернет-трафику и могут быть наиболее интересными, если вы хотите найти информацию о просмотре, например посещенные сайты.
Вы также можете скачать образец файла для анализа в Wireshark для
Чтобы не потеряться в море сгенерированных данных, важно использовать правила фильтрации пакетов.
Самый простой способ применить фильтр - ввести ключ поиска в поле фильтра в верхней части окна и нажать «Применить».
Например, введя « http », вы увидите только те соединения, которые сделаны через браузер в интернете.
Каждый пакет можно проверить и просто щелкнуть по нему правой кнопкой, чтобы увидеть более подробную информацию и поток TCP, или историю выполненных шагов (например, если вы ищете в Google больше информации, вы можете просмотреть весь поток).
Более конкретные фильтры можно применить из меню « Анализ» .
При получении пакетов может быть неудобно и трудно понять поток искаженных данных и информации в сети, поскольку отображаются только IP-адреса.
Однако можно преобразовать IP-адреса в доменные имена (для http-трафика это означает просмотр имен веб-сайтов), активировав эту функцию в меню « Правка» -> «Настройки» -> «Разрешение имен» и активировав « Включить разрешение сетевых имен ».
Когда вы включите эту опцию, вы увидите доменные имена вместо IP-адресов, но, поскольку Wireshark придется искать каждое доменное имя, DNS-запросы увеличиваются за счет увеличения потока данных.
Если вы хотите настроить автоматический захват пакетов на своем компьютере, вы можете создать ярлык на рабочем столе для быстрого запуска Wireshark.
После создания ссылки щелкните правой кнопкой мыши, введите свойства и, где написано « Место назначения », добавьте пробел в строку после заключительных кавычек и затем -i # -k .
вместо # вы должны указать номер проверяемой сетевой карты в соответствии с порядком, установленным Wireshark на этапе выбора.
Захват трафика с других компьютеров, подключенных к той же сети, является, пожалуй, самой забавной целью, которая делает нас хакером небольшим собственным способом (однако, это не так просто).
Если вы хотите записывать сетевой трафик и следить за информацией, проходящей через маршрутизатор, сервер или другой компьютер, вы должны использовать удаленный захват Wireshark, который в Windows использует драйвер WinPcap.
После его установки необходимо открыть окно служб Windows (нажмите «Пуск» и введите команду Services.msc в поле «Поиск» или «Выполнить»).
В списке служб найдите и активируйте так называемый протокол удаленного захвата пакетов .
Этот сервис отключен по умолчанию.
Нажмите Параметры захвата в начальном окне Wireshark и выберите Remote в поле Interface .
Затем введите адрес удаленной системы (например, 192.168.2.3 ) и номер порта 2002 .
Для работы у вас должен быть доступ к порту 2002 в удаленной системе, поэтому вам нужно будет открыть этот порт на брандмауэре или маршрутизаторе вашего компьютера.
После подключения вы можете выбрать интерфейс на удаленной системе в поле, где перечислены сетевые карты, и нажать Пуск, чтобы начать запись подключений, выполненных с этого компьютера.
В этом видео вы можете увидеть вводное руководство, которое очень хорошо сделано, чтобы научиться использовать Wireshark.
Wireshark - чрезвычайно мощный инструмент, даже если только самый опытный может его полностью понять и использовать для любых операций в сети.
Этот учебник является вводным для всего, что вы можете сделать (вот полное руководство на английском языке); Просто знайте, что профессионалы используют его для отладки сетевых протоколов, анализа проблем безопасности и контроля трафика в компаниях.
И наконец, последняя рекомендация: многие организации не разрешают Wireshark или аналогичным инструментам работать в своих сетях (проблема конфиденциальности), поэтому вам не следует рисковать, используя его в офисе, если у вас нет разрешения.
Если вы хотите попробовать более простые программы, я рекомендую загрузить инструменты Nirsoft, чтобы прослушать сеть ПК и увидеть посещенные сайты, результаты поиска в Интернете и пароли .
