Интерфейс программы: английский

Платформа:XP / 7 / Vista

Производитель: Wireshark Foundation

Сайт: www.wireshark.org

Wireshark представляет собой одну из самых универсальных кроссплатформенных утилит для отслеживания исходящего и выходящего трафика, которая способна работать в среде операционных систем Windows, UNIX, Free BSD, Mac OS, Open BSD, Solaris, Net BSD более того, программа поддерживает работу со множеством протоколов, включая DNS, FTP, TELNET, NNTP, POP, FDDI, HTTP, IPV6, NETBIOS, ICQ, IRC, NFS,IPX, MOUNT, MAPI, PPP, X25 и т.д.

Основные возможности программы Wireshark

Само собой разумеется, что любой пользователь, даже далекий от контроля трафика, хочет узнать куда тратятся его деньги при подключении к сети Интернет. Мы не берем сейчас в расчет компьютеры и пользователей, имеющих неограниченный доступ или так называемый безлимитный пакет. Понятное дело, что в таком случае, даже видеозвонки по системе, использующей программы типа Scype или ICQ, не тарифицируются.

Для пользователей компьютеров с ограниченным режимом, а тем более, для абонентов мобильных устройств иногда полезно знать, куда и когда ушли ваши деньги.

Интерфейс программы Wireshark является довольно простым и позволяет использовать все, максимально предоставленные функции в нем, прямо на лету. Сам интерфейс обладает графической оболочкой, с которой разобраться не составит труда пользователю любого уровня подготовки.

Самое интересное в Wireshark заключено в том, что он способен открывать файлы, захваченные из других программ (к примеру, скриншоты), и имеет изначально заложенную возможность отображения наиболее полной информации сетевых пакетов, предусматривая несколько значений полей для протокола любого уровня. В принципе своем захват данных производится на основе собственного протокола PCIP, который предусматривает распознавание входных данных любого формата.

Графический интерфейс Wireshark формируется за счет использования мультиплатформенной библиотеки GTK+, что и позволяет приложению обрабатывать большое количество входных данных.

Наиболее эффективным данное приложение является при условии использования его в качестве концентратора (хаба), а не свитча, которые представляет собой не что иное, как обычный коммутатор. В этом случае анализ исходящего трафика будет малоэффективным, поскольку, на такого рода снифферы могут попадать только отдельные нешифрованные фреймы.

По большому счету, возможности программы Wireshark довольно универсальны, однако, в ней присутствуют и некоторые недостатки. Среди самых настоящих недостатков стоит отметить то, что приложение не способно к определению, скажем, закольцованного трафика и в системе установки нескольких свидчей проявляет себя абсолютно не эффективно. Но, тем не менее, для системных администраторов или пользователей, которые пытаются заняться этим делом, такое программное обеспечение будет просто незаменимо.

Приложение для анализа сетевого трафика, программа Wireshark 3.0.0 – сетевая утилита с хорошим функционалом. Программа распространяется согласно свободной лицензии GNU GPL и, на сегодняшний день, является одним из самых известных снифферов, для сети Ethernet.

Коротко о Wireshark.

Работа Wireshark базируется на функциях библиотеки pcap (Packet Capture) – происходит захват пакетов в локальной сети, с последующим их анализом. Приложение имеет графический интерфейс (русского языка нет), и весьма популярно у сетевых администраторов, разработчиков сетевых программ и простых пользователей. Кратко, возможности программы можно описать так:
— Перехват сетевого трафика.
— Декодирование перехваченных пакетов.
— Фильтрация пакетов.
— Запись дампа.
— Обработка записанных ранее файлов.

Программа никоим образом не генерирует сетевой трафик и не обнаруживает себя в сети.

Инсталляция Wireshark.

В операционную систему Windows приложение инсталлируется легко, без каких-либо сложностей. Кроме того, разработчиками выпускаются версии для FreeBSD, различных версий Linux и MacOS. Во время инсталляции, кроме анализатора вместе с графической оболочкой, можно дополнительно установить следующие утилиты:
— Фильтр «сырых» пакетов Rawshark.
— Программа для работы с сохраненными дампами Editcap.
— Конвертер Text2pcap.
— Консольный анализатор Tshark.

Особенности анализа

В базе данных Wireshark содержится информация о структуре различных сетевых пакетов, их количество гораздо больше, чем то, что можно «захватить» с помощью pcap. Поэтому, программу стоит скачать не только для мониторинга локальных сетей, но и для анализа редко встречающихся протоколов – например, LTE VoIP и других. Непосредственно «прослушать» такой трафик Wireshark не сможет, но открыть сохраненный в другом приложении дамп – легко!

В числе функций программы есть и фильтрация пакетов. При этом нужно понимать, что фильтры могут работать на этапе «прослушивания» сети – Capture filter, и на этапе анализа полученного дампа – Display filter. Это два разных режима работы. В первом случае, при неправильных установках фильтра, возможна потеря информации – приложение просто «не запишет» те пакеты, которые не удовлетворяют условиям фильтра. Во втором случае программа запишет все, но «покажет» только то, что «пройдет» через фильтр.

Wireshark - это достаточно известный инструмент для захвата и , фактически стандарт как для образования, так и для траблшутинга.Wireshark работает с подавляющим большинством известных протоколов, имеет понятный и логичный графический интерфейс на основе GTK+ и мощнейшую систему фильтров. Кроссплатформенный, работает в таких ОС как Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Mac OS X, и, естественно, Windows. Распространяется под лицензией GNU GPL v2. Доступен бесплатно на сайтеwireshark.org .

Установка в системе Windows тривиальна - next, next, next. Самая свежая на момент написания статьи версия – 1.10.3, она и будет участвовать в обзоре.

Зачем вообще нужны анализаторы пакетов?

Для того чтобы проводить исследования сетевых приложений и протоколов, а также, чтобы находить проблемы в работе сети, и, что важно, выяснять причины этих проблем.

Вполне очевидно, что для того чтобы максимально эффективно использовать снифферы или анализаторы трафика, необходимы хотя бы общие знания и понимания работы сетей и сетевых протоколов. Так же напомню, что во многих странах использование сниффера без явного на то разрешения приравнивается к преступлению.

Начинаем плаванье

Для начала захвата достаточно выбрать свой сетевой интерфейс и нажать Start.

После чего и начнется процесс захвата, причем прилетевшие пакеты будут появляться в реальном времени. В процессе рассмотрения и изучения пакетов бывают ситуации, когда нужно вернуться предыдущему пакету. Для этого есть две кнопки (см скриншот).

А следующая за ними кнопка позволяет сделать быстрый переход к пакету, указав его номер.

В случае если колонки перекрываются и наползают друг на друга, можно кликнуть по такой колонке правой кнопкой мыши и выбрать“Resize Column” . Произойдет автоматическая подгонка размеров под текущую ситуацию. И кроме того, есть кнопка“Resize all Columns” , которая приведет в порядок все колонки.

Используя менюView – Time Display Format , можно, например, настроить, чтобы отсчет времени шел не с начала захвата, а с момента получения предыдущего пакета (Since Previous Captured Packet ). Самое важное в каждой программе (Help – About Wireshark ) покажет не только версию и список авторов, но и содержит закладкуFolders , которая покажет пути размещения каталогов с конфигурациями.

Изучая интерфейс, можно выбрать, например, пакет http , и увидеть, что HTTP инкапсулируется в TCP (транспортный уровень) , TCP инкапсулируется в IP (сетевой уровень) , а IP в свою очередь инкапсулируется в Ethernet (перед этим даже мелькает 802.1Q).

И на самом верху идет нечто вроде небольшого обзора собранной информации о кадре.

Про фильтры мы поговорим дальше, а на данном этапе, если нужно быстро отфильтровать лишние пакеты, достаточно сделать правый клик на пакете, выбрать менюApply as Filter – Not selected и изменения сразу же вступят в силу. Если нужно еще что-то убрать, то в следующий раз выбирать“and not Selected” , и новое правило просто добавится к фильтру.

Убираем заусенцы

Довольно часто при работе с Wireshark возникает ошибкаIP checksum offload – ошибка контрольной суммы заголовка IP пакета.

Современные сетевые карты насколько умные, что сами считают контрольную сумму, зачем это делать на уровне стека TCP/IP программно, если можно делать хардварно. А Wireshark натурально перехватывает пакеты, до того как они попадают в сеть. И до того как эта сумма была просчитана и была добавлена в заголовок пакета. Соответственно есть два пути решения этой проблемы - выключать функцию offload в настройках сетевой карты или в настройках сниффера указать, чтобы он не обращал внимание на это значение.

Хардваные функции зачастую лучше софтварных, в основном из-за скорости обработки (в железе обычно выше) поэтому лучше изменить настройки самого сниффера. Для этого нужно зайти в настройки (Edit - Preferences ), затем Protocols – IPv4 – и снять флаг с“Validate IPv4 checksum if possible” .

Перед тем как захватывать трафик нужно определиться с тем, что, собственно, нужно захватывать. Разместить анализатор трафика можно в нескольких местах:

• Локально на своем хосте;
• Организовать зеркалирование трафика на коммутаторе;
• Подключаться непосредственно в интересующие места;
• или же отравление протокола ARP (еще более незаконно, чем пассивное прослушивание трафика)

Фильтруем поток

Wireshark содержит два вида фильтров – захвата (Capture Filters ) и отображения (Display Filters ).
Вначале рассмотримCapture Filters .
Как можно догадаться по названию, они служат для фильтрации еще на этапе захвата трафика. Но в таком случае, безусловно, можно безвозвратно потерять часть нужного трафика.

Фильтр представляет собой выражение, состоящее из встроенных значений, которые при необходимости могут объединяться логическими функциями (and, or, not). Для того, чтобы его задействовать, нужно зайти в менюСapture , затемOptions , и в полеCapture Filter набрать, например,host 8.8.8.8 (или, например,net 192.168.0.0./24 )

Так же, конечно, можно выбрать и заранее созданный фильтр (за это отвечает кнопка Capture Filter ). В любом из вариантов фильтр появится возле интерфейса, можно жать Start. Теперь перейдем кDisplay Filters . Они фильтруют исключительно уже захваченный трафик.

Что можно фильтровать?

Практически все - протоколы, адреса, специфические поля в протоколах.
Операции, которые можно использовать при построении фильтров:

Как вы, наверное, заметили, в таблице в качестве примеров были разнообразные выражения, достаточно понятные и зачастую говорящие сами за себя. Например, ip.dst – это поле протокола IP.

Чтобы увидеть это поле, можно просто посмотреть на пакет, и в нижней части окна можно увидеть его значение, которое потом можно применять в любом фильтре. Например, нас интересует, как создать фильтр, где будет проверяться значение TTL.
Для этого раскрываем L3 часть и становимся на соответствующее поле:

И видим, что для построения фильтра, нужно использовать выражение ip.ttl. Если начать набирать фильтр, то после точки автоматически появится список возможных значений:

Чтобы применить фильтр, достаточно нажать enter или кнопку Apply. Само поле для ввода фильтра может менять цвет в зависимости от того, что было набрано.

Зеленый цвет означает, что все в порядке. Красный - допущена ошибка, желтый - получен неожиданный результат, потому что существуют другие варианты написания фильтра (например можно написатьip.dst != 8.8.8.8 или же!ip.dst == 8.8.8.8 , именно второй вариант более предпочтительный). Фильтры можно сохранять для дальнейшего использования, нажав кнопку Save, затем ввести произвольное название

и после нажатия на кнопку ОК фильтр появится как кнопка на панели.

А если кликнуть на расположенную неподалеку кнопку «Expression…», то откроется достаточно мощный конструктор выражений, по которому можно чуть ли не изучать сетевые протоколы. Количество поддерживаемых протоколов постоянно увеличивается.

Как уже упоминалось ранее, можно выделить любой пакет и в контекстном меню выбратьApply as Filter и в подменю выбрать режим -selected илиnot selected и соответственно сразу же появится фильтр, который будет показывать только выбранное или наоборот уберет выбранное с экрана. Таким образом можно гибко выбирать, что видеть на экране, а что - нет. Это может быть определенный ip-адрес, ttl, порт, dns ответ и многое другое. Кроме того, есть два варианта для таких быстрых фильтров - Prepare as Filter и Apply as Filter.

Как можно догадаться по названию - разница заключается в том, что в первом случае только появится в поле для ввода Display Filter, но не применится (удобно, если например, добавлять таким способом несколько фильтров, а затем сразу применить готовый результат), а во втором - сразу же и применится.

Фильтры можно объединять, используя знакомые по булевой алгебре логические операции: (dns) && (http) логическое и (dns) || (http) это логическое или.

Таким образом можно строить большие и сложные фильтры вроде: (tcp.flags.syn==1) && (ip.src == 172.16.10.2) && (ip.dst == 172.16.10.1) Здесь видим, что выбираются только TCP SYN сегменты, только с определенным адресом отправителя и получателя. При составлении больших фильтров нужно помнить, что фильтр по сути - логическое выражение, и если оно истинно, то пакет отобразится на экране, если ложно - нет.

Ныряем глубже

Достаточно частая ситуация, когда возникают жалобы на медленную работу сети, причин этого может быть множество. Попробуем разобраться, в чем может быть причина, и рассмотрим два способа. Первый состоит в добавлении колонкиTCP delta .

Открываем пакет, находим полеTime since previous frame in this TCP frame , правый клик и выбираемApply as Column . Появится новая колонка. На ней можно кликнуть правой кнопкой мыши и выбрать режим сортировки, например,Sort Descending .

И сразу же рассмотрим второй способ.

Относительно недавно (в версии 1.10.0) появился фильтр tcp.time_delta, который, собственно, учитывает время с момента последнего запроса.

Если клиент делает запрос и получает ответ через 10 миллисекунд, и клиент говорит, что у него все медленно работает, то, возможно, проблема у самого клиента.
Если же клиент делает запрос и получает ответ через 2-3 секунды, тут уже, возможно, проблема кроется в сети.

Еще глубже

Если посмотреть в TCP пакет (или сегмент если быть точным), то можно увидеть тамStream index , который начинается обычно с нуля. Само поле будет называться tcp.stream.

По нему можно сделать правый клик и создать фильтр.

Таким образом можно фильтровать нужные соединения.

Еще один способ – сделать правый клик на самом пакете, выбратьConversation Filter и создать фильтр для l2 l3 l4 уровня соответственно.

В итоге мы опять увидим взаимодействие двух хостов.

И третий вариант - это одна из самых интересных фич -Follow TCP Stream . Для того чтобы его задействовать, нужно опять таки кликнуть правой кнопкой мыши на пакете и выбрать“Follow TCP Stream” . Появится окно, где будет наглядно продемонстрирован весь обмен между двумя узлами.

Если же зайти в менюStatistics – Conversations , то, выбирая закладки, можно увидеть статистику по таким “разговорам” и различные сессии, при этом можно отсортировать их по различным колонкам, например, по количеству переданных данных.

И прямо в этом окне можно правой кнопкой взывать контекстное меню и опять же применить как фильтр.

Со временем приходит опыт

После некоторого времени, проведенного за захватом разнообразного трафика, можно заметить какую-то шарообразную кнопку в нижнем левом углу, которая еще иногда меняет цвет.

Нажатие на эту кнопку приведет к открытию окнаExpert Infos . Того же результата можно добиться, пройдя в менюAnalyze – Expert Info .

В этом окне будет содержаться информация по найденным пакетам, разбитая на группы Errors, Warnings, Notes и Chats. Цветовая раскраска для этих групп выглядит следующим образом:
Ошибки - красный цвет
Предупреждения - желтый
Примечания - сине-зелёный (cyan)
Чат - серый

Wireshark содержит в себе мощный анализатор и умеет автоматически обнаруживать большое количество проблем, возникающих в сети. Как вы уже могли заметить, буквально везде можно использовать фильтры и Expert Info не является исключением. Для того чтобы создать такой фильтр, нужно использовать конструкциюexpert.severity . Например,expert.severity==error .

Грабим трафик!

Можно ли с помощью Wireshark узнать, что было скачано?

Да, можно. И сейчас это увидим. Вначале возьмем HTTP трафик. Сделаем правый клик по HTTP пакету -Protocol Preferences – и видим тут массу опций, которые непосредственно влияют на извлечение файлов из веб трафика. Для того чтобы увидеть, что можно извлечь из текущего дампа нужно перейти в менюFile – Export Objects – HTTP .

Появится окно, которое покажет все захваченные http объекты - текстовые файлы, картинки и т.д. Для того чтобы вытащить любой файл из этого списка, достаточно просто выделить его и нажать Save As.

Как можно заметить, рисунок был извлечен без каких-либо проблем.

Таким же способом, можно извлекать и потоковое видео/аудио.

Но на этом возможности Wireshark не заканчиваются!

Он умеет вытаскивать файлы и с протокола FTP. Для этого можно использовать знакомый уже Follow TCP Stream. В итоге отобразится только обмен по протоколу FTP, в котором нужно будет найти строку RETR, что собственно и будет означать передачу файла.

VoIP

Wireshark имеет несколько встроенных функций для работы с этой технологией. Он поддерживает массу голосовых протоколов - SIP, SDP, RTSP, H.323, RTCP, SRTP и другие. И, конечно же, умеет перехватывать и сохранять голосовой трафик для дальнейшего прослушивания.

Этот функционал как нельзя лучше подойдет для траблшутинга в сетях Voice over IP. МенюStatistics - Flow Graph покажет наглядную картину, как происходил весь обмен пакетами.

А вообще целое менюTelephony отведено для работы с голосовым трафиком. Например,Telephony – RTP – Show All Streams покажет подробно, что происходило с RTP, в частности jitter (параметр, который, вероятно, самый важный в голосе), что иногда сразу скажет о наличии проблем.

Нажав на кнопку “Analyze” , можно открыть окноRTP stream Analysis – и, выбрав там поток, можно его даже проиграть, используя кнопку player. Сначала отроется окно проигрывателя, в котором вначале нужно установить подходящее значение jitter и использовать кнопку decode.

Появится нечто похожее на анализатор спектра, в котором можно отметить требуемый разговор, и после этого кнопка Play станет активной.

Так же существует еще один способ прослушивания голосовых звонков - можно зайти в менюTelephony – VoIP Calls .

Откроется окно со списком совершенных звонков, где опять же можно нажать кнопку player, отменить нужные разговоры флажками и нажать play. Для того чтобы добиться приемлемого качества звучания, потребуется проиграться со значением поля jitter buffer, меняя его значение.

Небольшое отступление

Некоторое время назад появился сайтCloudShark.org .

Это тот самый сниффер Wireshark, но реализованный в виде онлайн-сервиса. Очевидно, что с его помощью не удастся захватывать сетевой трафик, но выполнять анализ дампа трафика – вполне. Загрузив туда через форму PCAP-файл на анализ, можно будет получить четкую последовательность пакетов, в которой всё данные будут разбиты на понятные поля в зависимости от протокола. В общем, тот же Wireshark, но немного облегченный и доступный из любого браузера.

Финальная битва

Напоследок рассмотрим как выглядит сканирование портов. Смотрим на дамп и видим, что вначале происходит ARP запрос и затем непосредственно начинается сканирование. Адрес нашего маршрутизатора 192.168.10.11, сканирование идет с адреса 192.168.10.101

Это, так называемое, SYN сканирование, когда идут SYN-пакеты на указанный диапазон портов. Так как большинство портов закрыто, маршрутизатор отвечает пакетами RST, ACK. Пролистав чуть ниже видим, что открыт telnet (tcp 23).

На это указывает то, что маршрутизатор ответил пакетом SYN, ACK. К слову, для фильтрации портов в сниффере можно использовать конструкции вида: tcp.srcport, tcp.dstport и tcp.port. Для протокола UDP всё аналогично - udp.srcport, udp.dstport, udp.port.

Итоги

Мы пробежались по самым основным частям функционала лучшего анализатора пакетов. Получилось несколько сумбурно, вероятно, потому что хотелось затронуть как можно больше его возможностей и не упустить ничего важного. Оказалось, что анализатор пакетов, как отладчик и дизассемблер, демонстрирует мельчайшие подробности работы сети и сетевых протоколов.
Используя Wireshark и обладая необходимыми знаниями можно достаточно эффективно находить и диагностировать разнообразные проблемы, возникающие в сети.

В процессе написания использовались материалы сайтаwiki.wireshark.org/ Дампы с трафиком брались из разных источников, больше всего с сайта