Cum să capturați pachete în WireShark

Wireshark este un instrument neprețuit de analiză a rețelei care traduce datele care călătoresc prin rețelele dvs. într-un format care poate fi citit. Puteți identifica problemele de rețea sau de securitate, puteți depana implementările de protocol sau pur și simplu puteți monitoriza traficul prin capturarea pachetelor cu Wireshark.

Aruncați o privire mai atentă la ceea ce se întâmplă în rețeaua dvs. prin capturarea informațiilor exacte de care aveți nevoie. Iată cum să capturați diferite tipuri de pachete în Wireshark.

Cum să capturați pachete

Începerea procesului de capturare în Wireshark durează doar câteva clicuri. Tot ce trebuie să faceți este să porniți modul de captură, iar datele vor începe să curgă nefiltrate. În timp ce acest mod nefiltrat este grozav atunci când aveți nevoie de un raport complet despre ceea ce se întâmplă, cantitatea de date capturată astfel poate fi copleșitoare. Pentru a face mai ușor de gestionat, puteți utiliza filtre și puteți captura doar un anumit tip de date. Veți găsi pașii pentru a face acest lucru mai jos.

Deocamdată, să vedem cum să începem să capturați toate pachetele în Wireshark:

1. Asigurați-vă că aveți cea mai recentă versiune de Wireshark instalată. Puteți prelua programul gratuit de pe site-ul oficial Wireshark .
   
   
2. Lansa programul. Veți fi întâmpinat de ecranul de bun venit, cu lista rețelelor detectate.
   
3. Începeți să capturați pachete în unul dintre următoarele moduri:
   • Faceți dublu clic pe rețeaua dorită din listă.
     
   • Selectați una sau mai multe interfețe de rețea, apoi faceți clic pe pictograma aripioare de rechin din bara de instrumente sau „Captură”, apoi „Start” în bara de meniu.
     
     

Notă: puteți ajusta opțiunile de captură, cum ar fi modul promiscuu, înainte de a începe, făcând clic pe „Captură” și apoi pe „Opțiuni”.

De îndată ce faceți clic pe interfața de rețea sau pe butonul de pornire, veți fi direcționat la ecranul de captură. Veți vedea Wireshark preluand pachete de date în timp real. Odată mulțumit de cantitatea de date adunată, puteți opri capturarea făcând clic pe butonul roșu de oprire din bara de instrumente de sus. Începeți imediat să analizați datele sau salvați-le pentru mai târziu făcând clic pe „Fișier” și apoi pe „Salvare ca...” în bara de meniu.

Cum să capturați pachete UDP

Urmând pașii de mai sus, programul va solicita să captureze toate pachetele. În timp ce diferite tipuri de trafic sunt ușor de distins în Wireshark datorită codificării culorilor, va trebui totuși să verificați o mulțime de date. Dacă căutați doar informații despre anumite pachete, puteți utiliza filtre pentru a vă ușura munca.

Wireshark acceptă atât filtrele de captură, cât și cele de afișare. Utilizarea unui filtru de captură va însemna că programul captează numai pachetele pe care le definiți. Filtrele de afișare filtrează doar prin pachetele deja capturate. Cele două filtre funcționează diferit și folosesc comenzi diferite, așa că va trebui să decideți care dintre ele se potrivește cel mai bine nevoilor dvs.

Dacă doriți să captați numai traficul UDP, utilizați un filtru de captură înainte de a începe procesul de capturare.

1. Lansați Wireshark.
   
2. Căutați bara de filtru de captură pe ecranul de bun venit. Este cel situat direct deasupra listei dvs. de rețele.
   
3. Introduceți „udp” în bara Capture Filter și apăsați Enter pentru a începe capturarea traficului UDP. De asemenea, puteți adăuga un anumit port după „udp” dacă doriți să specificați mai departe filtrul.
   

Sfat: O altă modalitate de a ajusta filtrele de captură este să dați clic pe „Captură”, apoi pe „Opțiuni” din meniu. Bara de filtrare va fi în partea de jos a interfeței de captură.

Wireshark Cum să capturați pachete DHCP

Pentru a captura pachete DHCP exclusiv, va trebui să introduceți numărul de port corespunzător în filtrul de captură. Utilizați filtrul de captare „port 67” sau „port 68” sau combinația celor două „port 67 sau port 68” pentru a captura pachete DHCP.

În mod similar, un filtru de afișare poate filtra pachetele DHCP din ecranul de captură. Cu toate acestea, rețineți că filtrele de afișare folosesc o sintaxă diferită de filtrele de captură. Va trebui să introduceți „udp.port == 68” în bara de filtre de afișare.

Cum să capturați pachete Ping

Cea mai bună modalitate de a captura pachete ping (cunoscut și ca trafic Echo Internet Control Message Protocol (ICMP)) în Wireshark este utilizarea unui filtru de afișare în modul de captură. Iată procesul.

1. Deschideți Wireshark și începeți procesul de capturare așa cum este descris mai sus.
   
2. Deschideți promptul de comandă și trimiteți ping la adresa dorită.
   
3. Reveniți la Wireshark și opriți procesul de capturare.
   
4. Creați un filtru pentru pachetele ping tastând „icmp” în bara de filtre de afișare, apoi apăsați Enter.
   

Veți vedea atât solicitările, cât și răspunsurile la ping în lista de pachete.

Wireshark Cum să capturați pachete de la o anumită adresă IP

Dacă doriți să vă concentrați captura pe o anumită adresă IP, introduceți următorul filtru de captură înainte de a începe captura: „gazdă [adresa IP pe care doriți să o înregistrați]”. De exemplu, capturarea pachetelor legate de adresa IP 111.11.1.1 ar necesita filtrul „gazdă 111.11.1.1” în bara de filtru de captură.

De asemenea, puteți defini dacă doriți să captați trafic către sau de la o anumită adresă IP, adăugând „src” pentru sursă sau „dst” pentru destinație la început în loc de „gazdă:”

• tastați „src 111.11.1.1” pentru pachetele care provin de la adresa IP în cauză
• tastați „dst 111.11.1.1” pentru pachetele care sunt trimise la adresa IP în cauză

Desigur, puteți combina aceste filtre pentru a specifica traficul pe care doriți să îl captați în continuare. Conectați cele două filtre cu „și” pentru a obține pachetele care călătoresc între cele două adrese IP pe care le definiți. De exemplu, „src 111.11.1.1 și dst 222.22.2.2” va captura numai pachetele trimise de la 111.11.1.1 la 222.22.2.2.

Utilizați filtre de afișare pentru a filtra pachetele legate de o anumită adresă IP dintr-un set de date deja capturat. Pentru adresa IP menționată mai sus, introduceți „ip.addr == 111.11.1.1” în bara de filtre de afișare și așa mai departe.

Întrebări frecvente

Cum capturez pachetele de router în Wireshark?

Puteți captura pachete de router cu Wireshark numai dacă aveți un router care acceptă oglindirea portului. În primul rând, va trebui să reflectați traficul într-un port LAN. Procesul poate diferi în funcție de dispozitivul dvs.

1. Accesați LAN și apoi LAN Port Mirror.

2. Activați oglindirea portului.

3. Configurați punctele sursă și destinație.

Dacă vă puteți oglindi traficul în acest fel, veți putea captura pachete de router în mod normal în modul de captură al Wireshark.

De ce nu pot captura pachete în Wireshark?

Dacă Wireshark nu captează niciun pachet, analizați următoarele posibilități pentru a remedia problema:

• Asigurați-vă că nu aveți activate filtre de captare prea specifice.

• Căutați actualizări Wireshark în meniul Ajutor.

• Verificați dacă un firewall nu vă blochează aplicația Wireshark.

Dacă niciunul dintre factorii de mai sus nu se aplică în cazul dvs., problema este cel mai probabil cu hardware-ul dvs.

Trebuie să capturezi tot

Capturarea pachetelor cu Wireshark durează doar câteva clicuri. Probabil că va fi cea mai ușoară parte a sarcinii dvs. de depanare. Capturați tot traficul și filtrați pachetele mai târziu sau utilizați filtre de captură pentru a înregistra doar un anumit tip de date.

Ați reușit să capturați pachetele dorite folosind aceste sfaturi? Care filtre de captură Wireshark vi se par cele mai utile? Anunțați-ne în secțiunea de comentarii de mai jos.