Как удалить wireshark windows

Обновлено: 06.07.2024

Следующее руководство предназначено для краткого ознакомления с самым известным пакетом Sniffer в мире Wireshark. Наиболее полное руководство, которое вы можете найти, - это руководство пользователя на английском языке- user-guide-wireshark , которое насчитывает 192 страницы.

В любом случае, если не хотите читать все данные страницы, можно найти несколько простых руководств в Интернете. Это одна из них, и только теоретическая основа на «практический» подход для графического интерфейса.

Вступление

Данные, которые вы отправляете и получаете с вашего компьютера, инкапсулируются в соответствии с моделью ISO / OSI или структурой TCP / IP. На следующих изображениях видно, как построена модель ISO / OSI и структура TCP / IP и как они взаимодействуют друг с другом.

Начнем с уровней приложения, данные инкапсулируются через 7 разных уровней. Каждый уровень добавляет заголовок. Посмотрите на следующее изображение; когда речь заходит о уровне транспорт (TRANSPORT), мы называем данные «сегментами»(SEGMENT), когда речь идет о сетевом уровне (NETWORK), мы говорим «пакеты»(PACKET), говоря о уровне канале передачи данных, мы говорим «фрейм» (FRAME)и ссылаясь на физический уровень «бит»(BIT).

Wireshark - мощный (эффективный) сниффер пакетов. Хотя мы говорим об сниффере пакетов, Wireshark захватывает фреймы на уровне канала передачи данных. Wireshark более пассивен. Он не отправляет фреймы и не получает их. Wireshark получает копию всех фреймов, обмениваемых между двумя машинами, затем, сниффер работает на уровене канала передачи данных, может считывать информацию на всех более высоких уровнях (сеть, транспорт, сессия, презентация, приложение), храня данные и отображая различные области протокола также их содержимое.

Простой графический интерфейс

Графический интерфейс Wireshark показывает следующие части:

• область фильтра отображения пакетов

• окно со списком пакетов

• окно со сведениями о заголовке пакета

• окно с содержимым пакетов

Меню команд

• Меню «File»(Файл) позволяет нам импортировать захваченные файлы, экспортировать их, сохранить захваченное и выйти из Wireshark.

• Меню «Edit»(Правка) помогает нам искать конкретный пакет между множеством захваченных пакетов.

• Меню «Capture» (Захват) позволяет нам запускать или останавливать захваченное и уточнять параметры захвата. Он также представляет список предварительно сконфигурированных фильтров исследований.

• В меню Analyze (анализа) отображаются параметры других фильтров.

Область фильтра отображения пакетов

Тут можно ввести слово (например, имя протокола), чтобы скрыть все пакеты, которые не содержать в себе введенное имя.

Окно со списком пакетов

Тут нам дан список всех захваченных пакетов. Обратите внимание, что номер пакета назначается сниффером Wireshark чтобы было легче понять и удобно читать, но это не имеет ничего общего с самим пакетом. В этом списке можно найти адрес источника и получателя, время, в которое был захвачен пакет, и тип протокола.

Окно со сведениями о заголовке пакета

Жанр деталей, которые можно найти тут, включает в себя сведения об источнике или конечной цели выбранного пакета, сведения о Ethernet и IP и т. д.

Окно с содержимым пакетов

Отображает содержимое выбранного пакета как в шестнадцатеричном, так и в ASCII.

Процесс установки

Обратите внимание, что пользователи, не являющиеся пользователями со всеми правами, не будут автоматически иметь разрешение на выполнение захватов. Чтобы решить эту проблему, прочитайте документ readme (/usr/share/doc/wireshark-common/README.Debian), в котором говорится:

«Только пользователь со всеми правами сможет захватывать пакеты. Рекомендуется захватить

пакеты с прилагаемой программой dumpcap со всеми правами, а затем запустить

Wireshark / Tshark как обычный пользователь для анализа захваченных журналов. Это по умолчанию используется в системах Debian ».

Другая возможность - использовать Wireshark как для захвата, так и для анализа пакетов, в этом случае пользователь со всеми правами должен добавить гостевых пользователей в группу Wireshark, чтобы сделать их доступными для захвата.

Навигационные клавиши

Все возможные действия в Wireshark можно выполнять с помощью клавиатуры. Ниже приведен список все основные комбинации нажатий клавищ, которые можно использовать для перемещения по файлу захвата.

Клавиши быстрого ввода

Описание функций клавиш быстрого ввода

Tab, Shift+Tab

Перемещение между элементами экрана, например. от панелей инструментов до списка пакетов до подробностей пакета.

Перейдите к следующему пакету или к деталям элемента.

Перейдите к предыдущему пакету или к деталям элемента.

Ctrl+Down, F8

Перейдите к следующему пакету, даже если список пакета не сфокусирован.

Ctrl+Up, F7

Перейдите к предыдущему пакету, даже если список пакета не сфокусирован.

Перейдите к следующему пакету связи (TCP, UDP или IP)

Перейдите к предыдущему пакету связи (TCP, UDP или IP)

В деталях пакета закрывает выбранный элемент дерева. Если он уже закрыт, он переходит к родительскому узлу.

Right

В деталях пакета открывает выбранный элемент дерева.

S hi ft+Right

В деталях пакета открывает выбранный элемент дерева и все его ветви.

Ctrl+Right

В деталях пакета открывает все элементы дерева.

Ctrl+Left

В деталях пакета закрывает все элементы дерева.

Backspace

В деталях пакета переходит к родительскому узлу.

Return, Enter

В деталях пакета переключает выбранный элемент дерева.

Тест диапазона зоны охвата

Чтобы выполнить тест захвата, просто откройте свой любимый браузер. Затем можно запустить Wireshark, и увидите главное окно, в котором пока нет информации о пакете. Перейдите к «интерфейсам» и выберите тот который предпочитаете больше всего. Wireshark может использовать большое количество различных интерфейсов.

• “any” : виртуальный интерфейс, захватывает все возможные (даже скрытые)интерфейсы разом
• “lo”: виртуальный интерфейс обратной петли
• “eth0”, “eth1”, …: Ethernet интерфейсы
• “ppp0”, “ppp1”, …: PPP интерфейсы
• “wlan0”, “wlan1”, …: Wireless LAN
• “team0”, “bond0”: Комбинированные интерфейсы (например склейка адаптеров ( NIC bonding ) или сопряжение адаптеров (NIC teaming).)
• “br0”, “br1”, …: Сетевой мост Ethernet
• “tunl0”, “tunl1”: IPв IP туннелировании
• “gre0”, “gre1”: GRE туннелирование (Cisco)
• “ipsec0”, “ipsec1”: вторичный IP (VPN)
• “nas0”, “nas1”: мост ATM как в RFC 2684 (используется например для связи xDSL)
• “usb0”, “usb1”, …: USB интерфейсы

Чтобы найти поддерживаемые интерфейсы для других операционных систем, можете ознакомиться с Wireshark Wiki. Обратите внимание: если поместить свой интерфейс в режим мониторинга, то сможете захватить не только копию отправленных вам и от вас пакетов, но и копию всех пакетов, которые совершаются в вашей сети! Обратите внимание в этом случае, файл .pcap может быстро стать очень тяжелым.

После того как вы выбрали интерфейс захвата, нажмите «Пуск», и процесс захвата начнется для выбранного интерфейса. Пока просматриваете веб-страницы, увидите список всех пакетов и после того, как вас удовлетворит результат, поэтому, как только подумаете, что у вас достаточно пакетов, можете остановить процесс захвата. Теперь перейдите в меню «Файл» и нажмите «Сохранить как». Вы можете сохранить захваченные пакеты в нескольких форматах, следующий список поддерживаемых форматов с сайта Wireshark:

• pcapng (*.pcapng). Гибкий, работоспособный преемник формата libpcap. Wireshark 1.8 и более поздние версии сохраняют файлы как pcapng по умолчанию. Версии до 1.8 использовали libpcap.
• ibpcap, tcpdump и различные другие инструменты с использованием формата захвата tcpdump (*.pcap,*.cap,*.dmp)
• Accellent 5Views (*.5vw)
• HP-UX’s nettl (*.TRC0,*.TRC1)
• Microsoft Network Monitor – NetMon (*.cap)
• Network Associates Sniffer – DOS (*.cap,*.enc,*.trc,*fdc,*.syc)
• Network Associates Sniffer – Windows (*.cap)
• Network Instruments Observer version 9 (*.bfr)
• Novell LANalyzer (*.tr1)
• Oracle (previously Sun) snoop (*.snoop,*.cap)
• Visual Networks Visual UpTime traffic (*.*)

Заключительная часть-анализ захваченных пакетов. Чтобы выполнить хороший анализ, необходимо иметь надежную сетевую базу, но этот аргумент не является целью этого учебника, который объясняет, как использовать Wireshark для захвата сочной информации.

wireshark.exe это исполняемый файл, который является частью Wireshark 1.4.3 Программа, разработанная Сообщество разработчиков Wireshark, Программное обеспечение обычно о 74.62 MB по размеру.

Расширение .exe имени файла отображает исполняемый файл. В некоторых случаях исполняемые файлы могут повредить ваш компьютер. Пожалуйста, прочитайте следующее, чтобы решить для себя, является ли wireshark.exe Файл на вашем компьютере - это вирус или троянский конь, который вы должны удалить, или это действительный файл операционной системы Windows или надежное приложение.

Wireshark.exe безопасный, или это вирус или вредоносная программа?

Первое, что поможет вам определить, является ли тот или иной файл законным процессом Windows или вирусом, это местоположение самого исполняемого файла. Например, такой процесс, как wireshark.exe, должен запускаться из C: \ Program Files \ wireshark \ wireshark.exe, а не где-либо еще.

Для подтверждения откройте диспетчер задач, выберите «Просмотр» -> «Выбрать столбцы» и выберите «Имя пути к изображению», чтобы добавить столбец местоположения в диспетчер задач. Если вы обнаружите здесь подозрительный каталог, возможно, стоит дополнительно изучить этот процесс.

Еще один инструмент, который иногда может помочь вам обнаружить плохие процессы, - это Microsoft Process Explorer. Запустите программу (не требует установки) и активируйте «Проверить легенды» в разделе «Параметры». Теперь перейдите в View -> Select Columns и добавьте «Verified Signer» в качестве одного из столбцов.

Если статус процесса «Проверенная подписывающая сторона» указан как «Невозможно проверить», вам следует взглянуть на процесс. Не все хорошие процессы Windows имеют метку проверенной подписи, но ни один из плохих.

Наиболее важные факты о wireshark.exe:

Если у вас возникли какие-либо трудности с этим исполняемым файлом, перед удалением wireshark.exe вы должны определить, заслуживает ли он доверия. Для этого найдите этот процесс в диспетчере задач.

Найдите его местоположение (оно должно быть в C: \ Program Files \ wireshark) и сравните его размер с приведенными выше фактами.

Кроме того, функциональность вируса может сама влиять на удаление wireshark.exe. В этом случае вы должны включить Безопасный режим с поддержкой сети - безопасная среда, которая отключает большинство процессов и загружает только самые необходимые службы и драйверы. Когда вы можете запустить программу безопасности и полный анализ системы.

Могу ли я удалить или удалить wireshark.exe?

Не следует удалять безопасный исполняемый файл без уважительной причины, так как это может повлиять на производительность любых связанных программ, использующих этот файл. Не забывайте регулярно обновлять программное обеспечение и программы, чтобы избежать будущих проблем, вызванных поврежденными файлами. Что касается проблем с функциональностью программного обеспечения, проверяйте обновления драйверов и программного обеспечения чаще, чтобы избежать или вообще не возникало таких проблем.

Согласно различным источникам онлайн, 6% людей удаляют этот файл, поэтому он может быть безвредным, но рекомендуется проверить надежность этого исполняемого файла самостоятельно, чтобы определить, является ли он безопасным или вирусом. Лучшая диагностика для этих подозрительных файлов - полный системный анализ с Reimage, Если файл классифицируется как вредоносный, эти приложения также удаляют wireshark.exe и избавляются от связанных вредоносных программ.

Однако, если это не вирус и вам нужно удалить wirehark.exe, вы можете удалить Wireshark 1.4.3 со своего компьютера с помощью программы удаления, которая должна находиться по адресу: "C: \ Program Files \ Wireshark \ uninstall.exe. ". Если вы не можете найти его деинсталлятор, вам может потребоваться удалить Wireshark 1.4.3, чтобы полностью удалить wirehark.exe. Вы можете использовать функцию «Добавить / удалить программу» в Панели управления Windows.

• 1. в Меню Пуск (для Windows 8 щелкните правой кнопкой мыши в нижнем левом углу экрана), нажмите Панель управления, а затем под Программы:
  o Windows Vista / 7 / 8.1 / 10: нажмите Удаление программы.
  o Windows XP: нажмите Установка и удаление программ.

• 2. Когда вы найдете программу Wireshark 1.4.3щелкните по нему, а затем:
  o Windows Vista / 7 / 8.1 / 10: нажмите Удалить.
  o Windows XP: нажмите Удалить or Изменить / Удалить вкладка (справа от программы).

• 3. Следуйте инструкциям по удалению Wireshark 1.4.3.

Наиболее распространенные ошибки wireshark.exe, которые могут возникнуть:

• «Ошибка приложения wirehark.exe».
• «сбой wirehark.exe».
• «Wireshark.exe столкнулся с проблемой и будет закрыт. Приносим извинения за неудобства».
• «Wirehark.exe не является допустимым приложением Win32».
• «Wirehark.exe не запущен».
• «wirehark.exe не найден».
• «Не удается найти wirehark.exe».
• «Ошибка запуска программы: wirehark.exe».
• «Неверный путь к приложению: wirehark.exe».

Аккуратный и опрятный компьютер - это один из лучших способов избежать проблем с Wireshark 1.4.3. Это означает выполнение сканирования на наличие вредоносных программ, очистку жесткого диска cleanmgr и ПФС / SCANNOWудаление ненужных программ, мониторинг любых автозапускаемых программ (с помощью msconfig) и включение автоматических обновлений Windows. Не забывайте всегда делать регулярные резервные копии или хотя бы определять точки восстановления.

Если у вас возникла более серьезная проблема, постарайтесь запомнить последнее, что вы сделали, или последнее, что вы установили перед проблемой. Использовать resmon Команда для определения процессов, вызывающих вашу проблему. Даже в случае серьезных проблем вместо переустановки Windows вы должны попытаться восстановить вашу установку или, в случае Windows 8, выполнив команду DISM.exe / Online / Очистка-изображение / Восстановить здоровье, Это позволяет восстановить операционную систему без потери данных.

Чтобы помочь вам проанализировать процесс wireshark.exe на вашем компьютере, вам могут пригодиться следующие программы: Менеджер задач безопасности отображает все запущенные задачи Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записи автозапуска. Единый рейтинг риска безопасности указывает на вероятность того, что это шпионское ПО, вредоносное ПО или потенциальный троянский конь. Это антивирус обнаруживает и удаляет со своего жесткого диска шпионское и рекламное ПО, трояны, кейлоггеры, вредоносное ПО и трекеры.

Обновлено ноябрь 2021 г .:

Мы рекомендуем вам попробовать это новое программное обеспечение, которое исправляет компьютерные ошибки, защищает их от вредоносных программ и оптимизирует производительность вашего ПК. Этот новый инструмент исправляет широкий спектр компьютерных ошибок, защищает от таких вещей, как потеря файлов, вредоносное ПО и сбои оборудования.

(опциональное предложение для Reimage - Cайт | Лицензионное соглашение | Политика конфиденциальности | Удалить)

Даже поверхностное знание программы Wireshark и её фильтров на порядок сэкономит время при устранении проблем сетевого или прикладного уровня. Wireshark полезен для многих задач в работе сетевого инженера, специалиста по безопасности или системного администратора. Вот несколько примеров использования:

Устранение неполадок сетевого подключения

• Визуальное отображение потери пакетов
• Анализ ретрансляции TCP
• График по пакетам с большой задержкой ответа

Исследование сессий прикладного уровня (даже при шифровании с помощью SSL/TLS, см. ниже)

Устранение неполадок DHCP с данными на уровне пакетов

• Изучение трансляций широковещательного DHCP
• Второй шаг обмена DHCP (DHCP Offer) с адресом и параметрами
• Клиентский запрос по предложенному адресу
• Ack от сервера, подтверждающего запрос

Извлечение файлов из сессий SMB

Обнаружение и проверка вредоносных программ

Проверка сканирования портов и других типов сканирования на уязвимости

• Понимание, какой сетевой трафик поступает от сканеров
• Анализ процедур по проверке уязвимостей, чтобы различать ложноположительные и ложноотрицательные срабатывания

Wireshark работает на различных операционных системах и его несложно установить. Упомянем только Ubuntu Linux, Centos и Windows.

Установка на Ubuntu или Debian

Установка на Fedora или CentOS

Установка на Windows

На странице загрузки лежит исполняемый файл для установки. Довольно просто ставится и драйвер захвата пакетов, с помощью которого сетевая карта переходит в «неразборчивый» режим (promiscuous mode позволяет принимать все пакеты независимо от того, кому они адресованы).

С первым перехватом вы увидите в интерфейсе Wireshark стандартный шаблон и подробности о пакете.

Примеры фильтров по IP-адресам

Примеры фильтров по протоколу

По умолчанию Wireshark не резолвит сетевые адреса в консоли. Это можно изменить в настройках.

Edit | Preferences | Name Resolution | Enable Network Name Resolution

Как и в случае tcpdump , процедура резолвинга замедлит отображение пакетов. Также важно понимать, что при оперативном захвате пакетов DNS-запросы с вашего хоста станут дополнительным трафиком, который могут перехватить.

Если вы ещё не баловались с tshark , взгляните на наше руководство с примерами фильтров. Эту программу часто игнорируют, хотя она отлично подходит для захвата сессий на удалённой системе. В отличие от tcpdump , она позволяет на лету захватывать и просматривать сессии прикладного уровня: декодеры протоколов Wireshark также доступны для tshark.

Вот быстрый способ создания правил из командной строки, чтобы не искать в интернете конкретный синтаксис. Выберите подходящее правило — и перейдите в Tools | Firewall ACL Rules. Поддерживаются различные файрволы, такие как Cisco IOS, ipfilter , ipfw , iptables , pf и даже файрвол Windows через netsh .

Если Wireshark скомпилирован с поддержкой GeoIP и у вас есть бесплатные базы Maxmind, то программа может определять местоположение компьютеров по их IP-адресам. Проверьте в About | Wireshark, что программа скомпилирована с той версией, какая у вас в наличии. Если GeoIP присутствует в списке, то проверьте наличие на диске баз GeoLite City, Country и ASNum. Укажите расположение баз в меню Edit | Preferences | Name Resolution.

Проверьте систему на дампе трафика, выбрав опцию Statistics | Endpoints | IPv4. В колонках справа должна появиться информация о местоположении и ASN для IP-адреса.

Другая функция GeoIP — фильтрация трафика по местоположению с помощью фильтра ip.geoip . Например, так можно исключить трафик из конкретной ASN. Нижеуказанная команда исключает пакеты от сетевого блока ASN 63949 (Linode).

Конечно, тот же фильтр можно применить к отдельным городам и странам. Удалите шум и оставьте только действительно интересный трафик.

Один из способов расшифровки сессий SSL/TLS — использовать закрытый ключ с сервера, к которому подключен клиент.

Конечно, у вас не всегда есть доступ к приватному ключу. Но есть другой вариант простого просмотра трафика SSL/TLS на локальной системе. Если Firefox или Chrome загружаются с помощью специальной переменной среды, то симметричные ключи отдельных сеансов SSL/TLS записаны в файл, который Wireshark может прочитать. С помощью этих ключей Wireshark покажет полностью расшифрованную сессию!

1. Настройка переменной среды

На вкладке System Properties | Advanced нажмите кнопку Environment Variables и добавьте имя переменной (SSLKEYLOGFILE), а в качестве значения — путь к файлу.

2. Настройка Wireshark

Из выпадающего меню выберите Edit | Preferences | Protocols | SSL | (Pre)-Master-Secret Log Filename — Browse, указав файл, который вы указали в переменную среды.

Начинайте захват трафика в локальной системе.

3. Перезапуск Firefox или Chrome

Взгляните на ранее запущенную сессию Wireshark. Вы должны увидеть что-то похожее на скриншот внизу с расшифрованными сессиями. Расшифрованные пакеты — на вкладке в нижней панели.

Другой способ просмотра сеанса — через выпадающее меню Analysis | Follow | Stream | SSL. Если сеанс успешно расшифрован, вы увидите опцию для SSL.

Разумеется, будьте осторожны при записи этих ключей и пакетов. Если посторонний получит доступ к лог-файлу, то легко найдёт там ваши пароли и куки аутентификации.

Файлы легко извлекаются через меню экспорта.

Все найденные файлы отобразятся в новом окне. Отсюда же можно сохранить отдельные файлы или сразу все. Аналогичный метод применяется для извлечения файлов из сессий SMB. Как мы уже упоминали, это протокол Microsoft Server Message Block, который используется для общего доступа к файлам под Windows.

Строка состояния в правой части окна позволяет быстро перейти в нужное место сетевого дампа, щёлкнув по цветовому индикатору. Например, красным цветом в строке состояния помечены пакеты с ошибками.

Когда только начинаете работу с Wireshark, хочется посмотреть на какие-нибудь интересные дампы с пакетами. Их можно найти на странице Wireshark Samples. Примеров с разными протоколами там хватит вам на несколько месяцев анализа, есть даже образцы трафика червей и эксплоитов.

Внешний вид консоли по умолчанию всячески настраивается. Можно добавлять или удалять столбцы, добавляя даже такие простые вещи как столбец времени UTC, что сразу повышает информативность логов, если анализировать историю пакетов.

Столбцы настраиваются в меню Edit | Preferences | Appearance | Columns. Там же изменяется общий шаблон, шрифт и цвета.

На видео — полезные советы по настройке окружения, в том числе выявление неполадок по порядковым номерам последовательности TCP.

В комплекте с Wireshark поставляется удобный инструмент командной строки capinfos . Эта утилита генерирует статистику пакетного дампа, с временем начала/окончания записи и другими подробностями. С опцией -T она выдаёт текст с табуляцией — он подходит для импорта в электронные таблицы или анализа в консоли.

Wireshark - это мощный сетевой анализатор, который может использоваться для анализа трафика, проходящего через сетевой интерфейс вашего компьютера. Он может понадобиться для обнаружения и решения проблем с сетью, отладки ваших веб-приложений, сетевых программ или сайтов. Wireshark позволяет полностью просматривать содержимое пакета на всех уровнях: так вы сможете лучше понять как работает сеть на низком уровне.

Все пакеты перехватываются в реальном времени и предоставляются в удобном для чтения формате. Программа поддерживает очень мощную систему фильтрации, подсветку цветом, и другие особенности, которые помогут найти нужные пакеты. В этой инструкции мы рассмотрим, как пользоваться Wireshark для анализа трафика. Недавно разработчики перешли к работе над второй веткой программы Wireshark 2.0, в неё было внесено множество изменений и улучшений, особенно для интерфейса. Именно её мы будем использовать в этой статье.

Основные возможности Wireshark

Перед тем, как переходить к рассмотрению способов анализа трафика, нужно рассмотреть, какие возможности поддерживает программа более подробно, с какими протоколами она может работать и что делать. Вот основные возможности программы:

Программа имеет множество других функций, но это были те основные, которые могут вас заинтересовать.

Как пользоваться Wireshark

Я предполагаю, что программа у вас уже установлена, но если нет, то вы можете ее установить из официальных репозиториев. Для этого наберите команду в Ubuntu:

sudo apt install wireshark

После установки вы сможете найти программу в главном меню дистрибутива. Запускать Wireshark нужно с правами суперпользователя, потому что иначе она не сможет анализировать сетевые пакеты. Это можно сделать из главного меню или через терминал с помощью команды для KDE:

А для Gnome / Unity:

Главное окно программы разделено на три части: первая колонка содержит список доступных для анализа сетевых интерфейсов, вторая - опции для открытия файлов, а третья - помощь.

Анализ сетевого трафика

Для начала анализа выберите сетевой интерфейс, например eth0, и нажмите кнопку Start.

После этого откроется следующее окно, уже с потоком пакетов, которые проходят через интерфейс. Это окно тоже разделено на несколько частей:

• Верхняя часть - это меню и панели с различными кнопками;
• Список пакетов - дальше отображается поток сетевых пакетов, которые вы будете анализировать;
• Содержимое пакета - чуть ниже расположено содержимое выбранного пакета, оно разбито по категориям в зависимости от транспортного уровня;
• Реальное представление - в самом низу отображается содержимое пакета в реальном виде, а также в виде HEX.

Вы можете кликнуть по любому пакету, чтобы проанализировать его содержимое:

Здесь мы видим пакет запроса к DNS, чтобы получить IP-адрес сайта, в самом запросе отправляется домен, а в пакете ответа мы получаем наш вопрос, а также ответ.

Для более удобного просмотра можно открыть пакет в новом окне, выполнив двойной клик по записи:

Фильтры Wireshark

Перебирать пакеты вручную, чтобы найти нужные, очень неудобно, особенно при активном потоке. Поэтому для такой задачи лучше использовать фильтры. Для ввода фильтров под меню есть специальная строка. Вы можете нажать Expression, чтобы открыть конструктор фильтров, но там их очень много, поэтому мы рассмотрим самые основные:

Для указания отношения между полем и значением в фильтре можно использовать такие операторы:

Для объединения нескольких выражений можно применять:

• && - оба выражения должны быть верными для пакета;
• || - может быть верным одно из выражений.

Теперь рассмотрим подробнее на примерах несколько фильтров и попытаемся понять все знаки отношений.

А чтобы получить не только отправленные пакеты, но и полученные в ответ от этого узла, можно объединить два условия:

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

Дальше отберём пакеты с ttl меньше 10:

Также мы можем отобрать переданные большие файлы:

Отфильтровав Content-Type, мы можем выбрать все картинки, которые были загружены; выполним анализ трафика Wireshark, пакеты, которого содержат слово image:

Чтобы очистить фильтр, вы можете нажать кнопку Clear. Бывает, вы не всегда знаете всю необходимую для фильтрации информацию, а просто хотите изучить сеть. Вы можете добавить любое поле пакета в качестве колонки и посмотреть его содержимое в общем окне для каждого пакета.

Например, я хочу вывести в виде колонки ttl (время жизни) пакета. Для этого откройте информацию о пакете, найдите это поле в разделе IP. Затем вызовите контекстное меню и выберите опцию Apply As Column:

Далее вы увидите нужную колонку после обновления:

Таким же образом можно создать фильтр на основе любого нужного поля. Выберите его и вызовите контекстное меню, затем нажмите Apply as filter или Prepare as filter, затем выбираем Selected, чтобы вывести только выбранные значения, или Not selected, чтобы их убрать:

Указанное поле и его значение будет применено или во втором случае подставлено в поле фильтра:

Еще одна интересная возможность программы - использование Wireshark для отслеживания определённого сеанса между компьютером пользователя и сервером. Для этого откройте контекстное меню для пакета и выберите Follow TCP stream.

Затем откроется окно, в котором вы найдете все данные, переданные между сервером и клиентом:

Диагностика проблем Wireshark

Окно разделено на такие вкладки, как Errors, Warnings, Notices, Chats. Программа умеет фильтровать и находить множество проблем с сетью, и тут вы можете их очень быстро увидеть. Здесь тоже поддерживаются фильтры Wireshark.

Анализ трафика Wireshark

Вы можете очень просто понять, что именно скачивали пользователи и какие файлы они смотрели, если соединение не было зашифровано. Программа очень хорошо справляется с извлечением контента.

Далее в открывшемся окне вы увидите все доступные перехваченные объекты. Вам достаточно экспортировать их в файловую систему. Вы можете сохранять как картинки, так и музыку.

Дальше вы можете выполнить анализ сетевого трафика Wireshark или сразу открыть полученный файл другой программой, например плеером.

Выводы

В этой статье мы рассмотрели, как пользоваться Wireshark 2 для анализа сетевого трафика, а также примеры решения проблем с сетью. Это очень мощная утилита, которая имеет очень много функций. Всю её функциональность невозможно охватить в одной статье, но приведенной здесь базовой информации будет вполне достаточно, чтобы вы могли сами освоить всё необходимое.

Читайте также:

  
• Как приостановить процесс в windows 10
  
• Системе windows не удалось выполнить поиск обновлений автоматически важное
  
• Manjaro linux как установить octopi
  
• Как перезапустить проводник в windows 7 через командную строку
  
• Отключить spotlight mac os