Jak pracować z WireSharkiem

WireShark zyskał renomę jednego z najlepszych darmowych analizatorów. Oferuje dość przyjazny interfejs graficzny. Instalacja w Windows wymaga instalacji biblioteki WinPcap (Windows Packet Capture), a w Linuksie - biblioteki libpcap. Aplikacja w systemach UNIX/Linux pracuje w środowisku graficznym GTK+. Tuż po zainstalowaniu i uruchomieniu aplikacji należy wybrać interfejs, który posłuży do monitorowania ruchu (Interface List). Przykładowo, jeżeli zamierzasz przechwytywać ruch z sieci bezprzewodowej, należy wybrać interfejs sieci bezprzewodowej. Na powitalnej stronie WireSharka istnieje możliwość konfiguracji opcji zaawansowanych (Capture Options). Na ekranie startowym aplikacji można także otworzyć pliki z zapisanymi wcześniej sesjami przechwytywanego ruchu. Istnieje opcja pobrania ze stron projektu WireShark ciekawych sesji do analizy.

Gdy wybierzesz interfejs, pakiety będą przechwytywane oraz pokazywane w interfejsie aplikacji w czasie rzeczywistym. Na tym etapie można obserwować ruch wychodzący i przychodzący komunikacji z systemem. Można zastosować wcześniej opisane opcje, w celu zbierania danych z określonego segmentu sieci. W przypadku karty bezprzewodowej staje się to jeszcze łatwiejsze, ponieważ wystarczy przełączyć kartę w tryb monitorowania promiscuous. Kliknięcie przycisku Stop, umieszczonego w górnym lewym narożniku aplikacji, spowoduje zatrzymanie przechwytywania z interfejsu. Gdy korzystasz z głównego okna przeglądania pakietów, zauważysz, że zbierane pakiety są oznaczane kolorami w wierszach. Każdy kolor ma określone znaczenie: zielony oznacza ruch TCP, jasnoniebieski identyfikuje ruch UDP, ciemnoniebieski to ruch DNS. Jasnoszary kolor będzie oznaczał ruch ARP. Komunikaty ICMP pojawią się podświetlone ciemnoszarym kolorem. Z punktu widzenia analizy pakietów TCP kolor czarny oznacza problemy. To oczywiście domyślne kolory, które można dowolnie modyfikować.

Do odnalezienia określonych danych w gąszczu pakietów konieczne będzie wykorzystanie filtrów. Najłatwiejszym sposobem na wykorzystanie filtrów będzie poszukiwanego słowa kluczowego w oknie filtracji (Filter). Wpisz w tym oknie nazwę protokołu, w celu uzyskania podpowiedzi dotyczącej nazwy protokołu ustalonej w WireShark i zatwierdź przyciskiem Apply. Od tej pory będą wyświetlane jedynie pakiety dopasowane do obowiązującego filtra. Istnieje także możliwość definiowania filtracji o szerszym zakresie, przykładowo zawierającej określone adresy IP oraz protokoły. Filtry niesamowicie ułatwiają pracę oraz ograniczają ilość danych, które należy przeanalizować. Jeżeli wybierzesz wiersz z danym pakietem, w ramce poniżej zauważysz prezentację zawartości ramki.

Interesującą funkcją jest śledzenie strumieni. W nowszych wersjach WireSharka jest możliwość śledzenia strumienia TCP, UDP, SSL. Opcję tę wywołasz poprzez kliknięcie prawym przyciskiem myszy na przechwyconym pakiecie, a następnie wybranie odpowiedniej opcji - Follow TCP Stream, Follow UDP Stream lub Follow SSL Stream. Tym sposobem można przeanalizować całą sesję komunikacji.