วิธีอ่านแพ็คเก็ตใน Wireshark

สำหรับผู้เชี่ยวชาญด้านไอทีหลายๆ คน Wireshark เป็นเครื่องมือสำหรับการวิเคราะห์แพ็กเก็ตเครือข่าย ซอฟต์แวร์โอเพนซอร์สช่วยให้คุณตรวจสอบข้อมูลที่รวบรวมได้อย่างใกล้ชิดและระบุต้นตอของปัญหาด้วยความแม่นยำที่เพิ่มขึ้น นอกจากนี้ Wireshark ยังทำงานแบบเรียลไทม์และใช้รหัสสีเพื่อแสดงแพ็กเก็ตที่ดักจับ ท่ามกลางกลไกอันชาญฉลาดอื่นๆ

วิธีอ่านแพ็คเก็ตใน Wireshark

ในบทช่วยสอนนี้ เราจะอธิบายวิธีบันทึก อ่าน และกรองแพ็กเก็ตโดยใช้ Wireshark ด้านล่างนี้ คุณจะพบคำแนะนำทีละขั้นตอนและรายละเอียดของฟังก์ชันการวิเคราะห์เครือข่ายพื้นฐาน เมื่อคุณเชี่ยวชาญขั้นตอนพื้นฐานเหล่านี้แล้ว คุณจะสามารถตรวจสอบกระแสการรับส่งข้อมูลของเครือข่ายและแก้ไขปัญหาได้อย่างมีประสิทธิภาพมากขึ้น

กำลังวิเคราะห์แพ็คเก็ต

เมื่อจับแพ็กเก็ตแล้ว Wireshark จะจัดระเบียบพวกมันในบานหน้าต่างรายการแพ็กเก็ตที่มีรายละเอียดซึ่งอ่านง่ายอย่างไม่น่าเชื่อ หากคุณต้องการเข้าถึงข้อมูลเกี่ยวกับแพ็กเก็ตเดียว สิ่งที่คุณต้องทำคือค้นหาข้อมูลในรายการแล้วคลิก คุณยังสามารถขยายแผนผังเพิ่มเติมเพื่อเข้าถึงรายละเอียดของแต่ละโปรโตคอลที่อยู่ในแพ็กเก็ต

สำหรับภาพรวมที่ครอบคลุมมากขึ้น คุณสามารถแสดงแต่ละแพ็กเก็ตที่ดักจับในหน้าต่างแยกต่างหาก นี่คือวิธี:

  1. เลือกแพ็กเก็ตจากรายการด้วยเคอร์เซอร์ของคุณ จากนั้นคลิกขวา

  2. เปิดแท็บ "มุมมอง" จากแถบเครื่องมือด้านบน

  3. เลือก "แสดงแพ็คเก็ตในหน้าต่างใหม่" จากเมนูแบบเลื่อนลง

หมายเหตุ: การเปรียบเทียบแพ็กเก็ตที่ดักไว้จะง่ายกว่ามาก หากคุณนำมาในหน้าต่างแยกกัน

ดังที่กล่าวไว้ Wireshark ใช้ระบบรหัสสีสำหรับการแสดงข้อมูลเป็นภาพ แต่ละแพ็กเก็ตจะถูกทำเครื่องหมายด้วยสีที่แตกต่างกันซึ่งแสดงถึงประเภทการรับส่งข้อมูลที่แตกต่างกัน ตัวอย่างเช่น ทราฟฟิก TCP มักจะเน้นด้วยสีน้ำเงิน ในขณะที่สีดำใช้เพื่อระบุแพ็กเก็ตที่มีข้อผิดพลาด

แน่นอน คุณไม่จำเป็นต้องจำความหมายเบื้องหลังแต่ละสี คุณสามารถตรวจสอบได้ทันที:

  1. คลิกขวาที่แพ็กเก็ตที่คุณต้องการตรวจสอบ

  2. เลือกแท็บ "มุมมอง" จากแถบเครื่องมือที่ด้านบนของหน้าจอ

  3. เลือก "กฎการระบายสี" จากแผงแบบเลื่อนลง

คุณจะเห็นตัวเลือกในการปรับแต่งสีตามที่คุณต้องการ อย่างไรก็ตาม หากคุณต้องการเปลี่ยนกฎการระบายสีชั่วคราวเท่านั้น ให้ทำตามขั้นตอนเหล่านี้:

  1. คลิกขวาที่แพ็กเก็ตในบานหน้าต่างรายการแพ็กเก็ต
  2. จากรายการตัวเลือก ให้เลือก "Colorize With Filter"

  3. เลือกสีที่คุณต้องการติดป้ายกำกับ

ตัวเลข

บานหน้าต่างรายการแพ็คเก็ตจะแสดงจำนวนบิตข้อมูลที่จับได้อย่างแม่นยำ เนื่องจากแพ็กเก็ตถูกจัดเรียงเป็นหลายคอลัมน์ การตีความจึงค่อนข้างง่าย หมวดหมู่เริ่มต้นคือ:

  • เลขที่ (หมายเลข): ​​ดังที่กล่าวไว้ คุณสามารถค้นหาจำนวนแพ็กเก็ตที่ดักจับได้อย่างแม่นยำในคอลัมน์นี้ ตัวเลขจะยังคงเหมือนเดิมแม้หลังจากกรองข้อมูลแล้ว
  • เวลา: อย่างที่คุณอาจเดาได้ เวลาประทับของแพ็กเก็ตจะแสดงที่นี่
  • ที่มา: แสดงที่มาของแพ็กเก็ต
  • ปลายทาง: แสดงตำแหน่งที่จะเก็บแพ็คเก็ต
  • โปรโตคอล: จะแสดงชื่อของโปรโตคอล ซึ่งโดยทั่วไปจะเป็นตัวย่อ
  • ความยาว: แสดงจำนวนไบต์ที่มีอยู่ในแพ็กเก็ตที่ดักจับ
  • ข้อมูล: คอลัมน์นี้มีข้อมูลเพิ่มเติมเกี่ยวกับแพ็กเก็ตเฉพาะ

เวลา

เมื่อ Wireshark วิเคราะห์ทราฟฟิกเครือข่าย แพ็คเกจที่บันทึกแต่ละรายการจะถูกประทับเวลา การประทับเวลาจะรวมอยู่ในบานหน้าต่างรายการแพ็กเก็ตและพร้อมสำหรับการตรวจสอบในภายหลัง

Wireshark ไม่ได้สร้างการประทับเวลาเอง เครื่องมือวิเคราะห์จะดึงมาจากไลบรารี Npcap แทน อย่างไรก็ตาม แหล่งที่มาของการประทับเวลาจริงๆ แล้วคือเคอร์เนล นั่นเป็นสาเหตุที่ความถูกต้องของการประทับเวลาอาจแตกต่างกันไปในแต่ละไฟล์

คุณสามารถเลือกรูปแบบที่จะแสดงการประทับเวลาในรายการแพ็กเก็ตได้ นอกจากนี้ คุณสามารถตั้งค่าความแม่นยำที่ต้องการหรือจำนวนตำแหน่งทศนิยมที่จะแสดง นอกเหนือจากการตั้งค่าความแม่นยำเริ่มต้นแล้ว ยังมี:

  • วินาที
  • เสี้ยววินาที
  • เสี้ยววินาที
  • มิลลิวินาที
  • ไมโครวินาที
  • นาโนวินาที

แหล่งที่มา

ตามชื่อที่แนะนำ แหล่งที่มาของแพ็กเก็ตคือแหล่งกำเนิด หากคุณต้องการรับซอร์สโค้ดของที่เก็บ Wireshark คุณสามารถดาวน์โหลดได้โดยใช้ไคลเอนต์ Git อย่างไรก็ตาม วิธีการนี้กำหนดให้คุณต้องมีบัญชี GitLab สามารถทำได้โดยไม่ต้องมีใคร แต่ควรลงทะเบียนเผื่อไว้จะดีกว่า

เมื่อคุณลงทะเบียนบัญชีแล้ว ให้ทำตามขั้นตอนเหล่านี้:

  1. ตรวจสอบให้แน่ใจว่า Git ทำงานได้โดยใช้คำสั่งนี้: “$ git --version.

  2. ตรวจสอบอีกครั้งว่าที่อยู่อีเมลและชื่อผู้ใช้ของคุณได้รับการกำหนดค่าไว้หรือไม่
  3. ถัดไป สร้างโคลนของแหล่ง Workshark ใช้ "$ git clone -o upstream [ป้องกันอีเมล] :wireshark/wireshark.git” SSH URL ที่จะทำสำเนา
  4. หากคุณไม่มีบัญชี GitLab ให้ลองใช้ HTTPS URL: “$ git clone -o upstream //gitlab.com/wireshark/wireshark.git

แหล่งที่มาทั้งหมดจะถูกคัดลอกไปยังอุปกรณ์ของคุณในภายหลัง โปรดทราบว่าการโคลนนิ่งอาจใช้เวลาสักครู่ โดยเฉพาะอย่างยิ่งหากคุณมีการเชื่อมต่อเครือข่ายที่ช้า

ปลายทาง

หากคุณต้องการทราบที่อยู่ IP ของปลายทางของแพ็กเก็ตใดโดยเฉพาะ คุณสามารถใช้ตัวกรองการแสดงผลเพื่อค้นหาได้ นี่คือวิธี:

  1. เข้า "ip.addr == 8.8.8.8” ลงใน Wireshark “Filter Box” จากนั้นคลิก "เข้าสู่"

  2. บานหน้าต่างรายการแพ็กเก็ตจะถูกกำหนดค่าใหม่เพื่อแสดงปลายทางแพ็กเก็ตเท่านั้น ค้นหาที่อยู่ IP ที่คุณสนใจโดยเลื่อนดูรายการ

  3. เมื่อเสร็จแล้ว เลือก "ล้าง" จากแถบเครื่องมือเพื่อกำหนดค่าบานหน้าต่างรายการแพ็กเก็ตใหม่

มาตรการ

โปรโตคอลเป็นแนวทางที่กำหนดการรับส่งข้อมูลระหว่างอุปกรณ์ต่างๆ ที่เชื่อมต่อกับเครือข่ายเดียวกัน แต่ละแพ็คเก็ต Wireshark มีโปรโตคอล และคุณสามารถเรียกใช้ได้โดยใช้ตัวกรองการแสดงผล นี่คือวิธี:

  1. ที่ด้านบนของหน้าต่าง Wireshark ให้คลิกที่กล่องโต้ตอบ "ตัวกรอง"
  2. ป้อนชื่อของโปรโตคอลที่คุณต้องการตรวจสอบ โดยทั่วไป ชื่อโปรโตคอลจะเขียนด้วยอักษรตัวพิมพ์เล็ก
  3. คลิก "Enter" หรือ "Apply" เพื่อเปิดใช้งานตัวกรองการแสดงผล

ความยาว

ความยาวของแพ็กเก็ต Wireshark ถูกกำหนดโดยจำนวนไบต์ที่ถูกดักจับในข้อมูลโค้ดเครือข่ายนั้น จำนวนนั้นมักจะสอดคล้องกับจำนวนไบต์ข้อมูลดิบที่แสดงอยู่ที่ด้านล่างของหน้าต่าง Wireshark

หากคุณต้องการตรวจสอบการกระจายของความยาว ให้เปิดหน้าต่าง "Packet Lengths" ข้อมูลทั้งหมดแบ่งออกเป็นคอลัมน์ต่อไปนี้:

  • ความยาวของแพ็คเก็ต
  • นับ
  • เฉลี่ย
  • ค่าต่ำสุด/ค่าสูงสุด
  • ประเมินค่า
  • เปอร์เซ็นต์
  • อัตราการถ่ายต่อเนื่อง
  • ระเบิดเริ่มต้น

ข้อมูล

หากมีความผิดปกติหรือสิ่งที่คล้ายกันภายในแพ็กเก็ตที่บันทึกไว้ Wireshark จะจดบันทึกไว้ ข้อมูลจะแสดงในช่องรายการแพ็กเก็ตสำหรับการตรวจสอบเพิ่มเติม ด้วยวิธีนี้ คุณจะมีภาพที่ชัดเจนของพฤติกรรมเครือข่ายที่ผิดปกติ ซึ่งจะส่งผลให้มีปฏิกิริยาเร็วขึ้น

คำถามที่พบบ่อยเพิ่มเติม

ฉันจะกรองข้อมูลแพ็กเก็ตได้อย่างไร

การกรองเป็นคุณลักษณะที่มีประสิทธิภาพที่ช่วยให้คุณสามารถดูข้อมูลเฉพาะของลำดับข้อมูลเฉพาะได้ ตัวกรอง Wireshark มีสองประเภท: การจับภาพและการแสดงผล ตัวกรองการจับภาพมีไว้เพื่อจำกัดการดักจับแพ็กเก็ตให้เหมาะสมกับความต้องการเฉพาะ กล่าวคือ คุณสามารถกลั่นกรองการเข้าชมประเภทต่างๆ ได้โดยใช้ตัวกรองการดักจับ ตามชื่อที่แนะนำ ตัวกรองการแสดงผลช่วยให้คุณสามารถปรับแต่งองค์ประกอบเฉพาะของแพ็กเก็ตได้ ตั้งแต่ความยาวของแพ็กเก็ตไปจนถึงโปรโตคอล

การใช้ตัวกรองเป็นกระบวนการที่ค่อนข้างตรงไปตรงมา คุณสามารถพิมพ์ชื่อตัวกรองในกล่องโต้ตอบที่ด้านบนของหน้าต่าง Wireshark นอกจากนี้ ซอฟต์แวร์มักจะเติมชื่อของตัวกรองโดยอัตโนมัติ

อีกวิธีหนึ่ง ถ้าคุณต้องการรวมตัวกรองเริ่มต้นของ Wireshark ให้ทำดังต่อไปนี้:

1. เปิดแท็บ "วิเคราะห์" ในแถบเครื่องมือที่ด้านบนของหน้าต่าง Wireshark

2. จากรายการดรอปดาวน์ เลือก "แสดงตัวกรอง"

3. เรียกดูรายการและคลิกที่รายการที่คุณต้องการสมัคร

สุดท้าย ต่อไปนี้คือตัวกรอง Wireshark ทั่วไปที่อาจมีประโยชน์:

• หากต้องการดูที่อยู่ IP ต้นทางและปลายทางเท่านั้น ให้ใช้: “ip.src==IP-address และ ip.dst==IP-address

• หากต้องการดูเฉพาะการรับส่งข้อมูล SMTP ให้พิมพ์: “tcp.port eq 25

• ในการจับทราฟฟิกซับเน็ตทั้งหมด ใช้: “สุทธิ 192.168.0.0/24

• ในการจับภาพทุกอย่างยกเว้นการรับส่งข้อมูล ARP และ DNS ให้ใช้: “พอร์ตไม่ใช่ 53 และไม่ใช่ arp

ฉันจะดักจับข้อมูลแพ็คเก็ตใน Wireshark ได้อย่างไร

เมื่อคุณดาวน์โหลด Wireshark ลงในอุปกรณ์ของคุณแล้ว คุณสามารถเริ่มตรวจสอบการเชื่อมต่อเครือข่ายของคุณได้ ในการดักจับแพ็กเก็ตข้อมูลสำหรับการวิเคราะห์ที่ครอบคลุม สิ่งที่คุณต้องทำมีดังนี้:

1. เปิด Wireshark คุณจะเห็นรายชื่อเครือข่ายที่พร้อมใช้งาน ดังนั้นให้คลิกที่เครือข่ายที่คุณต้องการตรวจสอบ คุณยังสามารถใช้ตัวกรองการจับภาพได้หากต้องการระบุประเภทของการรับส่งข้อมูล

2. หากคุณต้องการตรวจสอบหลายเครือข่าย ให้ใช้ตัวควบคุม “shift + คลิกซ้าย”

3. จากนั้น คลิกที่ไอคอนหูฉลามซ้ายสุดบนแถบเครื่องมือด้านบน

4. คุณยังสามารถเริ่มการจับภาพได้โดยคลิกที่แท็บ "จับภาพ" และเลือก "เริ่มต้น" จากรายการแบบเลื่อนลง

5. อีกวิธีหนึ่งที่ทำได้คือการใช้การกดแป้น "Control – E"

เมื่อซอฟต์แวร์ดึงข้อมูล คุณจะเห็นข้อมูลนั้นปรากฏบนบานหน้าต่างรายการแพ็กเก็ตแบบเรียลไทม์

Shark Byte

แม้ว่า Wireshark เป็นเครื่องมือวิเคราะห์เครือข่ายขั้นสูง แต่ก็ตีความได้ง่ายอย่างน่าประหลาดใจ บานหน้าต่างรายการแพ็กเก็ตมีความครอบคลุมและมีการจัดระเบียบเป็นอย่างดี ข้อมูลทั้งหมดถูกแจกจ่ายเป็นเจ็ดสีที่แตกต่างกันและทำเครื่องหมายด้วยรหัสสีที่ชัดเจน

นอกจากนี้ ซอฟต์แวร์โอเพ่นซอร์สยังมาพร้อมกับตัวกรองที่ใช้งานได้ง่ายจำนวนหนึ่งซึ่งอำนวยความสะดวกในการตรวจสอบ เมื่อเปิดใช้งานตัวกรองการจับภาพ คุณสามารถระบุประเภทของการรับส่งข้อมูลที่คุณต้องการให้ Wireshark วิเคราะห์ และเมื่อดึงข้อมูลแล้ว คุณสามารถใช้ตัวกรองการแสดงผลหลายตัวสำหรับการค้นหาที่ระบุได้ ทั้งหมดนี้เป็นกลไกที่มีประสิทธิภาพสูงซึ่งไม่ยากเกินไปที่จะเชี่ยวชาญ

คุณใช้ Wireshark สำหรับการวิเคราะห์เครือข่ายหรือไม่ คุณคิดอย่างไรกับฟังก์ชันการกรอง? แจ้งให้เราทราบในความคิดเห็นด้านล่างหากมีคุณลักษณะการวิเคราะห์แพ็กเก็ตที่มีประโยชน์ที่เราข้ามไป


โพสต์ยอดนิยม

โพสต์ล่าสุด

Copyright th.blueboxerwebdesign.com 2024
$config[zx-auto] not found$config[zx-overlay] not found