Základní práce s protokolovým analyzátorem Wireshark

Wireshark
Wireshark (dříve Ethereal) je protokolový analyzátor a paketový sniffer. Wireshark nabízí velice
podobné funkce jako tcpdump, navíc však obsahuje grafické uživatelské rozhraní a mnoho možností
uspořádání a filtrování zobrazených informací. Aplikace umí přepnout síťovou kartu do promiskuitního
režimu a díky tomu dokáže zachytávat veškerou komunikaci na připojeném médiu.
Zachytávání provozu pomocí Wiresharku
Pokud chceme začít s jednoduchým zachytáváním paketů, stačí jen vybrat rozhraní, na kterém bude
poslouchání prováděno. Vystačíme si s výchozím nastavením, při kterém jsou zachytávány všechny
pakety. V Linuxu je třeba program spouštět s právy administrátora (su root)
Capture – Interfaces – Start (nejčastěji eth0)
Zachytávání provozu pomocí tcpdump
Síťový provoz můžeme zachytávat i pomocí programu tcpdump, běžícího na příkazové řádce.
Zachycený provoz je možno uložit do souboru a poté načíst do Wiresharku:
tcpdump -i eth0 -w capture.dat
Parametr -i specifikuje síťové zařízení, -w název souboru, do kterého budou data ukládána.
Zpracování výpisů
Zachycené pakety je možno filtrovat na základě podmínky specifikované v řádku Filter. K filtrování
dochází na základě logického výrazu. K jeho konstrukci je možno použít průvodce (Expression...)
Příkladem je následující filtr, který zobrazí jen ICMP pakety, které odešly z IP adresy 158.196.157.169
nebo 158.196.157.168 :
(ip.src == 158.196.157.169 || ip.src == 158.196.157.168) && ip.proto == ICMP
Zachycené pakety se ukládají do souboru pomocí „Save As“. V dialogovém okně lze vybrat, zda-li
chceme uložit všechny zprávy, či jen vybrané (Marked packet – CTRL+M).
Ilustrativní Screenshoty
Na screenshotech z aplikace Wireshark musí být vidět všechny základní položky – No., Time, Source,
Destination, Protocol, Info. Navíc v podrobných informacích o daném paketu bude zobrazen obsah
protokolu nejvyšší úrovně, tak jak je to ukázáno na následujícím obrázku, zachycujícím DHCP provoz.