10 เคล็ดลับเกี่ยวกับวิธีใช้ Wireshark เพื่อวิเคราะห์แพ็คเก็ตเครือข่าย

ในเครือข่ายแบบสลับแพ็กเก็ต แพ็กเก็ตแสดงถึงหน่วยข้อมูลที่ถูกส่งระหว่างคอมพิวเตอร์ เป็นความรับผิดชอบของวิศวกรเครือข่ายและผู้ดูแลระบบในการตรวจสอบและตรวจสอบแพ็กเก็ตเพื่อความปลอดภัยและการแก้ไขปัญหา

ในการดำเนินการนี้ พวกเขาอาศัยโปรแกรมซอฟต์แวร์ที่เรียกว่าตัววิเคราะห์แพ็กเก็ตเครือข่าย โดยที่ Wireshark อาจจะได้รับความนิยมและใช้งานมากที่สุดเนื่องจากมีความคล่องตัวและใช้งานง่าย ยิ่งไปกว่านั้น Wireshark ยังช่วยให้คุณไม่เพียงแต่ตรวจสอบการรับส่งข้อมูลแบบเรียลไทม์ แต่ยังบันทึกลงในไฟล์เพื่อตรวจสอบในภายหลังอีกด้วย

การอ่านที่เกี่ยวข้อง: เครื่องมือตรวจสอบแบนด์วิธ Linux ที่ดีที่สุดในการวิเคราะห์การใช้งานเครือข่าย

ในบทความนี้ เราจะแบ่งปันเคล็ดลับ 10 ข้อเกี่ยวกับวิธีใช้ Wireshark เพื่อวิเคราะห์แพ็กเก็ตในเครือข่ายของคุณ และหวังว่าเมื่อคุณไปถึงส่วนสรุป คุณจะรู้สึกอยากเพิ่มแพ็กเก็ตลงในบุ๊กมาร์กของคุณ

การติดตั้ง Wireshark ใน Linux

หากต้องการติดตั้ง Wireshark ให้เลือกตัวติดตั้งที่เหมาะสมสำหรับระบบปฏิบัติการ/สถาปัตยกรรมของคุณจาก https://www.wireshark.org/download.html

โดยเฉพาะอย่างยิ่ง หากคุณใช้ Linux Wireshark จะต้องพร้อมใช้งานโดยตรงจากพื้นที่เก็บข้อมูลของการแจกจ่ายของคุณ เพื่อให้ติดตั้งได้ง่ายขึ้นตามความสะดวกของคุณ แม้ว่าเวอร์ชันอาจแตกต่างกัน แต่ตัวเลือกและเมนูควรจะคล้ายกัน – หากแต่ละรายการไม่เหมือนกัน

------------ On Debian/Ubuntu based Distros ------------ 
sudo apt-get install wireshark

------------ On CentOS/RHEL based Distros ------------
sudo yum install wireshark

------------ On Fedora 22+ Releases ------------
sudo dnf install wireshark

มีข้อบกพร่องที่ทราบแล้วใน Debian และอนุพันธ์ที่อาจขัดขวางไม่ให้แสดงรายการอินเทอร์เฟซเครือข่าย เว้นแต่คุณจะใช้ sudo เพื่อเปิดใช้ Wireshark หากต้องการแก้ไขปัญหานี้ ให้ทำตามคำตอบที่ยอมรับในโพสต์นี้

เมื่อ Wireshark ทำงานแล้ว คุณสามารถเลือกอินเทอร์เฟซเครือข่ายที่คุณต้องการตรวจสอบภายใต้ จับภาพ:

ในบทความนี้ เราจะใช้ eth0 แต่คุณสามารถเลือกอันอื่นได้หากต้องการ อย่าเพิ่งคลิกอินเทอร์เฟซ เราจะดำเนินการในภายหลังเมื่อเราตรวจสอบตัวเลือกการจับภาพบางส่วนแล้ว

การตั้งค่าตัวเลือกการจับภาพ

ตัวเลือกการจับภาพที่มีประโยชน์ที่สุดที่เราจะพิจารณาคือ:

อินเทอร์เฟซเครือข่าย – ตามที่เราอธิบายไว้ก่อนหน้านี้ เราจะวิเคราะห์เฉพาะแพ็กเก็ตที่มาจาก eth0 ไม่ว่าจะเป็นขาเข้าหรือขาออก
ตัวกรองการจับภาพ – ตัวเลือกนี้ช่วยให้เราระบุประเภทของการรับส่งข้อมูลที่เราต้องการตรวจสอบตามพอร์ต โปรโตคอล หรือประเภท

ก่อนที่เราจะดำเนินการตามเคล็ดลับต่อไป สิ่งสำคัญคือต้องทราบว่าบางองค์กรห้ามการใช้ Wireshark ในเครือข่ายของตน อย่างไรก็ตาม หากคุณไม่ได้ใช้ Wireshark เพื่อวัตถุประสงค์ส่วนตัว โปรดตรวจสอบให้แน่ใจว่าองค์กรของคุณอนุญาตให้ใช้งานได้

ในขณะนี้ เพียงเลือก eth0 จากรายการแบบเลื่อนลงและคลิก เริ่มต้น ที่ปุ่ม คุณจะเริ่มเห็นการรับส่งข้อมูลทั้งหมดที่ผ่านอินเทอร์เฟซนั้น ไม่มีประโยชน์จริงๆ สำหรับวัตถุประสงค์ในการตรวจสอบเนื่องจากมีการตรวจสอบแพ็กเก็ตจำนวนมาก แต่เป็นจุดเริ่มต้น

ในภาพด้านบน เรายังเห็น ไอคอน เพื่อแสดงรายการอินเทอร์เฟซที่มีอยู่ เพื่อ หยุด การจับภาพปัจจุบัน และเพื่อ รีสตาร์ท (สีแดง ช่อง ซ้าย) และกำหนดค่าและแก้ไขตัวกรอง (ช่องสีแดงทาง ขวา) เมื่อคุณวางเมาส์เหนือไอคอนใดไอคอนหนึ่งเหล่านี้ คำแนะนำเครื่องมือจะปรากฏขึ้นเพื่อระบุว่ามันทำอะไร

เราจะเริ่มต้นด้วยการแสดงตัวเลือกในการจับภาพ ในขณะที่เคล็ดลับ #7 ถึง #10 จะหารือถึงวิธีการทำสิ่งที่มีประโยชน์จริง ๆ ด้วยการถ่ายภาพ

เคล็ดลับ #1 – ตรวจสอบการรับส่งข้อมูล HTTP

พิมพ์ http ในช่องตัวกรอง และคลิก นำไปใช้ เปิดเบราว์เซอร์ของคุณและไปที่ไซต์ใด ๆ ที่คุณต้องการ:

หากต้องการเริ่มต้นเคล็ดลับถัดไป ให้หยุดการบันทึกภาพสดและแก้ไขตัวกรองการบันทึก

เคล็ดลับ #2 – ตรวจสอบการรับส่งข้อมูล HTTP จากที่อยู่ IP ที่กำหนด

ในเคล็ดลับนี้ เราจะเติม ip==192.168.0.10&& ไว้หน้าตัวกรองเพื่อติดตามการรับส่งข้อมูล HTTP ระหว่างเครื่องคอมพิวเตอร์เฉพาะที่และ 192.168.0.10:

เคล็ดลับ #3 – ตรวจสอบการรับส่งข้อมูล HTTP ไปยังที่อยู่ IP ที่กำหนด

เกี่ยวข้องอย่างใกล้ชิดกับ #2 ในกรณีนี้ เราจะใช้ ip.dst เป็นส่วนหนึ่งของตัวกรองการบันทึกดังนี้:

ip.dst==192.168.0.10&&http

หากต้องการรวมเคล็ดลับ #2 และ #3 คุณสามารถใช้ ip.addr ในกฎตัวกรองแทน ip.src รหัส> หรือ <รหัส>ip.dst

เคล็ดลับ #4 – ตรวจสอบการรับส่งข้อมูลเครือข่าย Apache และ MySQL

บางครั้งคุณอาจสนใจที่จะตรวจสอบการเข้าชมที่ตรงกับเงื่อนไขข้อใดข้อหนึ่ง (หรือทั้งสองอย่าง) ตัวอย่างเช่น ในการตรวจสอบการรับส่งข้อมูลบนพอร์ต TCP 80 (เว็บเซิร์ฟเวอร์) และ 3306 (เซิร์ฟเวอร์ฐานข้อมูล MySQL/MariaDB) คุณสามารถใช้เงื่อนไข OR ในตัวกรองการจับภาพ:

tcp.port==80||tcp.port==3306

ในเคล็ดลับ #2 และ #3 || และคำว่า หรือ ให้ผลลัพธ์ที่เหมือนกัน เช่นเดียวกับ && และคำว่า และ

เคล็ดลับ #5 – ปฏิเสธแพ็กเก็ตไปยังที่อยู่ IP ที่กำหนด

หากต้องการยกเว้นแพ็กเก็ตที่ไม่ตรงกับกฎตัวกรอง ให้ใช้ ! และใส่กฎไว้ในวงเล็บ ตัวอย่างเช่น หากต้องการยกเว้นแพ็คเกจที่มาจากหรือถูกส่งไปยังที่อยู่ IP ที่กำหนด คุณสามารถใช้:

!(ip.addr == 192.168.0.10)

เคล็ดลับ #6 – ตรวจสอบการรับส่งข้อมูลเครือข่ายท้องถิ่น (192.168.0.0/24)

กฎตัวกรองต่อไปนี้จะแสดงเฉพาะการรับส่งข้อมูลในพื้นที่และไม่รวมแพ็กเก็ตที่เข้าและมาจากอินเทอร์เน็ต:

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24

เคล็ดลับ #7 – ตรวจสอบเนื้อหาของการสนทนา TCP

หากต้องการตรวจสอบเนื้อหาของการสนทนา TCP (การแลกเปลี่ยนข้อมูล) ให้คลิกขวาที่แพ็กเก็ตที่กำหนดและเลือกติดตามสตรีม TCP หน้าต่างจะปรากฏขึ้นพร้อมเนื้อหาของการสนทนา

ซึ่งจะรวมถึงส่วนหัว HTTP หากเรากำลังตรวจสอบการเข้าชมเว็บ และข้อมูลรับรองที่เป็นข้อความธรรมดาใดๆ ที่ส่งระหว่างกระบวนการ หากมี

เคล็ดลับ #8 – แก้ไขกฎการระบายสี

ตอนนี้ฉันแน่ใจว่าคุณสังเกตเห็นแล้วว่าแต่ละแถวในหน้าต่างจับภาพนั้นมีสี ตามค่าเริ่มต้น การรับส่งข้อมูล HTTP จะปรากฏบนพื้นหลัง สีเขียว พร้อมข้อความสีดำ ในขณะที่ข้อผิดพลาด เช็คซัม จะแสดงเป็นข้อความ สีแดง มีพื้นหลังสีดำ

หากคุณต้องการเปลี่ยนการตั้งค่าเหล่านี้ ให้คลิกไอคอน แก้ไข กฎการระบายสี เลือกตัวกรองที่กำหนด และคลิก แก้ไข

เคล็ดลับ #9 – บันทึกการจับภาพลงในไฟล์

การบันทึกเนื้อหาในการดักจับจะทำให้เราสามารถตรวจสอบได้อย่างละเอียดยิ่งขึ้น ในการดำเนินการนี้ ไปที่ ไฟล์ → ส่งออก และเลือกรูปแบบการส่งออกจากรายการ:

เคล็ดลับ #10 – ฝึกฝนโดยใช้การเก็บตัวอย่าง

หากคุณคิดว่าเครือข่ายของคุณ “น่าเบื่อ ” Wireshark มีชุดไฟล์จับภาพตัวอย่างที่คุณสามารถใช้เพื่อฝึกฝนและเรียนรู้ คุณสามารถดาวน์โหลด SampleCaptures เหล่านี้และนำเข้าได้ผ่านทางเมนู ไฟล์ → นำเข้า

สรุป

Wireshark เป็นซอฟต์แวร์โอเพ่นซอร์สฟรี ดังที่คุณเห็นในส่วนคำถามที่พบบ่อยของเว็บไซต์อย่างเป็นทางการ คุณสามารถกำหนดค่าตัวกรองการจับก่อนหรือหลังเริ่มการตรวจสอบได้

ในกรณีที่คุณไม่ได้สังเกตเห็น ตัวกรองมีคุณลักษณะเติมข้อความอัตโนมัติที่ช่วยให้คุณสามารถค้นหาตัวเลือกที่ใช้บ่อยที่สุดได้อย่างง่ายดายซึ่งคุณสามารถปรับแต่งได้ในภายหลัง ด้วยเหตุนี้ ท้องฟ้าจึงมีขีดจำกัด!

เช่นเคย อย่าลังเลที่จะติดต่อเราโดยใช้แบบฟอร์มความคิดเห็นด้านล่าง หากคุณมีคำถามหรือข้อสังเกตเกี่ยวกับบทความนี้