10 เคล็ดลับเกี่ยวกับวิธีใช้ Wireshark เพื่อวิเคราะห์แพ็คเก็ตเครือข่าย
ในเครือข่ายแบบสลับแพ็กเก็ต แพ็กเก็ตแสดงถึงหน่วยข้อมูลที่ถูกส่งระหว่างคอมพิวเตอร์ เป็นความรับผิดชอบของวิศวกรเครือข่ายและผู้ดูแลระบบในการตรวจสอบและตรวจสอบแพ็กเก็ตเพื่อความปลอดภัยและการแก้ไขปัญหา
ในการดำเนินการนี้ พวกเขาอาศัยโปรแกรมซอฟต์แวร์ที่เรียกว่าตัววิเคราะห์แพ็กเก็ตเครือข่าย โดยที่ Wireshark อาจจะได้รับความนิยมและใช้งานมากที่สุดเนื่องจากมีความคล่องตัวและใช้งานง่าย ยิ่งไปกว่านั้น Wireshark ยังช่วยให้คุณไม่เพียงแต่ตรวจสอบการรับส่งข้อมูลแบบเรียลไทม์ แต่ยังบันทึกลงในไฟล์เพื่อตรวจสอบในภายหลังอีกด้วย
การอ่านที่เกี่ยวข้อง: เครื่องมือตรวจสอบแบนด์วิธ Linux ที่ดีที่สุดในการวิเคราะห์การใช้งานเครือข่าย
ในบทความนี้ เราจะแบ่งปันเคล็ดลับ 10 ข้อเกี่ยวกับวิธีใช้ Wireshark เพื่อวิเคราะห์แพ็กเก็ตในเครือข่ายของคุณ และหวังว่าเมื่อคุณไปถึงส่วนสรุป คุณจะรู้สึกอยากเพิ่มแพ็กเก็ตลงในบุ๊กมาร์กของคุณ
การติดตั้ง Wireshark ใน Linux
หากต้องการติดตั้ง Wireshark ให้เลือกตัวติดตั้งที่เหมาะสมสำหรับระบบปฏิบัติการ/สถาปัตยกรรมของคุณจาก https://www.wireshark.org/download.html
โดยเฉพาะอย่างยิ่ง หากคุณใช้ Linux Wireshark จะต้องพร้อมใช้งานโดยตรงจากพื้นที่เก็บข้อมูลของการแจกจ่ายของคุณ เพื่อให้ติดตั้งได้ง่ายขึ้นตามความสะดวกของคุณ แม้ว่าเวอร์ชันอาจแตกต่างกัน แต่ตัวเลือกและเมนูควรจะคล้ายกัน – หากแต่ละรายการไม่เหมือนกัน
------------ On Debian/Ubuntu based Distros ------------
sudo apt-get install wireshark
------------ On CentOS/RHEL based Distros ------------
sudo yum install wireshark
------------ On Fedora 22+ Releases ------------
sudo dnf install wireshark
มีข้อบกพร่องที่ทราบแล้วใน Debian และอนุพันธ์ที่อาจขัดขวางไม่ให้แสดงรายการอินเทอร์เฟซเครือข่าย เว้นแต่คุณจะใช้ sudo เพื่อเปิดใช้ Wireshark หากต้องการแก้ไขปัญหานี้ ให้ทำตามคำตอบที่ยอมรับในโพสต์นี้
เมื่อ Wireshark ทำงานแล้ว คุณสามารถเลือกอินเทอร์เฟซเครือข่ายที่คุณต้องการตรวจสอบภายใต้ จับภาพ:
ในบทความนี้ เราจะใช้ eth0
แต่คุณสามารถเลือกอันอื่นได้หากต้องการ อย่าเพิ่งคลิกอินเทอร์เฟซ เราจะดำเนินการในภายหลังเมื่อเราตรวจสอบตัวเลือกการจับภาพบางส่วนแล้ว
การตั้งค่าตัวเลือกการจับภาพ
ตัวเลือกการจับภาพที่มีประโยชน์ที่สุดที่เราจะพิจารณาคือ:
- อินเทอร์เฟซเครือข่าย – ตามที่เราอธิบายไว้ก่อนหน้านี้ เราจะวิเคราะห์เฉพาะแพ็กเก็ตที่มาจาก eth0 ไม่ว่าจะเป็นขาเข้าหรือขาออก
- ตัวกรองการจับภาพ – ตัวเลือกนี้ช่วยให้เราระบุประเภทของการรับส่งข้อมูลที่เราต้องการตรวจสอบตามพอร์ต โปรโตคอล หรือประเภท
ก่อนที่เราจะดำเนินการตามเคล็ดลับต่อไป สิ่งสำคัญคือต้องทราบว่าบางองค์กรห้ามการใช้ Wireshark ในเครือข่ายของตน อย่างไรก็ตาม หากคุณไม่ได้ใช้ Wireshark เพื่อวัตถุประสงค์ส่วนตัว โปรดตรวจสอบให้แน่ใจว่าองค์กรของคุณอนุญาตให้ใช้งานได้
ในขณะนี้ เพียงเลือก eth0
จากรายการแบบเลื่อนลงและคลิก เริ่มต้น ที่ปุ่ม คุณจะเริ่มเห็นการรับส่งข้อมูลทั้งหมดที่ผ่านอินเทอร์เฟซนั้น ไม่มีประโยชน์จริงๆ สำหรับวัตถุประสงค์ในการตรวจสอบเนื่องจากมีการตรวจสอบแพ็กเก็ตจำนวนมาก แต่เป็นจุดเริ่มต้น
ในภาพด้านบน เรายังเห็น ไอคอน เพื่อแสดงรายการอินเทอร์เฟซที่มีอยู่ เพื่อ หยุด การจับภาพปัจจุบัน และเพื่อ รีสตาร์ท (สีแดง ช่อง ซ้าย) และกำหนดค่าและแก้ไขตัวกรอง (ช่องสีแดงทาง ขวา) เมื่อคุณวางเมาส์เหนือไอคอนใดไอคอนหนึ่งเหล่านี้ คำแนะนำเครื่องมือจะปรากฏขึ้นเพื่อระบุว่ามันทำอะไร
เราจะเริ่มต้นด้วยการแสดงตัวเลือกในการจับภาพ ในขณะที่เคล็ดลับ #7 ถึง #10 จะหารือถึงวิธีการทำสิ่งที่มีประโยชน์จริง ๆ ด้วยการถ่ายภาพ
เคล็ดลับ #1 – ตรวจสอบการรับส่งข้อมูล HTTP
พิมพ์ http
ในช่องตัวกรอง และคลิก นำไปใช้ เปิดเบราว์เซอร์ของคุณและไปที่ไซต์ใด ๆ ที่คุณต้องการ:
หากต้องการเริ่มต้นเคล็ดลับถัดไป ให้หยุดการบันทึกภาพสดและแก้ไขตัวกรองการบันทึก
เคล็ดลับ #2 – ตรวจสอบการรับส่งข้อมูล HTTP จากที่อยู่ IP ที่กำหนด
ในเคล็ดลับนี้ เราจะเติม ip==192.168.0.10&&
ไว้หน้าตัวกรองเพื่อติดตามการรับส่งข้อมูล HTTP ระหว่างเครื่องคอมพิวเตอร์เฉพาะที่และ 192.168.0.10:
เคล็ดลับ #3 – ตรวจสอบการรับส่งข้อมูล HTTP ไปยังที่อยู่ IP ที่กำหนด
เกี่ยวข้องอย่างใกล้ชิดกับ #2 ในกรณีนี้ เราจะใช้ ip.dst
เป็นส่วนหนึ่งของตัวกรองการบันทึกดังนี้:
ip.dst==192.168.0.10&&http
หากต้องการรวมเคล็ดลับ #2 และ #3 คุณสามารถใช้ ip.addr
ในกฎตัวกรองแทน ip.src
รหัส> หรือ <รหัส>ip.dst
เคล็ดลับ #4 – ตรวจสอบการรับส่งข้อมูลเครือข่าย Apache และ MySQL
บางครั้งคุณอาจสนใจที่จะตรวจสอบการเข้าชมที่ตรงกับเงื่อนไขข้อใดข้อหนึ่ง (หรือทั้งสองอย่าง) ตัวอย่างเช่น ในการตรวจสอบการรับส่งข้อมูลบนพอร์ต TCP 80 (เว็บเซิร์ฟเวอร์) และ 3306 (เซิร์ฟเวอร์ฐานข้อมูล MySQL/MariaDB) คุณสามารถใช้เงื่อนไข OR
ในตัวกรองการจับภาพ:
tcp.port==80||tcp.port==3306
ในเคล็ดลับ #2 และ #3 ||
และคำว่า หรือ ให้ผลลัพธ์ที่เหมือนกัน เช่นเดียวกับ &&
และคำว่า และ
เคล็ดลับ #5 – ปฏิเสธแพ็กเก็ตไปยังที่อยู่ IP ที่กำหนด
หากต้องการยกเว้นแพ็กเก็ตที่ไม่ตรงกับกฎตัวกรอง ให้ใช้ !
และใส่กฎไว้ในวงเล็บ ตัวอย่างเช่น หากต้องการยกเว้นแพ็คเกจที่มาจากหรือถูกส่งไปยังที่อยู่ IP ที่กำหนด คุณสามารถใช้:
!(ip.addr == 192.168.0.10)
เคล็ดลับ #6 – ตรวจสอบการรับส่งข้อมูลเครือข่ายท้องถิ่น (192.168.0.0/24)
กฎตัวกรองต่อไปนี้จะแสดงเฉพาะการรับส่งข้อมูลในพื้นที่และไม่รวมแพ็กเก็ตที่เข้าและมาจากอินเทอร์เน็ต:
ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24
เคล็ดลับ #7 – ตรวจสอบเนื้อหาของการสนทนา TCP
หากต้องการตรวจสอบเนื้อหาของการสนทนา TCP (การแลกเปลี่ยนข้อมูล) ให้คลิกขวาที่แพ็กเก็ตที่กำหนดและเลือกติดตามสตรีม TCP หน้าต่างจะปรากฏขึ้นพร้อมเนื้อหาของการสนทนา
ซึ่งจะรวมถึงส่วนหัว HTTP หากเรากำลังตรวจสอบการเข้าชมเว็บ และข้อมูลรับรองที่เป็นข้อความธรรมดาใดๆ ที่ส่งระหว่างกระบวนการ หากมี
เคล็ดลับ #8 – แก้ไขกฎการระบายสี
ตอนนี้ฉันแน่ใจว่าคุณสังเกตเห็นแล้วว่าแต่ละแถวในหน้าต่างจับภาพนั้นมีสี ตามค่าเริ่มต้น การรับส่งข้อมูล HTTP จะปรากฏบนพื้นหลัง สีเขียว พร้อมข้อความสีดำ ในขณะที่ข้อผิดพลาด เช็คซัม จะแสดงเป็นข้อความ สีแดง มีพื้นหลังสีดำ
หากคุณต้องการเปลี่ยนการตั้งค่าเหล่านี้ ให้คลิกไอคอน แก้ไข กฎการระบายสี เลือกตัวกรองที่กำหนด และคลิก แก้ไข
เคล็ดลับ #9 – บันทึกการจับภาพลงในไฟล์
การบันทึกเนื้อหาในการดักจับจะทำให้เราสามารถตรวจสอบได้อย่างละเอียดยิ่งขึ้น ในการดำเนินการนี้ ไปที่ ไฟล์ → ส่งออก และเลือกรูปแบบการส่งออกจากรายการ:
เคล็ดลับ #10 – ฝึกฝนโดยใช้การเก็บตัวอย่าง
หากคุณคิดว่าเครือข่ายของคุณ “น่าเบื่อ ” Wireshark มีชุดไฟล์จับภาพตัวอย่างที่คุณสามารถใช้เพื่อฝึกฝนและเรียนรู้ คุณสามารถดาวน์โหลด SampleCaptures เหล่านี้และนำเข้าได้ผ่านทางเมนู ไฟล์ → นำเข้า
สรุป
Wireshark เป็นซอฟต์แวร์โอเพ่นซอร์สฟรี ดังที่คุณเห็นในส่วนคำถามที่พบบ่อยของเว็บไซต์อย่างเป็นทางการ คุณสามารถกำหนดค่าตัวกรองการจับก่อนหรือหลังเริ่มการตรวจสอบได้
ในกรณีที่คุณไม่ได้สังเกตเห็น ตัวกรองมีคุณลักษณะเติมข้อความอัตโนมัติที่ช่วยให้คุณสามารถค้นหาตัวเลือกที่ใช้บ่อยที่สุดได้อย่างง่ายดายซึ่งคุณสามารถปรับแต่งได้ในภายหลัง ด้วยเหตุนี้ ท้องฟ้าจึงมีขีดจำกัด!
เช่นเคย อย่าลังเลที่จะติดต่อเราโดยใช้แบบฟอร์มความคิดเห็นด้านล่าง หากคุณมีคำถามหรือข้อสังเกตเกี่ยวกับบทความนี้