Wireshark je jedním z nejznámějších nástrojů pro analýzu sítě na světě, protože je zdarma a protože funguje dobře a není příliš obtížné jej používat. Jeho sláva však vychází ze skutečnosti, že s tímto programem je možné filtrovat, zachycovat a špehovat pakety a informace, které procházejí v počítačové síti .
Špionáž na paketech, jak je vidět v obecném průvodci (Vstup do chráněné sítě wifi pro zachycení paketů a špionáž na tom, co děláte na internetu), umožňuje číst jakýkoli typ informací, které prochází nešifrovaným způsobem při komunikaci mezi počítačem a internetem.
To znamená, že pokud jsou dva lidé ve stejné kanceláři nebo doma a připojují se ke stejné síti (nebo ke stejnému routeru), aby šli na internet, pak je možné oba počítače vidět a z jednoho je možné pomocí Wireshark zachytit informace o další, včetně navštívených webů, hesel prostého textu (na webech bez https), e-mailů, chatů atd.
Wireshark je však především velmi výkonný program pro analýzu sítě, který používají i profesionální technici, a pak se podívejme, jak jej používat vážně.
Program Wireshark pro Windows nebo Mac OS X si můžete stáhnout z oficiálních webových stránek.
Pokud používáte Linux nebo jiný systém podobný systému UNIX, měl by být Wireshark v úložišti distribučního softwaru.
Po stažení a instalaci Wireshark ji můžete spustit a musíte okamžitě vybrat správné síťové rozhraní pro analýzu .
Pokud například chcete získat přenos v bezdrátové síti, klikněte na síťovou kartu WiFi jinak, pokud je použitá síť kabelová, musíte zvolit připojení k síti LAN atd.
Jakmile vyberete rozhraní, okamžitě uvidíte, že všechny informace, které prochází sítí, jsou viditelné v seznamu nepřetržitého rolování.
Pokud povolíte řízení v síti sdílené více počítači (například wifi) a máte aktivovaný sběr dat v promiskuitním režimu, uvidíte také pakety dalších počítačů připojených ke stejné síti .
Pořízení v promiskuitním režimu je možné z PC se systémem Windows pouze instalací ovladačů WinPCap, které jsou součástí instalačního balíčku Wireshark.
V levém horním rohu můžete zastavit proces snímání v reálném čase a zastavit získávání provozu.
Wireshark zobrazuje různě zabarvená zachycená data, která pomáhají snáze identifikovat typy provozu.
Ve výchozím nastavení je provoz TCP zelený, provoz DNS tmavě modrý, namísto toho je provoz UDP světle modrý; černé jsou pakety TCP s problémy.
Chcete-li začít a zjistit, zda to funguje, musíte se ujistit, že při procházení Internetu otevřením několika webových stránek jsou data a informace zachyceny Wiresharkem.
Hovory HTTP jsou volání související s internetovým provozem, která mohou být nejzajímavější, pokud chcete najít informace o prohlížení, jako jsou navštívené stránky.
Můžete si také stáhnout ukázkový soubor pro analýzu ve Wireshark pro
Důležité není ztratit v moři generovaných dat je použití pravidel filtrování paketů.
Nejjednodušší způsob, jak použít filtr, je napsat vyhledávací klíč do pole filtru v horní části okna a kliknout na Použít.
Například zadáním „ http “ uvidíte pouze připojení vytvořená prostřednictvím prohlížeče na internetu.
Každý balíček lze zkontrolovat a kliknutím na něj pravým tlačítkem zobrazíte další podrobnosti a TCP Stream nebo historii provedených kroků (například pokud prohledáváte na Googlu více věcí, můžete si prohlédnout celý tok).
Konkrétnější filtry lze použít z nabídky Analyzovat .
Při získávání paketů může být nepohodlné a obtížné porozumět toku chrápaných dat a informací v síti, protože jsou zobrazeny pouze adresy IP.
Je však možné převést IP adresy na doménová jména (pro provoz HTTP to znamená vidět názvy webů) aktivací funkce z nabídky Úpravy -> Předvolby -> Rozlišení názvů a aktivací " Povolit rozlišení názvů sítí ".
Pokud tuto možnost povolíte, uvidíte namísto IP adres názvy domén, ale protože Wireshark bude muset hledat každý název domény, požadavky DNS se zvyšují zvýšením toku dat.
Pokud chcete v počítači nastavit automatické snímání paketů, můžete vytvořit zástupce na ploše a rychle spustit Wireshark.
Po vytvoření odkazu klikněte pravým tlačítkem, zadejte vlastnosti a tam, kde je napsáno „ Cíl “, přidejte do řádku mezeru za poslední uvozovky a poté -i # -k .
namísto # musíte zadat číslo síťové karty, která má být zkontrolována, podle pořadí, které Wireshark dává během fáze výběru.
Zachycení provozu z jiných počítačů připojených ke stejné síti je možná jeho nejzábavnější účel, který z nás dělá trochu hackera naší vlastní malou cestou (není to však tak snadné).
Pokud chcete zaznamenat síťový provoz a špionážní informace o informacích procházejících přes router, server nebo jiný počítač, musíte použít vzdálený záznam Wireshark, který ve Windows používá ovladač WinPcap.
Po instalaci musíte otevřít okno služeb systému Windows (klikněte na Start a napište příkaz Services.msc do pole Hledat nebo Spustit).
V seznamu služeb vyhledejte a aktivujte tzv. Protokol Remote Packet Capture Protocol .
Tato služba je ve výchozím nastavení zakázána.
V počátečním okně Wireshark klikněte na Možnosti Capture a z pole Interface vyberte Remote .
Poté zadejte adresu vzdáleného systému (např. 192.168.2.3 ) a jako port 2002 .
Abyste mohli pracovat, musíte mít přístup ke portu 2002 na vzdáleném systému, takže budete muset tento port otevřít na firewallu nebo routeru počítače.
Po připojení můžete vybrat rozhraní ve vzdáleném systému z pole, kde jsou uvedeny síťové karty, a kliknutím na Start zahajte nahrávání připojení vytvořených z tohoto počítače.
V tomto videu můžete vidět úvodní tutoriál, který byl proveden velmi dobře a naučil se používat Wireshark.
Wireshark je extrémně výkonný nástroj, i když jej mohou pochopit pouze ti nejzkušenější a použít jej k provádění jakéhokoli typu provozu v síti.
Tento tutoriál je pouze úvodem ke všemu, co můžete udělat (zde je úplná příručka v angličtině); stačí vědět, že jej odborníci používají k ladění instalace síťových protokolů, k analýze bezpečnostních problémů a řízení provozu ve společnostech.
A konečně poslední doporučení: mnoho organizací nepovoluje Wireshark nebo podobným nástrojům, aby jednaly ve svých sítích (problém s ochranou osobních údajů), takže byste neměli riskovat jejich používání v kanceláři, pokud nemáte povolení.
Pokud chcete vyzkoušet jednodušší programy, doporučuji stáhnout nástroje Nirsoft, které umožní vyčítat počítačovou síť a zobrazit navštívené weby, internetová vyhledávání a hesla .
