สำหรับผู้เชี่ยวชาญด้านไอทีหลายคน Wireshark เป็นเครื่องมือสำหรับการวิเคราะห์แพ็กเก็ตเครือข่าย ซอฟต์แวร์โอเพนซอร์ซช่วยให้คุณตรวจสอบข้อมูลที่รวบรวมได้อย่างใกล้ชิดและระบุต้นตอของปัญหาด้วยความแม่นยำที่เพิ่มขึ้น นอกจากนี้ Wireshark ยังทำงานแบบเรียลไทม์และใช้รหัสสีเพื่อแสดงแพ็กเก็ตที่ดักจับ ท่ามกลางกลไกอันชาญฉลาดอื่นๆ
ในบทช่วยสอนนี้ เราจะอธิบายวิธีบันทึก อ่าน และกรองแพ็กเก็ตโดยใช้ Wireshark ด้านล่างนี้ คุณจะพบคำแนะนำทีละขั้นตอนและรายละเอียดของฟังก์ชันการวิเคราะห์เครือข่ายพื้นฐาน เมื่อคุณเชี่ยวชาญขั้นตอนพื้นฐานเหล่านี้แล้ว คุณจะสามารถตรวจสอบกระแสการรับส่งข้อมูลของเครือข่ายและแก้ไขปัญหาได้อย่างมีประสิทธิภาพมากขึ้น
กำลังวิเคราะห์แพ็คเก็ต
เมื่อจับแพ็กเก็ตแล้ว Wireshark จะจัดระเบียบพวกมันในบานหน้าต่างรายการแพ็กเก็ตที่มีรายละเอียดซึ่งอ่านง่ายอย่างไม่น่าเชื่อ หากคุณต้องการเข้าถึงข้อมูลเกี่ยวกับแพ็กเก็ตเดียว สิ่งที่คุณต้องทำคือค้นหาข้อมูลในรายการแล้วคลิก คุณยังสามารถขยายแผนผังเพิ่มเติมเพื่อเข้าถึงรายละเอียดของแต่ละโปรโตคอลที่อยู่ภายในแพ็กเก็ตได้
สำหรับภาพรวมที่ครอบคลุมยิ่งขึ้น คุณสามารถแสดงแต่ละแพ็กเก็ตที่ดักจับในหน้าต่างแยกต่างหาก นี่คือวิธี:
วิธีลบฟิวชั่นออกจาก kodi
- เลือกแพ็กเก็ตจากรายการด้วยเคอร์เซอร์ของคุณ จากนั้นคลิกขวา
- เปิดแท็บมุมมองจากแถบเครื่องมือด้านบน
- เลือกแสดงแพ็คเก็ตในหน้าต่างใหม่จากเมนูแบบเลื่อนลง
หมายเหตุ: การเปรียบเทียบแพ็กเก็ตที่ดักไว้จะง่ายกว่ามาก หากคุณเปิดแพ็กเก็ตแยกกัน
ดังที่ได้กล่าวมาแล้ว Wireshark ใช้ระบบรหัสสีสำหรับการแสดงข้อมูลเป็นภาพ แต่ละแพ็กเก็ตจะถูกทำเครื่องหมายด้วยสีที่แตกต่างกันซึ่งแสดงถึงประเภทการรับส่งข้อมูลที่แตกต่างกัน ตัวอย่างเช่น ทราฟฟิก TCP มักจะเน้นด้วยสีน้ำเงิน ในขณะที่สีดำใช้เพื่อระบุแพ็กเก็ตที่มีข้อผิดพลาด
แน่นอน คุณไม่จำเป็นต้องจำความหมายเบื้องหลังแต่ละสี คุณสามารถตรวจสอบได้ทันที:
- คลิกขวาที่แพ็กเก็ตที่คุณต้องการตรวจสอบ
- เลือกแท็บ มุมมอง จากแถบเครื่องมือที่ด้านบนของหน้าจอ
- เลือกกฎการระบายสีจากแผงดรอปดาวน์
คุณจะเห็นตัวเลือกในการปรับแต่งการปรับสีตามที่คุณต้องการ อย่างไรก็ตาม หากคุณต้องการเปลี่ยนกฎการระบายสีชั่วคราวเท่านั้น ให้ทำตามขั้นตอนเหล่านี้:
- คลิกขวาที่แพ็กเก็ตในบานหน้าต่างรายการแพ็กเก็ต
- จากรายการตัวเลือก ให้เลือก Colorize With Filter
- เลือกสีที่คุณต้องการติดป้ายกำกับ
ตัวเลข
บานหน้าต่างรายการแพ็คเก็ตจะแสดงจำนวนบิตข้อมูลที่จับได้อย่างแม่นยำ เนื่องจากแพ็กเก็ตถูกจัดเรียงเป็นหลายคอลัมน์ จึงง่ายต่อการตีความ หมวดหมู่เริ่มต้นคือ:
- เลขที่ (หมายเลข): ดังที่กล่าวไว้ คุณสามารถค้นหาจำนวนแพ็กเก็ตที่ดักจับได้อย่างแม่นยำในคอลัมน์นี้ ตัวเลขจะยังคงเหมือนเดิมแม้หลังจากกรองข้อมูลแล้ว
- เวลา: อย่างที่คุณอาจเดาได้ เวลาประทับของแพ็กเก็ตจะแสดงที่นี่
- ที่มา: แสดงที่มาของแพ็กเก็ต
- ปลายทาง: แสดงตำแหน่งที่จะเก็บแพ็คเก็ต
- โปรโตคอล: จะแสดงชื่อของโปรโตคอล ซึ่งโดยทั่วไปจะเป็นตัวย่อ
- ความยาว: แสดงจำนวนไบต์ที่มีอยู่ในแพ็กเก็ตที่ดักจับ
- ข้อมูล: คอลัมน์นี้มีข้อมูลเพิ่มเติมเกี่ยวกับแพ็กเก็ตเฉพาะ
เวลา
เมื่อ Wireshark วิเคราะห์ทราฟฟิกเครือข่าย แพ็คเกจที่บันทึกแต่ละรายการจะถูกประทับเวลา การประทับเวลาจะรวมอยู่ในบานหน้าต่างรายการแพ็กเก็ตและพร้อมสำหรับการตรวจสอบในภายหลัง
Wireshark ไม่ได้สร้างการประทับเวลาเอง เครื่องมือวิเคราะห์จะดึงมาจากไลบรารี Npcap แทน อย่างไรก็ตาม แหล่งที่มาของการประทับเวลาจริงๆ แล้วคือเคอร์เนล นั่นเป็นสาเหตุที่ความถูกต้องของการประทับเวลาอาจแตกต่างกันไปในแต่ละไฟล์
คุณสามารถเลือกรูปแบบที่จะแสดงการประทับเวลาในรายการแพ็กเก็ตได้ นอกจากนี้ คุณสามารถตั้งค่าความแม่นยำที่ต้องการหรือจำนวนตำแหน่งทศนิยมที่จะแสดง นอกเหนือจากการตั้งค่าความแม่นยำเริ่มต้นแล้ว ยังมี:
- วินาที
- เสี้ยววินาที
- เสี้ยววินาที
- มิลลิวินาที
- ไมโครวินาที
- นาโนวินาที
แหล่งที่มา
ตามชื่อที่แนะนำ แหล่งที่มาของแพ็กเก็ตคือแหล่งกำเนิด หากคุณต้องการรับซอร์สโค้ดของที่เก็บ Wireshark คุณสามารถดาวน์โหลดได้โดยใช้ไคลเอนต์ Git อย่างไรก็ตาม วิธีการนี้กำหนดให้คุณต้องมีบัญชี GitLab สามารถทำได้โดยไม่ต้องมีใคร แต่ควรลงทะเบียนเผื่อไว้จะดีกว่า
เมื่อคุณลงทะเบียนบัญชีแล้ว ให้ทำตามขั้นตอนเหล่านี้:
- ตรวจสอบให้แน่ใจว่า Git ทำงานโดยใช้คำสั่งนี้: |_+_|
- ตรวจสอบอีกครั้งว่าที่อยู่อีเมลและชื่อผู้ใช้ของคุณได้รับการกำหนดค่าไว้หรือไม่
- ถัดไป สร้างโคลนของแหล่ง Workshark ใช้ |_+_| SSH URL เพื่อทำสำเนา
- หากคุณไม่มีบัญชี GitLab ให้ลองใช้ HTTPS URL: |_+_|
แหล่งที่มาทั้งหมดจะถูกคัดลอกไปยังอุปกรณ์ของคุณในภายหลัง โปรดทราบว่าการโคลนนิ่งอาจใช้เวลาสักครู่ โดยเฉพาะอย่างยิ่งหากคุณมีการเชื่อมต่อเครือข่ายที่ช้า
ปลายทาง
หากคุณต้องการทราบที่อยู่ IP ของปลายทางของแพ็กเก็ตใดโดยเฉพาะ คุณสามารถใช้ตัวกรองการแสดงผลเพื่อค้นหาได้ นี่คือวิธี:
- ป้อน |_+_| ลงในกล่องกรอง Wireshark จากนั้นคลิก Enter
- บานหน้าต่างรายการแพ็กเก็ตจะถูกกำหนดค่าใหม่เพื่อแสดงปลายทางแพ็กเก็ตเท่านั้น ค้นหาที่อยู่ IP ที่คุณสนใจโดยเลื่อนดูรายการ
- เมื่อเสร็จแล้ว เลือก ล้าง จากแถบเครื่องมือเพื่อกำหนดค่าบานหน้าต่างรายการแพ็กเก็ตใหม่
มาตรการ
โปรโตคอลเป็นแนวทางที่กำหนดการรับส่งข้อมูลระหว่างอุปกรณ์ต่างๆ ที่เชื่อมต่อกับเครือข่ายเดียวกัน แต่ละแพ็คเก็ต Wireshark มีโปรโตคอล และคุณสามารถเรียกใช้ได้โดยใช้ตัวกรองการแสดงผล นี่คือวิธี:
- ที่ด้านบนของหน้าต่าง Wireshark ให้คลิกที่กล่องโต้ตอบตัวกรอง
- ป้อนชื่อของโปรโตคอลที่คุณต้องการตรวจสอบ โดยทั่วไป ชื่อโปรโตคอลจะเขียนด้วยอักษรตัวพิมพ์เล็ก
- คลิก Enter หรือ Apply เพื่อเปิดใช้งานตัวกรองการแสดงผล
ความยาว
ความยาวของแพ็กเก็ต Wireshark นั้นพิจารณาจากจำนวนไบต์ที่ถูกดักจับในข้อมูลโค้ดเครือข่ายนั้น จำนวนนั้นมักจะสอดคล้องกับจำนวนไบต์ข้อมูลดิบที่แสดงอยู่ที่ด้านล่างของหน้าต่าง Wireshark
หากคุณต้องการตรวจสอบการกระจายของความยาว ให้เปิดหน้าต่าง Packet Lengths ข้อมูลทั้งหมดแบ่งออกเป็นคอลัมน์ต่อไปนี้:
- ความยาวของแพ็คเก็ต
- นับ
- เฉลี่ย
- Min Val / Max Val
- ประเมินค่า
- เปอร์เซ็นต์
- อัตราการถ่ายต่อเนื่อง
- ระเบิดเริ่มต้น
ข้อมูล
หากมีความผิดปกติหรือสิ่งที่คล้ายกันภายในแพ็กเก็ตที่บันทึกไว้ Wireshark จะจดบันทึกไว้ ข้อมูลจะแสดงในช่องรายการแพ็กเก็ตสำหรับการตรวจสอบเพิ่มเติม ด้วยวิธีนี้ คุณจะมีภาพที่ชัดเจนของพฤติกรรมเครือข่ายที่ผิดปกติ ซึ่งจะส่งผลให้มีปฏิกิริยาเร็วขึ้น
คำถามที่พบบ่อยเพิ่มเติม
ฉันจะกรองข้อมูลแพ็กเก็ตได้อย่างไร
การกรองเป็นคุณลักษณะที่มีประสิทธิภาพที่ช่วยให้คุณสามารถดูข้อมูลเฉพาะของลำดับข้อมูลเฉพาะได้ ตัวกรอง Wireshark มีสองประเภท: การจับภาพและการแสดงผล ตัวกรองการจับภาพมีไว้เพื่อจำกัดการดักจับแพ็กเก็ตให้เหมาะสมกับความต้องการเฉพาะ กล่าวคือ คุณสามารถกลั่นกรองการเข้าชมประเภทต่างๆ ได้โดยใช้ตัวกรองการดักจับ ตามชื่อที่แนะนำ ตัวกรองการแสดงผลช่วยให้คุณสามารถปรับแต่งองค์ประกอบเฉพาะของแพ็กเก็ตได้ ตั้งแต่ความยาวของแพ็กเก็ตไปจนถึงโปรโตคอล
การใช้ตัวกรองเป็นกระบวนการที่ค่อนข้างตรงไปตรงมา คุณสามารถพิมพ์ชื่อตัวกรองในกล่องโต้ตอบที่ด้านบนของหน้าต่าง Wireshark นอกจากนี้ ซอฟต์แวร์มักจะเติมชื่อของตัวกรองโดยอัตโนมัติ
อีกวิธีหนึ่ง ถ้าคุณต้องการใช้ตัวกรองเริ่มต้นของ Wireshark ให้ทำดังนี้:
1. เปิดแท็บวิเคราะห์ในแถบเครื่องมือที่ด้านบนของหน้าต่าง Wireshark
วิธีรับ snapchats เก่า ๆ กลับมา
2. จากรายการดรอปดาวน์ ให้เลือก Display Filter
3. เรียกดูรายการและคลิกที่รายการที่คุณต้องการใช้
สุดท้าย ต่อไปนี้คือตัวกรอง Wireshark ทั่วไปที่อาจมีประโยชน์:
• หากต้องการดูเฉพาะที่อยู่ IP ต้นทางและปลายทาง ให้ใช้: |_+_|
• หากต้องการดูเฉพาะการรับส่งข้อมูล SMTP ให้พิมพ์ |_+_|
• ในการจับทราฟฟิกซับเน็ตทั้งหมด ใช้: |_+_|
• ในการจับภาพทุกอย่างยกเว้นการรับส่งข้อมูล ARP และ DNS ให้ใช้: |_+_|
ฉันจะดักจับข้อมูลแพ็คเก็ตใน Wireshark ได้อย่างไร
เมื่อคุณดาวน์โหลด Wireshark ลงในอุปกรณ์ของคุณแล้ว คุณสามารถเริ่มตรวจสอบการเชื่อมต่อเครือข่ายของคุณได้ ในการดักจับแพ็กเก็ตข้อมูลสำหรับการวิเคราะห์ที่ครอบคลุม สิ่งที่คุณต้องทำมีดังนี้:
1. เปิด Wireshark คุณจะเห็นรายชื่อเครือข่ายที่พร้อมใช้งาน ดังนั้นให้คลิกที่เครือข่ายที่คุณต้องการตรวจสอบ คุณยังสามารถใช้ตัวกรองการจับภาพได้หากต้องการระบุประเภทของการรับส่งข้อมูล
2. หากคุณต้องการตรวจสอบหลายเครือข่าย ให้ใช้ shift + คลิกซ้ายควบคุม
3. จากนั้น คลิกที่ไอคอนหูฉลามซ้ายสุดบนแถบเครื่องมือด้านบน
4. คุณสามารถเริ่มการจับภาพได้โดยคลิกที่แท็บการจับภาพและเลือกเริ่มจากรายการดรอปดาวน์
5. อีกวิธีหนึ่งที่ทำได้คือการใช้การกดแป้น Control – E
เมื่อซอฟต์แวร์ดึงข้อมูล คุณจะเห็นข้อมูลนั้นปรากฏบนบานหน้าต่างรายการแพ็กเก็ตแบบเรียลไทม์
Shark Byte
แม้ว่า Wireshark เป็นเครื่องมือวิเคราะห์เครือข่ายขั้นสูง แต่ก็ตีความได้ง่ายอย่างน่าประหลาดใจ บานหน้าต่างรายการแพ็กเก็ตมีความครอบคลุมและมีการจัดระเบียบเป็นอย่างดี ข้อมูลทั้งหมดถูกแจกจ่ายเป็นเจ็ดสีที่แตกต่างกันและทำเครื่องหมายด้วยรหัสสีที่ชัดเจน
นอกจากนี้ ซอฟต์แวร์โอเพ่นซอร์สยังมาพร้อมกับตัวกรองที่ใช้งานได้ง่ายจำนวนหนึ่งซึ่งอำนวยความสะดวกในการตรวจสอบ เมื่อเปิดใช้งานตัวกรองการจับภาพ คุณสามารถระบุประเภทของการรับส่งข้อมูลที่คุณต้องการให้ Wireshark วิเคราะห์ และเมื่อดึงข้อมูลแล้ว คุณสามารถใช้ตัวกรองการแสดงผลหลายตัวสำหรับการค้นหาที่ระบุได้ ทั้งหมดนี้เป็นกลไกที่มีประสิทธิภาพสูงซึ่งไม่ยากเกินไปที่จะเชี่ยวชาญ
คุณใช้ Wireshark สำหรับการวิเคราะห์เครือข่ายหรือไม่ คุณคิดอย่างไรกับฟังก์ชันการกรอง? แจ้งให้เราทราบในความคิดเห็นด้านล่างหากมีคุณลักษณะการวิเคราะห์แพ็กเก็ตที่มีประโยชน์ที่เราข้ามไป