Podstawy pracy z analizatorem sieci

Do przykładowego pokazu wybraliśmy oprogramowanie Wireshark. Pierwszą rzeczą, którą powinniśmy zrobić jest pobranie wersji instalacyjnej oprogramowania. Na stronie http://www.wireshark.org dostępne są wersje przeznaczone dla większości platform systemowych. Najnowsza wersji programu będzie stanowiła z pewnością dobry wybór. Po zakończeniu pobierania pliku, uruchamiamy program instalacyjny. Niezbędne okaże się posiadanie biblioteki WinPcap, którą instalator Wireshark samodzielnie zainstaluje w systemie.

Gdy mamy już zainstalowany Wireshark, najwyższa pora przystąpić do uruchomienia narzędzia. Omawiany analizator nie jest skomplikowany w obsłudze. Zaczniemy od bardzo prostych elementów.

Główny ekran oprogramowania Wireshark

Analizator pakietów pozwala na przechwytywanie i analizę danych, które są przesyłane przez sieć. W łatwy sposób możemy "obejrzeć" cały ruch w naszej sieci. Możemy sprawdzić jakie porty wykorzystuje dane oprogramowanie oraz wysyłany/odbierany ruch przez nasz komputer. Zbierając wszystkie możliwe dane, możemy spotkać się z problemem przepełnienia bufora zapamiętującego pakiety. Wireshark pozwala uszczegółowić zbierane dane przez wykorzystanie użytecznych filtrów. Filtry pozwalają na sortowanie ruchu, który został przechwycony. Zdecydowanie ułatwia to analizę. Pracę rozpoczniemy od zebrania danych do analizy. Na początek rozwijamy zakładkę menu o nazwie Capture, a następnie wybieramy funkcję Options.

Wybór interfejsu i opcji przechwytywania w Wireshark

To jest okno, które pozwala zdefiniować sposób przechwytywania danych przez analizator. Podstawowym wyborem jest wskazanie z rozwijanego menu interfejsu sieciowego, na którym analizator ma operować. Istnieje możliwość wyboru spośród interfejsów sieciowych dostępnych w komputerze. Klikając na przycisk Capture Filter musimy wskazać, co chcemy przechwytywać. W przypadku wersji pracującej pod kontrolą systemu Windows oraz niektórych kart, może pojawić się problem z przechwytywaniem pakietów z sieci bezprzewodowej. Szczegółowy opis problemu możemy znaleźć na tej stronie.

Wybór filtrów przechwytywania

W polu Filter Name podajemy nazwę naszego filtra. Jeżeli chcemy przechwytywać pakiety, które trafiają wyłącznie do naszego adresu IP, w polu Filter string wpisujemy następujący łańcuch: host 192.168.0.32. W wyniku przeprowadzonych operacji otrzymamy zapis całego ruchu, który przychodził lub wychodził z naszego komputera. Po wprowadzeniu omawianych zmian klikamy przycisk OK. Powracamy do poprzedniego okna, które umożliwia nam rozpoczęcie przechwytywania pakietów przez kliknięcie przycisku Start. Praca z filtrami jest podstawową czynnością, konieczną do sprawnego posługiwania się analizatorem. Filtracje można także przeprowadzać na przechwyconych danych. Szczegółowy opis składni i budowy reguł filtrujących, można znaleźć na stronie.

Prezentacja danych zebranych w trakcie przechwytywania

Na ekranie monitora zobaczymy pakiety wysyłane od i do naszego komputera. Jeżeli nie widzimy żadnych pakietów, dobrym pomysłem będzie wygenerowanie ruchu przez otworzenie strony internetowej lub wysłanie komunikatu ICMP. Jeżeli nadal będą występowały problemy ze przechwytywaniem danych, prawdopodobnie źle został określony interfejs sieciowy. Gdy już zbierzemy odpowiednią ilość pakietów, wystarczy kliknąć menu Capture, a następnie opcję Stop.

Polecamy: Analizatory sieci - monitoring i bezpieczeństwo

Wireshark zbiera dane, których przykładową reprezentację można zaobserwować na rysunku 4. Ekran programu składa się z trzech ramek. Pierwsza ramka pokazuje adres IP źródłowy i docelowy, protokół oraz krótką informację o zebranych pakietach. Ramka druga prezentuje szczegółowe informacje o danym pakiecie. Ramka trzecie przedstawia zawartość pakietu w formacie HEX.
Wiele informacji na temat konfiguracji programu, możemy znaleźć w dołączonych plikach pomocy. Wireshark to potężne narzędzie - współpracuje z sieciami przewodowymi i bezprzewodowymi. Dane mogą być zbierane z interfejsów Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI i inne. Warto podkreślić bogate możliwości analizy VoIP oraz wsparcie deszyfrowania m.in. IPSec, ISAKMP, Kerberos, SNMPv3, SSL/TLS. WEP oraz WPA/WPA2. Warto podkreślić bardzo dobrą realizację mechanizmów analizy i statystyk.