Курс по сетевым технологиям
A A A

 

Wireshark представляет собой удобный инструмент для анализа сетевых пакетов и траблшутинга (поиска неисправностей в сети). Среди множества доступных инструментов в самой программе очень легко запутаться. Кроме того, при частом анализе той или иной проблемы в сети приходится заново настраивать фильтры, окружение и прочие переменные.

Чтобы облегчить жизнь сетевым инженерам и администраторам разработчики реализовали возможность кастомизации программы под анализ различного рода трафика. Пользователи могут создать свой собственный профиль, настроить различные фильтры, параметры и сохранить в созданном профиле. Профили могут быть разные, например, для анализа TCP пакетов, Wi-Fi или HTTP трафика, процесса обмена ключами в VPN и так далее.

При необходимости можно переключиться на нужный профиль и использовать заранее подготовленные настройки. 

Итак, рассмотрим что можно настроить в программе.

 

Профиль

Для начала создадим требуемый профиль. После установки программы пользователям доступны несколько профилей


Чтобы создать новый профиль перейдем Edit → Configuration profiles … и перед нами откроется такое окно

Менеджер профилей

Добавим профиль и введем название. Возможно программа запросит перезагрузиться. После перезапуска в качестве текущего будет установлен только что созданный профиль. 

Теперь настроим другие параметры, которые будут автоматически сохранены в текущем профиле.



Слои

Для отображения пакетов используются 3 слоя: Список пакетов, Детальное отображение пакетов, Байты

Отображение слоев

По умолчанию они располагаются горизонтально один за другим. Однако данное расположение можно изменить для удобства восприятия пакетов. Откройте Edit → Configuration Profiles… → Layout

Настройка требуемого расположения слоев

Выбирайте схему, которая вам больше по душе.



Фильтры

В статье “Фильтры захвата и отображения в Wireshark” мы рассматривали как настроить и сохранить фильтры захвата и отображения. Кроме того, мы также научились добавлять кнопки, с помощью которых можно вызвать тот или иной фильтр отображения. Настройте необходимые фильтры и данные настройки будут сохранены и доступны только в текущем профиле.



Колонки

По умолчанию в программе уже настроены некоторые колонки. Однако мы можем их отредактировать и добавить новые. Существуют 2 способа добавить колонки. 

1-й способ

Наведите курсор мыши на название колонок и откройте  контекстное меню. Выберете Column preferences …

Открытие менеджера настроек колонок

В открывшемся окне удалите или добавьте требуемую колонку. В поле Title введите название, в поле Type выберете тип параметра

Добавление новой колонки

Новый объект сразу отобразится в основном окне Wireshark

Отображение добавленной колонки

Чтобы отредактировать уже существующий элемент снова откройте контекстное меню и выберите Edit Column

Редактирование настроек колонок

Для сортировки пакетов по определенному параметру достаточно кликнуть на название соответствующей колонки.

2-й способ

Допустим вы анализируете TCP пакет и хотите отобразить определенный параметр в отдельной колонке, например, номер потока TCP. Для этого выберете любой TCP пакет, раскройте его и выделите требуемый параметр. Откройте контекстное меню и выберете опцию Apply as Column

Добавление номера TCP потока в качестве колонки

Теперь при желании мы можем отсортировать пакеты по номеру потока и времени поступления и визуально представить  TCP пакеты от различных приложений (это не единственный способ визуального наблюдения за потоками TCP, в одном из уроков мы рассмотрим другие методы).



Время

Wireshark отображает время захвата каждого пакета в соответствии с установками на вашей системе. Формат отображения времени можно поменять через View → Time Display Format

Выбор формата времени

Думаю многие опции понятны и говорят сами за себя. Рассмотрим подробнее  Seconds Since Previous Captured Packet и Seconds Since Previous Displayed Packet. 

Seconds Since Previous Captured Packet означает относительное время с момента захвата предыдущего пакета. Самый первый пакет отображается со значением 0.00000. Значение для второго пакета вычисляется по формуле: абсолютное время принятия второго пакета минус абсолютное время принятия первого пакета

Отображение относительного времени захвата пакетов

Seconds Since Previous Displayed Packet тоже относительное время, однако в этот раз в качестве точки отсчета берется предыдущий отображенный пакет (не захваченный). Данная опция полезна, если используются фильтры и требуется отобразить относительное время между 2-мя пакетами одного протокола. Например, вы анализируете DNS запросы и хотите определить задержку между запросом и ответом.

Кстати, для анализа относительного времени между захваченными и отображаемыми пакетами можно добавить дополнительную колонку с параметрами Delta time и Delta time displayed соответственно.



Цвета

Программа Wireshark используют различные цвета для отображения определенных пакетов. Например, пакеты с неправильной контрольной суммой отображаются черным цветом, TCP и UDP пакеты - голубым цветом.

Мы можем добавить новые правила подсветки пакетов. Например, отобразим DNS запросы желтым цветом, а DNS ответы - красным. Для этого откроем менеджер настройки цветов через View → Coloring Rules… и добавим новое правило. В левой части вписываем название, а в правой - фильтр отображения

Настройка цветов

Вот как будут выглядеть пакеты после применения правила

Результат работы нового правила

Подобным образом мы можем “окрасить” и любые другие пакеты, например, OSPF или EIGRP.

 

Комментарии для сайта Cackle