Cara Menggunakan Wireshark untuk Menangkap, Menapis dan Memeriksa Paket

Wireshark, alat analisis rangkaian yang sebelumnya dikenali sebagai Ethereal, menangkap paket dalam masa nyata dan memaparkannya dalam format yang dapat dibaca oleh manusia. Wireshark merangkumi penapis, pengekodan warna, dan ciri lain yang membolehkan anda menggali trafik rangkaian dan memeriksa setiap paket.

Tutorial ini akan memberi anda kelajuan dengan asas menangkap paket, menyaringnya, dan memeriksanya. Anda dapat menggunakan Wireshark untuk memeriksa lalu lintas rangkaian program yang mencurigakan, menganalisis aliran lalu lintas di rangkaian anda, atau menyelesaikan masalah rangkaian.

Mendapatkan Wireshark

Anda boleh memuat turun Wireshark untuk Windows atau macOS dari laman web rasminya. Sekiranya anda menggunakan Linux atau sistem yang serupa dengan UNIX, anda mungkin akan menemui Wireshark di repositori pakejnya. Contohnya, jika anda menggunakan Ubuntu, anda akan menemui Wireshark di Pusat Perisian Ubuntu.

Hanya amaran cepat: Banyak organisasi tidak membenarkan Wireshark dan alat serupa di rangkaian mereka. Jangan gunakan alat ini di tempat kerja melainkan anda mempunyai kebenaran.

Menangkap Paket

Setelah memuat turun dan memasang Wireshark, anda boleh melancarkannya dan mengklik dua kali nama antara muka rangkaian di bawah Tangkap untuk mula menangkap paket pada antara muka tersebut. Contohnya, jika anda ingin menangkap lalu lintas di rangkaian wayarles anda, klik antara muka tanpa wayar anda. Anda boleh mengkonfigurasi ciri lanjutan dengan mengklik Tangkap> Pilihan, tetapi ini tidak diperlukan buat masa ini.

Sebaik sahaja anda mengklik nama antara muka, anda akan melihat paket mula muncul dalam masa nyata. Wireshark menangkap setiap paket yang dihantar ke atau dari sistem anda.

Sekiranya anda telah mendayagunakan mod rancak — diaktifkan secara lalai — anda juga akan melihat semua paket lain di rangkaian dan bukannya hanya paket yang ditujukan ke penyesuai rangkaian anda. Untuk memeriksa apakah mod promiscuous diaktifkan, klik Capture> Options dan sahkan kotak centang "Enable promiscuous mode on all interfaces" diaktifkan di bahagian bawah tetingkap ini.

Klik butang "Berhenti" berwarna merah berhampiran sudut kiri atas tetingkap apabila anda mahu berhenti menangkap lalu lintas.

Pengekodan Warna

Anda mungkin akan melihat paket yang diserlahkan dalam pelbagai warna yang berbeza. Wireshark menggunakan warna untuk membantu anda mengenal pasti jenis lalu lintas sekilas. Secara lalai, ungu muda adalah lalu lintas TCP, biru muda adalah lalu lintas UDP, dan hitam mengenal pasti paket dengan ralat — misalnya, paket itu mungkin dihantar tidak teratur.

Untuk melihat dengan tepat apa maksud kod warna, klik Lihat> Peraturan Mewarnai. Anda juga boleh menyesuaikan dan mengubah peraturan pewarnaan dari sini, jika anda mahu.

Tangkapan Contoh

Sekiranya tidak ada yang menarik di rangkaian anda sendiri untuk diperiksa, wiki Wireshark telah anda lindungi. Wiki mengandungi halaman contoh fail tangkapan yang boleh anda muatkan dan periksa. Klik Fail> Buka di Wireshark dan cari fail yang anda muat turun untuk membukanya.

Anda juga boleh menyimpan tangkapan anda sendiri di Wireshark dan membukanya kemudian. Klik Fail> Simpan untuk menyimpan paket yang anda tangkap.

Menapis Pakej

Sekiranya anda cuba memeriksa sesuatu yang spesifik, seperti lalu lintas yang dihantar oleh program semasa menelefon rumah, ia membantu menutup semua aplikasi lain menggunakan rangkaian sehingga anda dapat menyekat lalu lintas. Namun, anda mungkin mempunyai sejumlah besar paket untuk disaring. Di sinilah penapis Wireshark masuk.

Cara paling asas untuk menerapkan penapis adalah dengan memasukkannya ke dalam kotak penapis di bahagian atas tetingkap dan mengklik Terapkan (atau menekan Enter). Contohnya, taip "dns" dan anda hanya akan melihat paket DNS. Apabila anda mula menaip, Wireshark akan membantu anda melengkapkan penapis anda secara automatik.

Anda juga boleh mengklik Analisis> Paparan Penapis untuk memilih penapis dari antara penapis lalai yang disertakan dalam Wireshark. Dari sini, anda boleh menambahkan penapis tersuai anda sendiri dan menyimpannya untuk mengaksesnya dengan mudah pada masa akan datang.

Untuk maklumat lebih lanjut mengenai bahasa penyaringan paparan Wireshark, baca halaman ekspresi penapis paparan Bangunan dalam dokumentasi Wireshark rasmi.

Satu lagi perkara menarik yang boleh anda lakukan ialah klik kanan paket dan pilih Follow> TCP Stream.

Anda akan melihat perbualan TCP penuh antara pelanggan dan pelayan. Anda juga boleh mengklik protokol lain di menu Ikuti untuk melihat perbualan penuh untuk protokol lain, jika berkenaan.

Tutup tetingkap dan anda akan mendapati penapis telah digunakan secara automatik. Wireshark menunjukkan kepada anda paket yang membentuk perbualan.

Memeriksa Paket

Klik sebungkus untuk memilihnya dan anda boleh menggali ke bawah untuk melihat perinciannya.

Anda juga boleh membuat penapis dari sini - klik kanan salah satu butiran dan gunakan submenu Terapkan sebagai Penapis untuk membuat penapis berdasarkannya.

Wireshark adalah alat yang sangat kuat, dan tutorial ini hanya menggaru permukaan apa yang boleh anda lakukan dengannya. Profesional menggunakannya untuk men-debug pelaksanaan protokol rangkaian, memeriksa masalah keselamatan dan memeriksa dalaman protokol rangkaian.

Anda boleh mendapatkan maklumat yang lebih terperinci dalam Panduan Pengguna Wireshark rasmi dan halaman dokumentasi lain di laman web Wireshark.