Wireshark je přední světový analyzátor síťového provozu a základní nástroj pro každého bezpečnostního profesionála nebo správce systémů. Tento bezplatný software umožňuje analyzovat síťový provoz v reálném čase a je často nejlepším nástrojem pro řešení problémů v síti.
Mezi běžné problémy, které může Wireshark pomoci vyřešit, patří zahozené pakety, problémy s latencí a škodlivé aktivity v síti. Umožňuje podrobit síťový provoz mikroskopu a poskytuje nástroje pro filtrování a podrobný průzkum tohoto provozu a přiblížení hlavní příčiny problému. Správci jej používají k identifikaci vadných síťových zařízení, která zahazují pakety, problémů s latencí způsobených stroji směrujícími provoz přes půl světa a exfiltrace dat nebo dokonce pokusů o hackerské útoky na vaši organizaci.
Wireshark je výkonný nástroj, který vyžaduje dobré znalosti základů síťování. Pro většinu moderních podniků to znamená porozumět zásobníku TCP/IP, číst a interpretovat hlavičky paketů a znát, jak funguje například směrování, přesměrování portů a DHCP.
Co dělá Wireshark?
Wireshark zachycuje provoz a převádí tento binární provoz do lidsky čitelného formátu. Díky tomu lze snadno zjistit, jaký provoz prochází vaší sítí, kolik ho je, jak často, jak velké je zpoždění mezi určitými skoky atd.
Ačkoli Wireshark podporuje více než dva tisíce síťových protokolů, z nichž mnohé jsou esoterické, neobvyklé nebo staré, pro moderního bezpečnostního profesionála je nejužitečnější analýza paketů IP. Většina paketů v síti bude pravděpodobně TCP, UDP a ICMP.
Vzhledem k velkému objemu provozu, který prochází typickou podnikovou sítí, jsou nástroje programu Wireshark, které vám pomohou tento provoz filtrovat, tím, co jej činí obzvláště užitečným. Filtry zachycení shromáždí pouze typy provozu, které vás zajímají, a filtry zobrazení vám pomohou přiblížit provoz, který chcete zkontrolovat. Analyzátor síťových protokolů poskytuje nástroje pro vyhledávání, včetně regulárních výrazů a barevného zvýraznění, které usnadňují nalezení toho, co hledáte.
Někdy je nejlepším způsobem, jak najít anomální provoz, zachytit vše a vytvořit základní linii.
Jak používat Wireshark
Potřebujete vědět, co je normální, abyste zjistili, co je nenormální, a Wireshark obsahuje nástroje pro vytvoření základní statistiky. Wireshark je sice analyzátor síťových protokolů, a nikoli systém detekce narušení (IDS), přesto se může ukázat jako velmi užitečný pro nulování škodlivého provozu, jakmile se objeví červená vlajka.
Wireshark lze také použít k zachycení a analýze šifrovaného provozu TLS. Symetrické klíče relací jsou uloženy v prohlížeči a s příslušným nastavením prohlížeče (a s povolením a znalostí uživatele) může správce tyto klíče relací načíst do aplikace Wireshark a zkoumat nešifrovaný webový provoz.
Wireshark je dodáván s grafickými nástroji pro vizualizaci statistik. To usnadňuje zjišťování obecných trendů a prezentaci zjištění méně technicky zdatným manažerům.
Wireshark jako výukový nástroj
Praktických možností využití programu Wireshark je tolik, že je snadné přehlédnout, jak účinným výukovým nástrojem může být. Zvednutí kapoty automobilu je nejlepší způsob, jak pochopit, jak funguje spalovací motor, a stejně tak zvednutí víka síťového provozu a sledování prolétajících paketů – dokonce až na úroveň bajtů a zkoumání hlaviček TCP – je účinný způsob, jak se učit a učit ostatní, jak funguje internet.
Demostikování motoru, který pohání naši informační ekonomiku, může vést jen k lépe informovaným obchodním rozhodnutím a lepší vládní politice, nemluvě o lépe kvalifikované pracovní síle. Wireshark je již součástí učebních osnov v mnoha školících zařízeních, ale dokumentace je v tuto chvíli natolik kompletní, že si dychtivý student může snadno stáhnout analyzátor síťových protokolů, sniffovat svůj místní wifi přístupový bod a začít zkoumat provoz.
Historie Wiresharku
Wireshark existuje již od roku 1998, kdy jej vynalezl Gerald Combs a nazval Ethereal. V průběhu let získal obrovské množství komunitní podpory a oprav a je všeobecně přijímán jako de facto dnes dostupný analyzátor síťových protokolů.
Wireshark běží na všech hlavních i většině menších operačních systémech, včetně obvyklých distribucí Linuxu, Windows, OS X, FreeBSD, NetBSD a OpenBSD. Program je volně šiřitelný software s licencí GPL, a lze jej tedy volně používat, sdílet a upravovat.
Wireshark tutoriál
Existuje spousta skvělých bezplatných zdrojů o tom, jak se Wireshark naučit, a také tipy a triky, jak tento software co nejlépe využít. Zde je několik našich oblíbených:
- Právě jsem si stáhl Wireshark… Co teď? (PDF)
- Příručka uživatele programu Wireshark
- Jak používat Wireshark: (Lifewire)
- Jak používat Wireshark k zachycování, filtrování a kontrole paketů (How-To Geek)
Wireshark ke stažení zdarma
Stáhněte si tento analyzátor síťových protokolů na wireshark.org a začněte sniffovat pakety ještě dnes.