Wireshark är världens ledande analysator för nätverkstrafik och ett viktigt verktyg för alla säkerhetsexperter och systemadministratörer. Med denna gratisprogramvara kan du analysera nätverkstrafik i realtid och är ofta det bästa verktyget för att felsöka problem i ditt nätverk.
Hälsosamma problem som Wireshark kan hjälpa till att felsöka är bland annat tappade paket, latensproblem och skadlig aktivitet i ditt nätverk. Det låter dig lägga din nätverkstrafik under ett mikroskop och tillhandahåller verktyg för att filtrera och borra ner i trafiken och zooma in på grundorsaken till problemet. Administratörer använder det för att identifiera felaktiga nätverksapparater som tappar paket, latensproblem som orsakas av maskiner som dirigerar trafik över halva världen och dataexfiltration eller till och med hackningsförsök mot din organisation.
Wireshark är ett kraftfullt verktyg som kräver gedigna kunskaper om nätverkets grunder. För de flesta moderna företag innebär det att man måste förstå TCP/IP-stacken, hur man läser och tolkar pakethuvuden och hur till exempel routing, port forwarding och DHCP fungerar.
Vad gör Wireshark?
Wireshark avlyssnar trafik och omvandlar den binära trafiken till ett format som kan läsas av människor. Detta gör det enkelt att identifiera vilken trafik som korsar ditt nätverk, hur mycket av den, hur ofta, hur stor latenstid det finns mellan vissa hopp och så vidare.
Men Wireshark stöder mer än två tusen nätverksprotokoll, många av dem esoteriska, ovanliga eller gamla, men den moderna säkerhetsexperten kommer att finna att analysen av IP-paket är av mest omedelbar nytta. Majoriteten av paketen i ditt nätverk är sannolikt TCP, UDP och ICMP.
Med tanke på den stora mängden trafik som passerar ett typiskt företagsnätverk är det Wiresharks verktyg för att hjälpa dig att filtrera denna trafik som gör det särskilt användbart. Fångstfilter samlar bara in de typer av trafik som du är intresserad av, och visningsfilter hjälper dig att zooma in på den trafik som du vill inspektera. Nätverksprotokollanalysatorn tillhandahåller sökverktyg, inklusive reguljära uttryck och färgad markering, för att göra det enkelt att hitta det du letar efter.
Ibland är det bästa sättet att hitta onormal trafik att fånga upp allt och upprätta en baslinje.
Hur man använder Wireshark
Du måste veta vad som är normalt för att kunna hitta vad som är onormalt, och Wireshark innehåller verktyg för att skapa statistik för baslinjen. Även om Wireshark är en nätverksprotokollanalysator och inte ett system för intrångsdetektering (IDS), kan det ändå visa sig vara mycket användbart för att hitta skadlig trafik när en röd flagga har höjts.
Wireshark kan också användas för att avlyssna och analysera krypterad TLS-trafik. Symmetriska sessionsnycklar lagras i webbläsaren, och med lämplig webbläsarinställning (och med användarens tillstånd och kunskap) kan en administratör läsa in dessa sessionsnycklar i Wireshark och undersöka okrypterad webbtrafik.
Wireshark har grafiska verktyg för att visualisera statistiken. Detta gör det lätt att upptäcka allmänna trender och att presentera resultaten för mindre tekniska chefer.
Wireshark som inlärningsverktyg
Det finns så många praktiska användningsområden för Wireshark att det är lätt att förbise vilket effektivt inlärningsverktyg det kan vara. Att lyfta på motorhuven på en bil är det bästa sättet att förstå hur en förbränningsmotor fungerar, och på samma sätt är det ett kraftfullt sätt att lära sig och lära andra hur Internet fungerar att lyfta på locket på nätverkstrafiken och titta på paketen som flyger förbi – till och med att borra ner till bytenivå och undersöka TCP-huvuden – och lära andra hur Internet fungerar.
Avmystifiering av motorn som driver vår informationsekonomi kan bara leda till bättre informerade affärsbeslut och bättre regeringspolitik, för att inte tala om en bättre kvalificerad arbetskraft. Wireshark är redan en viktig del av kursplanerna i många utbildningsmiljöer, men dokumentationen är tillräckligt komplett vid det här laget för att en ivrig elev enkelt ska kunna ladda ner nätverksprotokollanalysatorn, sniffa sin lokala wifi-åtkomstpunkt och börja undersöka trafiken.
Historia om Wireshark
Wireshark har funnits sedan 1998, då det uppfanns av Gerald Combs och kallades Ethereal. Under årens lopp har det fått gigantiska mängder stöd från samhället och patchar, och är allmänt accepterat som den de facto nätverksprotokollanalysator som finns tillgänglig idag.
Wireshark körs på alla större och de flesta mindre operativsystem, inklusive de vanliga Linuxdistributionerna, Windows, OS X, FreeBSD, NetBSD och OpenBSD. Programmet är fri programvara, licensierad GPL, och är därmed fritt att använda, dela och ändra.
Wireshark tutorial
Det finns många bra gratis resurser om hur man lär sig Wireshark, plus tips och tricks för att få ut det mesta av programmet. Här är några av våra favoriter:
- Jag har just laddat ner Wireshark… Vad händer nu? (PDF)
- Wireshark User’s Guide
- Hur man använder Wireshark: A Complete Tutorial (Lifewire)
- Hur man använder Wireshark för att fånga, filtrera och inspektera paket (How-To Geek)
Wireshark gratis nedladdning
Ladda ner den här nätverksprotokollanalysatorn på wireshark.org och börja sniffa paket idag.