Úvod
Wireshark je nástroj pro analýzu síťových protokolů s otevřeným zdrojovým kódem, který je nepostradatelný pro správu systému a zabezpečení. Rozbaluje a zobrazuje data putující po síti. Wireshark vám umožňuje buď zachytit živé síťové pakety, nebo je uložit pro offline analýzu.
Jednou z funkcí Wiresharku, kterou se budete rádi učit, je filtr zobrazení, který vám umožní kontrolovat pouze provoz, který vás skutečně zajímá. Wireshark je k dispozici pro různé platformy včetně Windows, Linux, MacOS, FreeBSD a některé další.
Některé z úkolů, které lze provádět pomocí Wireshark, jsou
- Zachycení a nalezení provozu procházejícího vaší sítí
- Kontrola stovek různých protokolů
- Živé zachycení návštěvnosti/analýza offline
- Odstraňování problémů s vyřazenými pakety a latencí
- Sledování pokusů o útoky nebo škodlivé aktivity
V tomto článku vysvětlíme, jak nainstalovat Wireshark na systém Ubuntu. Instalační postupy byly testovány na Ubuntu 20.04 LTS a Ubuntu 21.04.
Instalace Wireshark
Takže pro instalaci Wireshark budete muset přidat úložiště „Universe“. Chcete-li to provést, zadejte v Terminálu následující příkaz:
$ sudo add-apt-repository universe
Nyní zadejte v Terminálu následující příkaz k instalaci Wireshark do vašeho systému:
$ sudo apt install Wireshark 
Po spuštění výše uvedeného příkazu můžete být požádáni o potvrzení, stiskněte y a poté Enter. Poté bude ve vašem systému zahájena instalace Wiresharku.
Během instalace Wiresharku se zobrazí následující okno s dotazem, zda chcete povolit uživatelům, kteří nejsou superuživateli, zachytávat pakety. Povolení může představovat bezpečnostní riziko, proto je lepší nechat jej deaktivovaný a stisknout Enter .
Jakmile je instalace Wireshark dokončena, můžete ji ověřit pomocí následujícího příkazu v Terminálu:
$ wireshark --version
Pokud se tedy Wireshark úspěšně nainstaloval, zobrazí se podobný výstup zobrazující verzi nainstalovaného Wiresharku.
Spusťte Wireshark
Nyní jste připraveni spustit a používat Wireshark na vašem počítači Ubuntu. Chcete-li spustit Wireshark, zadejte v Terminálu následující příkaz:
$ sudo wiresharkPokud jste přihlášeni jako uživatel root, můžete také spustit Wireshark z GUI. Stiskněte klávesu super a zadejte wireshark ve vyhledávací liště. Když se zobrazí ikona Wireshark, kliknutím na ni ji spusťte.
Pamatujte, že pokud spustíte Wireshark bez oprávnění root nebo sudo, nebudete moci zachytit síťový provoz.
Když se Wireshark otevře, uvidíte následující výchozí zobrazení:
Používání Wireshark
Wireshark je výkonný nástroj se spoustou funkcí. Zde si jen projdeme základy dvou důležitých funkcí, kterými jsou:zachycení paketů a filtr zobrazení.
Zachycení paketů
Chcete-li zachytit pakety pomocí Wireshark, postupujte podle následujících jednoduchých kroků:
1. Ze seznamu dostupných síťových rozhraní v okně Wireshark vyberte rozhraní, na kterém chcete zachycovat pakety.
2. Na panelu nástrojů nahoře klikněte na tlačítko Start a začněte zachycovat pakety na vybraném rozhraní, jak je znázorněno na následujícím snímku obrazovky.
Pokud aktuálně není žádný provoz, můžete nějaký provoz generovat návštěvou jakékoli webové stránky nebo přístupem k souboru sdílenému v síti. Poté uvidíte zachycené pakety zobrazené v reálném čase.
3. Chcete-li zastavit zachytávání paketů, klikněte na tlačítko stop, jak je znázorněno na následujícím snímku obrazovky.
Na výše uvedeném snímku obrazovky můžete vidět Wireshark rozdělený do tří podoken:
1. Nejvyšší panelista všech paketů zachycených Wiresharkem.
2. Střední panel zobrazuje podrobnosti o hlavičce paketu pro každý vybraný paket.
3. Třetí panel zobrazuje nezpracovaná data každého vybraného paketu.
Zobrazit filtr
Jak jste viděli na výše uvedených snímcích obrazovky, Wireshark zobrazuje velké množství paketů pro jednu síťovou aktivitu. V normální síti se ve vaší síti pohybují tisíce paketů tam a zpět. Je velmi obtížné najít konkrétní paket z tisíců zachycených paketů. Zde je funkce filtrování zobrazení Wireshark.
Pomocí filtrů zobrazení Wireshark můžete zobrazit pouze typy paketů, které hledáte. Tímto způsobem zužuje výsledky a usnadňuje vám nalezení toho, co hledáte. Výsledky můžete filtrovat na základě protokolů, zdrojové a cílové IP adresy, čísla portu a některých dalších.
Wireshark má spoustu předdefinovaných filtrů, které můžete využít. Když začnete psát název filtru, Wireshark vám pomůže jej automaticky doplnit tím, že navrhne názvy. Chcete-li zobrazit pouze pakety obsahující konkrétní protokol, zadejte název protokolu do pole „Použít filtr zobrazení“ na panelu nástrojů.
Příklad:
Chcete-li zobrazit pouze STP pakety ze všech zachycených paketů zadejte stp Jak je ukázáno níže. Po zadání názvu filtru se zobrazí pouze stp pakety.
Závěr
Takto můžete nainstalovat a používat Wireshark na systému Ubuntu 21.04. Právě jsme diskutovali o základech nástroje Wireshark. Abyste měli o Wiresharku dobrý přehled, musíte si projít všechny funkce a experimentovat s nimi.