Как сохранить файл wireshark
Следующее руководство предназначено для краткого ознакомления с самым известным пакетом Sniffer в мире Wireshark. Наиболее полное руководство, которое вы можете найти, - это руководство пользователя на английском языке- user-guide-wireshark , которое насчитывает 192 страницы.
В любом случае, если не хотите читать все данные страницы, можно найти несколько простых руководств в Интернете. Это одна из них, и только теоретическая основа на «практический» подход для графического интерфейса.
Вступление
Данные, которые вы отправляете и получаете с вашего компьютера, инкапсулируются в соответствии с моделью ISO / OSI или структурой TCP / IP. На следующих изображениях видно, как построена модель ISO / OSI и структура TCP / IP и как они взаимодействуют друг с другом.
Начнем с уровней приложения, данные инкапсулируются через 7 разных уровней. Каждый уровень добавляет заголовок. Посмотрите на следующее изображение; когда речь заходит о уровне транспорт (TRANSPORT), мы называем данные «сегментами»(SEGMENT), когда речь идет о сетевом уровне (NETWORK), мы говорим «пакеты»(PACKET), говоря о уровне канале передачи данных, мы говорим «фрейм» (FRAME)и ссылаясь на физический уровень «бит»(BIT).
Wireshark - мощный (эффективный) сниффер пакетов. Хотя мы говорим об сниффере пакетов, Wireshark захватывает фреймы на уровне канала передачи данных. Wireshark более пассивен. Он не отправляет фреймы и не получает их. Wireshark получает копию всех фреймов, обмениваемых между двумя машинами, затем, сниффер работает на уровене канала передачи данных, может считывать информацию на всех более высоких уровнях (сеть, транспорт, сессия, презентация, приложение), храня данные и отображая различные области протокола также их содержимое.
Простой графический интерфейс
Графический интерфейс Wireshark показывает следующие части:
• область фильтра отображения пакетов
• окно со списком пакетов
• окно со сведениями о заголовке пакета
• окно с содержимым пакетов
Меню команд
• Меню «File»(Файл) позволяет нам импортировать захваченные файлы, экспортировать их, сохранить захваченное и выйти из Wireshark.
• Меню «Edit»(Правка) помогает нам искать конкретный пакет между множеством захваченных пакетов.
• Меню «Capture» (Захват) позволяет нам запускать или останавливать захваченное и уточнять параметры захвата. Он также представляет список предварительно сконфигурированных фильтров исследований.
• В меню Analyze (анализа) отображаются параметры других фильтров.
Область фильтра отображения пакетов
Тут можно ввести слово (например, имя протокола), чтобы скрыть все пакеты, которые не содержать в себе введенное имя.
Окно со списком пакетов
Тут нам дан список всех захваченных пакетов. Обратите внимание, что номер пакета назначается сниффером Wireshark чтобы было легче понять и удобно читать, но это не имеет ничего общего с самим пакетом. В этом списке можно найти адрес источника и получателя, время, в которое был захвачен пакет, и тип протокола.
Окно со сведениями о заголовке пакета
Жанр деталей, которые можно найти тут, включает в себя сведения об источнике или конечной цели выбранного пакета, сведения о Ethernet и IP и т. д.
Окно с содержимым пакетов
Отображает содержимое выбранного пакета как в шестнадцатеричном, так и в ASCII.
Процесс установки
Обратите внимание, что пользователи, не являющиеся пользователями со всеми правами, не будут автоматически иметь разрешение на выполнение захватов. Чтобы решить эту проблему, прочитайте документ readme (/usr/share/doc/wireshark-common/README.Debian), в котором говорится:
«Только пользователь со всеми правами сможет захватывать пакеты. Рекомендуется захватить
пакеты с прилагаемой программой dumpcap со всеми правами, а затем запустить
Wireshark / Tshark как обычный пользователь для анализа захваченных журналов. Это по умолчанию используется в системах Debian ».
Другая возможность - использовать Wireshark как для захвата, так и для анализа пакетов, в этом случае пользователь со всеми правами должен добавить гостевых пользователей в группу Wireshark, чтобы сделать их доступными для захвата.
Навигационные клавиши
Все возможные действия в Wireshark можно выполнять с помощью клавиатуры. Ниже приведен список все основные комбинации нажатий клавищ, которые можно использовать для перемещения по файлу захвата.
Клавиши быстрого ввода
Описание функций клавиш быстрого ввода
Tab, Shift+Tab
Перемещение между элементами экрана, например. от панелей инструментов до списка пакетов до подробностей пакета.
Перейдите к следующему пакету или к деталям элемента.
Перейдите к предыдущему пакету или к деталям элемента.
Ctrl+Down, F8
Перейдите к следующему пакету, даже если список пакета не сфокусирован.
Ctrl+Up, F7
Перейдите к предыдущему пакету, даже если список пакета не сфокусирован.
Перейдите к следующему пакету связи (TCP, UDP или IP)
Перейдите к предыдущему пакету связи (TCP, UDP или IP)
В деталях пакета закрывает выбранный элемент дерева. Если он уже закрыт, он переходит к родительскому узлу.
Right
В деталях пакета открывает выбранный элемент дерева.
S hi ft+Right
В деталях пакета открывает выбранный элемент дерева и все его ветви.
Ctrl+Right
В деталях пакета открывает все элементы дерева.
Ctrl+Left
В деталях пакета закрывает все элементы дерева.
Backspace
В деталях пакета переходит к родительскому узлу.
Return, Enter
В деталях пакета переключает выбранный элемент дерева.
Тест диапазона зоны охвата
Чтобы выполнить тест захвата, просто откройте свой любимый браузер. Затем можно запустить Wireshark, и увидите главное окно, в котором пока нет информации о пакете. Перейдите к «интерфейсам» и выберите тот который предпочитаете больше всего. Wireshark может использовать большое количество различных интерфейсов.
- “any” : виртуальный интерфейс, захватывает все возможные (даже скрытые)интерфейсы разом
- “lo”: виртуальный интерфейс обратной петли
- “eth0”, “eth1”, …: Ethernet интерфейсы
- “ppp0”, “ppp1”, …: PPP интерфейсы
- “wlan0”, “wlan1”, …: Wireless LAN
- “team0”, “bond0”: Комбинированные интерфейсы (например склейка адаптеров ( NIC bonding ) или сопряжение адаптеров (NIC teaming).)
- “br0”, “br1”, …: Сетевой мост Ethernet
- “tunl0”, “tunl1”: IPв IP туннелировании
- “gre0”, “gre1”: GRE туннелирование (Cisco)
- “ipsec0”, “ipsec1”: вторичный IP (VPN)
- “nas0”, “nas1”: мост ATM как в RFC 2684 (используется например для связи xDSL)
- “usb0”, “usb1”, …: USB интерфейсы
Чтобы найти поддерживаемые интерфейсы для других операционных систем, можете ознакомиться с Wireshark Wiki. Обратите внимание: если поместить свой интерфейс в режим мониторинга, то сможете захватить не только копию отправленных вам и от вас пакетов, но и копию всех пакетов, которые совершаются в вашей сети! Обратите внимание в этом случае, файл .pcap может быстро стать очень тяжелым.
После того как вы выбрали интерфейс захвата, нажмите «Пуск», и процесс захвата начнется для выбранного интерфейса. Пока просматриваете веб-страницы, увидите список всех пакетов и после того, как вас удовлетворит результат, поэтому, как только подумаете, что у вас достаточно пакетов, можете остановить процесс захвата. Теперь перейдите в меню «Файл» и нажмите «Сохранить как». Вы можете сохранить захваченные пакеты в нескольких форматах, следующий список поддерживаемых форматов с сайта Wireshark:
- pcapng (*.pcapng). Гибкий, работоспособный преемник формата libpcap. Wireshark 1.8 и более поздние версии сохраняют файлы как pcapng по умолчанию. Версии до 1.8 использовали libpcap.
- ibpcap, tcpdump и различные другие инструменты с использованием формата захвата tcpdump (*.pcap,*.cap,*.dmp)
- Accellent 5Views (*.5vw)
- HP-UX’s nettl (*.TRC0,*.TRC1)
- Microsoft Network Monitor – NetMon (*.cap)
- Network Associates Sniffer – DOS (*.cap,*.enc,*.trc,*fdc,*.syc)
- Network Associates Sniffer – Windows (*.cap)
- Network Instruments Observer version 9 (*.bfr)
- Novell LANalyzer (*.tr1)
- Oracle (previously Sun) snoop (*.snoop,*.cap)
- Visual Networks Visual UpTime traffic (*.*)
Заключительная часть-анализ захваченных пакетов. Чтобы выполнить хороший анализ, необходимо иметь надежную сетевую базу, но этот аргумент не является целью этого учебника, который объясняет, как использовать Wireshark для захвата сочной информации.
В этой статье мы рассмотрим, как из дампа, в котором много разговоров, выбрать нужный и сохранить только его.
Часто бывает, что из дампа вам нужен всего лишь один вызов, но из-за большого количества разговоров нет возможности сохранить какой-то конкретный, а полученный дамп имеет большой размер и много лишнего трафика. Wireshark поможет нам в этой ситуации.
И так, открываем дамп, который мы сделали на нашей станции. Переходим в меню Telephony – VoIP Calls. Выбираем необходимый вызов, если их несколько, выбираем несколько, используя клавишу CTRL и нажимаем Prepare Filter
Далее, в поле Filter мы видим пакеты, которые относятся к нашим вызовам, нажимаем Apply
Видим, как количество пакетов значительно сократилось, остались лишь необходимые нам вызовы.
При использовании данного метода сохраняются лишь SIP пакеты, при желании можно добавить и RTP трафик, но, как правило, это не нужно, ведь 99% информации для дебага находится именно в SIP пакетах.
Теперь сохраним необходимые нам вызовы в отдельный дамп, который далее можно переслать вашему VoIP оператору для выявления и решения проблемы.
Переходим в File – Export Specified Packets
Здесь нам нужно выбрать All packets и Displayed и сохранить дамп с новым именем.
Как видно, теперь в дампе только необходимые вызовы, а размер дампа составляет каких-то 10 КБ.
Остались вопросы?
Я - Кондрашин Игорь, менеджер компании Voxlink. Хотите уточнить детали или готовы оставить заявку? Укажите номер телефона, я перезвоню в течение 3-х секунд.
категории
VoIP оборудование
Fanvil X3S
3 900 руб
Fanvil X3S
2 990 руб
Fanvil X3S
2 990 руб
Fanvil X3S
2 990 руб
Fanvil X3S
2 990 руб
Fanvil X3S
2 990 руб
ближайшие курсы
Курсы по Asterisk
последняя неделя
каждого месяца
Записаться
Новые статьи
Пример маршрутизации и проверки телефонного номера по API с использованием Python
Отправка уведомлений о звонках в Telegram
Настройка и подключение к Asterisk потока Е1 с использованием шлюза Yeastar TE
ближайшие Вебинары
Mikrotik User Meeting: конференция по сетевым технологиям
10 доводов в пользу Asterisk
Распространяется бесплатно.
Asterisk – программное обеспечение с открытым исходным кодом, распространяется по лицензии GPL. Следовательно, установив один раз Asterisk вам не придется дополнительно платить за новых абонентов, подключение новых транков, расширение функционала и прочие лицензии. Это приближает стоимость владения станцией к нулю.
Безопасен в использовании.
Любое программное обеспечение может стать объектом интереса злоумышленников, в том числе телефонная станция. Однако, сам Asterisk, а также операционная система, на которой он работает, дают множество инструментов защиты от любых атак. При грамотной настройке безопасности у злоумышленников нет никаких шансов попасть на станцию.
Надежен в эксплуатации.
Время работы серверов некоторых наших клиентов исчисляется годами. Это значит, что Asterisk работает несколько лет, ему не требуются никакие перезагрузки или принудительные отключения. А еще это говорит о том, что в районе отличная ситуация с электроэнергией, но это уже не заслуга Asterisk.
Гибкий в настройке.
Зачастую возможности Asterisk ограничивает только фантазия пользователя. Ни один конструктор шаблонов не сравнится с Asterisk по гибкости настройки. Это позволяет решать с помощью Asterisk любые бизнес задачи, даже те, в которых выбор в его пользу не кажется изначально очевидным.
Имеет огромный функционал.
Во многом именно Asterisk показал какой должна быть современная телефонная станция. За многие годы развития функциональность Asterisk расширилась, а все основные возможности по-прежнему доступны бесплатно сразу после установки.
Интегрируется с любыми системами.
То, что Asterisk не умеет сам, он позволяет реализовать за счет интеграции. Это могут быть интеграции с коммерческими телефонными станциями, CRM, ERP системами, биллингом, сервисами колл-трекинга, колл-бэка и модулями статистики и аналитики.
Позволяет телефонизировать офис за считанные часы.
В нашей практике были проекты, реализованные за один рабочий день. Это значит, что утром к нам обращался клиент, а уже через несколько часов он пользовался новой IP-АТС. Безусловно, такая скорость редкость, ведь АТС – инструмент зарабатывания денег для многих компаний и спешка во внедрении не уместна. Но в случае острой необходимости Asterisk готов к быстрому старту.
Отличная масштабируемость.
Очень утомительно постоянно возвращаться к одному и тому же вопросу. Такое часто бывает в случае некачественного исполнения работ или выбора заведомо неподходящего бизнес-решения. С Asterisk точно не будет такой проблемы! Телефонная станция, построенная на Asterisk может быть масштабируема до немыслимых размеров. Главное – правильно подобрать оборудование.
Повышает управляемость бизнеса.
Asterisk дает не просто набор полезных функций, он повышает управляемость организации, качества и комфортности управления, а также увеличивает прозрачность бизнеса для руководства. Достичь этого можно, например, за счет автоматизации отчетов, подключения бота в Telegram, санкционированного доступа к станции из любой точки мира.
Снижает расходы на связь.
Связь между внутренними абонентами IP-АТС бесплатна всегда, независимо от их географического расположения. Также к Asterisk можно подключить любых операторов телефонии, в том числе GSM сим-карты и настроить маршрутизацию вызовов по наиболее выгодному тарифу. Всё это позволяет экономить с первых минут пользования станцией.
Не вся информация будет сохранена в файле захвата. Например, большинство форматов файлов не записывают количество отброшенных пакетов.
Диалоговое окно «Сохранить как» позволяет сохранить текущий захват в файл. Внешний вид этого диалога зависит от системы. Однако функциональность должна быть одинаковой для всех систем.
Это общий диалог Windows для сохранения всех захваченных пакетов. Если вам требуется сохранить в файл определенные пакеты, следует воспользоваться экспортом пакетов. При экспорте пакетов, доступны дополнительные опции сохранения.
Дополнительные возможности позволяют сохранить:
Так же есть функция архивирования сохраненного файла. Для архивации поставите галочку у пункта Compress with gzip
Если вы не укажете расширение файла для имени файла (например, .pcap) Wireshark добавит стандартное расширение файла для этого формата файла.
Сохранение файла захвата в Linux не имеет существенных отличий.
Вы можете конвертировать файлы захвата из одного формата в другой, читая в файле захвата и записывая его в другом формате.
Форматы выходных файлов
Wireshark может сохранять пакетные данные в собственном формате файла (pcapng) и в форматах файлов других анализаторов протоколов, чтобы другие инструменты могли считывать данные захвата.
Различные форматы файлов имеют разную точность метки времени
Сохранение из используемого в настоящее время формата файла в другом формате может уменьшить точность отметки времени
Файл захвата Wireshark может быть сохранен в следующих форматах файлов:
Время от времени добавляются новые форматы файлов.
Сторонние анализаторы протоколов могут потребовать определенных расширений файлов.
Wireshark проверяет содержимое файла, чтобы определить его тип. Некоторые другие анализаторы протоколов смотрят только на расширения имен файлов. Например, вам может потребоваться использовать .cap расширение, чтобы открыть файл с помощью Sniffer .
Wireshark — это приложение с открытым исходным кодом, которое собирает и отображает данные, передаваемые по сети туда и обратно. Он обычно используется для устранения неполадок в сети и тестирования программного обеспечения, поскольку он предоставляет возможность развернуть и прочитать содержимое каждого пакета .
Инструкции в этой статье относятся к Wireshark 3.0.3 для Windows и Mac.
Что такое Wireshark?
Изначально известный как Ethereal, Wireshark отображает данные из сотен различных протоколов для всех основных типов сетей. Пакеты данных можно просматривать в режиме реального времени или анализировать в автономном режиме. Wireshark поддерживает десятки форматов файлов захвата / трассировки, включая CAP и ERF . Интегрированные инструменты дешифрования отображают зашифрованные пакеты для нескольких общих протоколов, включая WEP и WPA / WPA2 .
Как скачать и установить Wireshark
Wireshark можно бесплатно загрузить с веб-сайта Wireshark Foundation для MacOS и Windows. Вы увидите последний стабильный выпуск и текущий выпуск для разработчиков. Если вы не являетесь опытным пользователем, загрузите стабильную версию.
В процессе установки Windows выберите установку WinPcap или Npcap, если это будет предложено, поскольку они включают библиотеки, необходимые для сбора данных в реальном времени.
Вы должны войти в систему как администратор, чтобы использовать Wireshark. В Windows 10 найдите Wireshark и выберите « Запуск от имени администратора» . В macOS щелкните правой кнопкой мыши значок приложения и выберите « Информация» . В настройках « Общий доступ и разрешения» дайте администратору права на чтение и запись .
Приложение также доступно для Linux и других UNIX-подобных платформ, включая Red Hat, Solaris и FreeBSD. Двоичные файлы, необходимые для этих операционных систем, можно найти в нижней части страницы загрузки Wireshark в разделе « Сторонние пакеты ». Вы также можете скачать исходный код Wireshark с этой страницы.
Как захватить пакеты данных с Wireshark
Когда вы запускаете Wireshark, на экране приветствия перечисляются доступные сетевые подключения на вашем текущем устройстве. Справа от каждого из них представлен линейный график в стиле ЭКГ, представляющий живой трафик в этой сети.
Чтобы начать захват пакетов с помощью Wireshark:
Выберите одну или несколько сетей, перейдите в строку меню, затем выберите « Захват» .
Чтобы выбрать несколько сетей, удерживайте клавишу Shift во время выбора.
В окне « Интерфейсы захвата Wireshark» выберите « Пуск» .
Существуют и другие способы инициирования захвата пакетов. Выберите акульи плавники на левой стороне панели инструментов Wireshark, нажмите Ctrl + E , или дважды щелкните по сети.
Выберите « Файл» > « Сохранить как» или выберите опцию « Экспорт» для записи записи.
Чтобы остановить запись, нажмите Ctrl + E . Или перейдите на панель инструментов Wireshark и выберите красную кнопку « Стоп» , расположенную рядом с плавником акулы.
Как просмотреть и проанализировать содержимое пакета
Интерфейс захваченных данных содержит три основных раздела:
- Панель списка пакетов (верхняя часть)
- Панель сведений о пакете (средняя часть)
- Панель байтов пакета (нижняя часть)
Список пакетов
Панель списка пакетов, расположенная в верхней части окна, показывает все пакеты, найденные в активном файле захвата. Каждый пакет имеет свою собственную строку и соответствующий ему номер вместе с каждой из этих точек данных:
- Нет : это поле указывает, какие пакеты являются частью одного и того же диалога. Он остается пустым, пока вы не выберете пакет.
- Время: в этом столбце отображается отметка времени, когда пакет был захвачен. Формат по умолчанию — это количество секунд или неполных секунд с момента создания этого конкретного файла захвата.
- Источник: этот столбец содержит адрес (IP или другой), из которого был получен пакет.
- Назначение: этот столбец содержит адрес, на который отправляется пакет.
- Протокол. В этом столбце можно найти имя протокола пакета, например TCP.
- Длина: длина пакета в байтах отображается в этом столбце.
- Информация: Дополнительные сведения о пакете представлены здесь. Содержимое этого столбца может сильно различаться в зависимости от содержимого пакета.
Чтобы изменить формат времени на более полезный (например, фактическое время дня), выберите « Просмотр» > «Формат отображения времени» .
Когда пакет выбран в верхней панели, вы можете заметить, что один или несколько символов появляются в столбце № . Открытые или закрытые скобки и прямая горизонтальная линия указывают, являются ли пакет или группа пакетов частью одного и того же разговора в сети. Пунктирная горизонтальная линия означает, что пакет не является частью диалога.
Детали пакета
Панель сведений, расположенная посередине, представляет протоколы и поля протоколов выбранного пакета в разборном формате. В дополнение к расширению каждого выбора вы можете применять отдельные фильтры Wireshark на основе конкретных сведений и отслеживать потоки данных на основе типа протокола, щелкая правой кнопкой мыши нужный элемент.
Пакетные байты
Внизу находится панель байтов пакетов, которая отображает необработанные данные выбранного пакета в шестнадцатеричном представлении. Этот шестнадцатеричный дамп содержит 16 шестнадцатеричных байтов и 16 ASCII-байтов вместе со смещением данных.
Выбор определенной части этих данных автоматически выделяет соответствующий раздел в области сведений о пакете и наоборот. Любые байты, которые не могут быть напечатаны, представлены точкой.
Чтобы отобразить эти данные в битовом формате, а не в шестнадцатеричном, щелкните правой кнопкой мыши в любом месте панели и выберите в качестве битов .
Как использовать Wireshark Filters
Фильтры захвата инструктируют Wireshark записывать только пакеты, соответствующие указанным критериям. Фильтры также можно применять к файлу захвата, который был создан, так что отображаются только определенные пакеты. Они называются фильтрами отображения.
Wireshark предоставляет большое количество предопределенных фильтров по умолчанию. Чтобы использовать один из этих существующих фильтров, введите его имя в поле « Применить фильтр отображения», расположенное под панелью инструментов Wireshark, или в поле « Ввести фильтр захвата», расположенное в центре экрана приветствия.
Например, если вы хотите отобразить TCP-пакеты, введите tcp . Функция автозаполнения Wireshark показывает предлагаемые имена, когда вы начинаете печатать, упрощая поиск правильного названия для фильтра, который вы ищете.
Другой способ выбрать фильтр — выбрать закладку в левой части поля ввода. Выберите « Управление выражениями фильтров» или « Управление фильтрами отображения» для добавления, удаления или редактирования фильтров.
Вы также можете получить доступ к ранее использованным фильтрам, нажав стрелку вниз в правой части поля ввода, чтобы отобразить раскрывающийся список истории.
Фильтры захвата применяются, как только вы начинаете запись сетевого трафика. Чтобы применить фильтр отображения, выберите стрелку вправо в правой части поля ввода.
Цветовые правила Wireshark
В то время как фильтры захвата и отображения Wireshark ограничивают, какие пакеты записываются или отображаются на экране, его функция окраски делает шаг вперед: он может различать разные типы пакетов на основе их индивидуального оттенка. Это позволяет быстро найти определенные пакеты в сохраненном наборе по цвету строки на панели списка пакетов.
Wireshark содержит около 20 правил раскраски по умолчанию, каждое из которых можно редактировать, отключать или удалять. Выберите View > Coloring Rules для обзора того, что означает каждый цвет. Вы также можете добавить свои собственные фильтры на основе цвета.
Выберите « Просмотр» > « Colorize Packet List», чтобы включить или выключить раскраску пакетов.
Статистика в Wireshark
Фильтры отображения можно применять ко многим из этих статистических данных через их интерфейсы, а результаты можно экспортировать в распространенные форматы файлов, включая CSV , XML и TXT.
Wireshark Расширенные возможности
Wireshark также поддерживает расширенные функции, включая возможность написания протоколов диссекторов на языке программирования Lua.
Читайте также: