Πώς χρησιμοποιείτε το Wireshark για ανάλυση TCP UDP;

Το Wireshark είναι ένας ισχυρός αναλυτής πρωτοκόλλου δικτύου που υπερέχει στην ανάλυση της TCP και της κυκλοφορίας UDP. Δείτε πώς να το χρησιμοποιήσετε για ανάλυση TCP/UDP:

1. Καταγραφή της κυκλοφορίας:

* Επιλογή διεπαφής: Ξεκινήστε το Wireshark. Θα σας παρουσιαστεί μια λίστα διεπαφών δικτύου. Επιλέξτε τη διεπαφή όπου η κυκλοφορία TCP/UDP που θέλετε να αναλύσετε ρέει. Αυτό είναι κρίσιμο. Η επιλογή της λανθασμένης διεπαφής θα καταγράψει άσχετα δεδομένα. Εάν δεν είστε σίγουροι, κοιτάξτε τα ονόματα και τις περιγραφές διεπαφής-ένας προσαρμογέας Wi-Fi θα είναι σαφώς επισημασμένος ως τέτοιος.

* Ξεκινήστε τη σύλληψη: Κάντε κλικ στο κουμπί "Έναρξη" για να ξεκινήσετε τη λήψη πακέτων. Το Wireshark θα αρχίσει να καταγράφει όλη την κυκλοφορία στην επιλεγμένη διεπαφή. Αφήστε τη σύλληψη να τρέξει για αρκετό χρόνο για να διασφαλίσετε ότι καταγράφετε τα σχετικά γεγονότα.

* Φιλτράρισμα (προαιρετικό, αλλά συνιστάται ιδιαίτερα): Για να αποφύγετε τη συντριπτική σας με άσχετα δεδομένα, χρησιμοποιήστε φίλτρα. Μπορείτε να φιλτράρετε από:

* Πρωτόκολλο: `TCP` ή` UDP` θα εμφανίσει μόνο πακέτα TCP ή UDP, αντίστοιχα.

* Διεύθυνση IP: `ip.addr ==192.168.1.100` θα εμφανίσει μόνο πακέτα προς ή από αυτή τη διεύθυνση IP.

* θύρα: `tcp.port ==80` θα εμφανίσει μόνο την κυκλοφορία TCP στη θύρα 80 (HTTP). `udp.port ==53` θα εμφανίσει μόνο την κυκλοφορία UDP στη θύρα 53 (DNS).

* συνδυασμός: Μπορείτε να συνδυάσετε φίλτρα. Για παράδειγμα, οι "TCP και θύρες 80 και ip.addr ==192.168.1.100` θα εμφανίσουν μόνο την κυκλοφορία TCP στη θύρα 80 έως το 192.168.1.100. Χρησιμοποιήστε `||` (ή) για να συνδυάσετε διαφορετικά κριτήρια φίλτρου.

* Φίλτρα προβολής: Αυτά τα φίλτρα εφαρμόζονται * Μετά την ολοκλήρωση της σύλληψης και επηρεάζουν αυτό που εμφανίζεται. Εφαρμόζονται στο πεδίο "Φίλτρο" οθόνης "στο επάνω μέρος του παραθύρου Wireshark.

* Φίλτρα σύλληψης: Αυτά τα φίλτρα εφαρμόζονται * πριν ξεκινήσει η σύλληψη, λέγοντας στο Wireshark να συλλάβει μόνο πακέτα που ταιριάζουν με τα κριτήρια φίλτρου. Τοποθετούνται στο παράθυρο διαλόγου "Filters Capture".

2. Ανάλυση της καταγραφής της κυκλοφορίας:

Μόλις καταγράψετε τη σχετική κυκλοφορία, το Wireshark παρουσιάζει τα πακέτα σε μια λίστα. Κάθε σειρά αντιπροσωπεύει ένα μόνο πακέτο. Οι βασικές στήλες περιλαμβάνουν:

* όχι.: Αριθμός πακέτου.

* Ώρα: Timestamp της άφιξης πακέτων.

* Πηγή: Διεύθυνση IP και θύρα προέλευσης.

* Προορισμός: Διεύθυνση IP και θύρα προορισμού.

* Πρωτόκολλο: Χρησιμοποιείται πρωτόκολλο (TCP, UDP, κλπ.).

* Μήκος: Μήκος πακέτων.

Ειδική ανάλυση TCP:

* ροή TCP: Κάντε δεξί κλικ σε ένα πακέτο TCP και επιλέξτε "Ακολουθήστε" -> "ροή TCP". Αυτό θα σας δείξει ολόκληρη τη συζήτηση μεταξύ της πηγής και του προορισμού, συχνά ανακατασκευάζοντας τα δεδομένα σε επίπεδο εφαρμογής (π.χ. αιτήματα και απαντήσεις HTTP).

* Σημαίες τμήματος TCP: Εξετάστε τις σημαίες TCP (SYN, ACK, FIN, RST, PSH κ.λπ.) εντός των λεπτομερειών του πακέτου. Αυτές οι σημαίες είναι ζωτικής σημασίας για την κατανόηση της κατάστασης της σύνδεσης TCP.

* Αριθμοί ακολουθίας και αναγνώρισης: Αναλύστε την ακολουθία και τους αριθμούς επιβεβαίωσης για να κατανοήσετε τη ροή των δεδομένων και να προσδιορίσετε πιθανές αναμεταδόσεις (λόγω απώλειας πακέτων).

* Μέγεθος παραθύρου: Παρατηρήστε το μέγεθος του παραθύρου για τη διάγνωση πιθανών ζητημάτων ελέγχου συμφόρησης.

Ειδική ανάλυση UDP:

* Ακολουθήστε τη ροή UDP: Κάντε δεξί κλικ σε ένα πακέτο UDP και επιλέξτε "Ακολουθήστε" -> "ροή UDP". Σε αντίθεση με το TCP, το UDP δεν εγγυάται την παράδοση ή την παραγγελία. Το ρεύμα θα εμφανίσει απλώς τα ακατέργαστα δεδομένα που αποστέλλονται σε κάθε πακέτο UDP.

* Επιθεώρηση ωφέλιμου φορτίου: Εξετάστε το ωφέλιμο φορτίο του πακέτου UDP για να κατανοήσετε τα δεδομένα σε επίπεδο εφαρμογής (π.χ. ερωτήματα και απαντήσεις DNS). Συχνά πρέπει να γνωρίζετε το πρωτόκολλο εφαρμογής (DNS, DHCP κ.λπ.) για να ερμηνεύσετε σωστά το ωφέλιμο φορτίο. Οι αναθεωρητές του πρωτοκόλλου του Wireshark βοηθούν σε αυτό.

3. Χρήση χαρακτηριστικών του Wireshark:

* ιεραρχία πρωτοκόλλου: Το παράθυρο λεπτομερειών πακέτων εμφανίζει μια ιεραρχική κατανομή της δομής του πακέτου, επιτρέποντάς σας να εξετάσετε κάθε στρώμα (Ethernet, IP, TCP/UDP, εφαρμογή).

* χρωματική κωδικοποίηση: Το Wireshark χρησιμοποιεί χρωματική κωδικοποίηση για να επισημάνει διαφορετικές πτυχές της κυκλοφορίας δικτύου, όπως οι αναμεταδόσεις TCP.

* Πληροφορίες εμπειρογνωμόνων: Αναζητήστε προειδοποιήσεις και σφάλματα που επισημαίνονται στην ενότητα "Πληροφορίες εμπειρογνωμόνων". Αυτό μπορεί να επισημάνει πιθανά προβλήματα όπως πακέτα ή προβλήματα σύνδεσης.

* Στατιστικά στοιχεία: Το Wireshark παρέχει διάφορα στατιστικά στοιχεία που μπορούν να παρέχουν περιλήψεις της κυκλοφορίας.

Παράδειγμα σενάρια:

* Αντιμετώπιση προβλημάτων σύνδεσης ιστότοπου: Συμπληρώστε την κυκλοφορία ενώ προσπαθείτε να αποκτήσετε πρόσβαση σε έναν ιστότοπο, να φιλτράρετε με «TCP και PORT 80» ή «TCP και PORT 443» και εξετάστε τα αιτήματα και τις απαντήσεις του HTTP στο ρεύμα TCP για τον εντοπισμό προβλημάτων.

* Ανάλυση ερωτημάτων DNS: Συγκεντρώστε την κυκλοφορία, φιλτράρετε με `UDP και PORT 53` και εξετάστε τα ερωτήματα και τις απαντήσεις DNS για να δείτε ποιοι διακομιστές DNS έρχονται σε επαφή και ποια αρχεία ζητούνται.

* Διερεύνηση συμφόρησης δικτύου: Καταγράψτε την κυκλοφορία και αναλύστε τα μεγέθη των παραθύρων TCP και τις αναμεταδόσεις για τον εντοπισμό πιθανών σημείων συμφόρησης.

Χρησιμοποιώντας αποτελεσματικά το φιλτράρισμα, μετά από ρεύματα και την εξέταση των λεπτομερειών πακέτων, το Wireshark σας δίνει τη δυνατότητα να αναλύσετε βαθιά την κυκλοφορία TCP και UDP, βοηθώντας στη διάγνωση προβλημάτων δικτύου και στην κατανόηση της συμπεριφοράς του δικτύου. Θυμηθείτε να συμβουλευτείτε την εκτεταμένη τεκμηρίωση του Wireshark για πιο προηγμένες τεχνικές.