iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 3
2

好的,經過昨天的介紹,想必大家已經知道如何安裝了,而今天就要來介紹Wireshark的介面及基本操作功能!

首先,打開程式後第一眼看到的就是這樣的畫面。
https://ithelp.ithome.com.tw/upload/images/20171222/201073048a9TJkk5Af.png

紅框:功能列
籃框:快速及常用功能列
綠框:下Filter的地方,可以在這邊寫一些過濾的規則,就可以更精準地篩選出要觀察或分析的封包,在這裡寫規則的時候要注意英文大小寫喔,如果大小寫錯誤軟體是會無法判斷的
咖啡框:你最近開過的Wireshark檔案紀錄,後面括號裡的是檔案大小,如果括號裡寫的是Not Found的話代表該檔案的路徑已經失效囉
粉紅框:目前機器中的所有網路介面,很像心跳圖的就是每個網路介面目前的網路狀態,起伏越多的就代表流經這個網路介面的網路流量封包越多
橘框:一些使用者手冊等參考資料,還有目前使用的Wireshark版本等。
https://ithelp.ithome.com.tw/upload/images/20171222/20107304XKD2SwnGVc.png

OK,介面看完了,那我接下來要怎樣才能開始觀察我的網路封包呢?很簡單,在粉紅框的部分選擇你想要觀察的網路介面,並點擊兩下就可以了。因為我實際對外連線上網的網卡是區域連線這一張,所以在這邊我就以選擇區域連線的網卡作為範例。
點選後畫面就會跳成類似下面的畫面,而上半部紫色部分的每一行都代表一個網路介面流經了一個封包,它的底色不一定都會是紫色,而且會依照封包狀況,有時候也會看到底色是黑色的封包。
https://ithelp.ithome.com.tw/upload/images/20171222/20107304YQQdApkvki.png

畫面中間灰色的部分則是該封包的詳細資訊,根據封包走的協定不同,例如HTTP或SSL就是走不同協定,這裡顯示的欄位也會有所差異。
畫面下方白色的部分預設是以16進位的編碼和ASCII編碼的方式呈現封包的原始資料,如果你不喜歡這些編碼方式的話也可以在這邊按右鍵進行修改。

如果一直持續收這張網路介面的封包的話,常用工具列的前三個圖案就會是這個樣子,第一個圖示代表開始擷取封包,第二個代表停止擷取,第三個則代表重新開始擷取。
https://ithelp.ithome.com.tw/upload/images/20171222/20107304imnMjmymCb.png

如果擷取到一半,想要把資料全部清掉重新開始的話,就可以按下第三個綠色圖示,軟體就會把現有的封包列表清空,並開始新的擷取。
如果想要停止擷取封包的話,則可以按下中間的紅色停止圖示,軟體就會停止擷取封包,而且上面的圖示會變成這樣。
https://ithelp.ithome.com.tw/upload/images/20171222/20107304RSjxuhLClv.png

在停止狀態時,當你想要開始擷取封包的話,按下長得像Wireshark logo的藍色圖示,也就是第一個圖示,就可以開始接取新的封包。

在點選某些功能時,例如剛剛提到的開始擷取功能或是重新開始功能,軟體會跳出一個視窗,問你如果要繼續擷取封包的話,剛剛所擷取的那些封包要不要先存檔,否則一旦開始新的擷取後,剛剛所擷取的封包就會全部捨棄。
https://ithelp.ithome.com.tw/upload/images/20171222/20107304XNBO2Xfksu.png

接著看看接下來的圖示,這些圖示的功能都是在停止擷取封包時才能點選的功能,第一個圖示是設定功能,如果你想要改選擇擷取來自其他網路封包的介面或是輸出的設定等,就可以按下這個圖示來做修改。第二個資料夾圖示則是開啟舊檔的意思,可以選擇pcap檔等wireshark可以讀取的檔案並顯示在視窗中。第三個圖示是存檔的意思,點選後就可以將目前擷取到的封包存成檔案。第四個圖示是刪除目前擷取封包的意思,點下去就可以把目前擷取到的封包都刪掉。第五個圖示則是重新整理目前擷取的封包。
https://ithelp.ithome.com.tw/upload/images/20171222/20107304h3NEBhBmD8.png

那我們好不容易擷取到一段時間的封包後,要如何保存呢?第一種方式是利用存檔的方式,將檔案存成pcap或是pcapng檔,那這兩種檔案格式又有什麼不同呢?pcapng檔是因為Wireshark的開發者意識到既有的pcap檔所包含的資料有時候並不夠齊全,所以新發展出這個叫做pcapng的格式,此格式目前也持續在發展當中,而這兩種檔案格式是可以互相轉換的,但是如果將包含較多資料的pcapng檔轉成pcap後,pcapng所多出來的檔案內容就會在pcap裡被刪掉,這時就算把pcap檔轉回pcapng檔,那些資料也不會復原。
另外也可以把封包檔案匯出成特定格式,例如如果想匯出成CSV或JSON等等,只要選擇File中的Export Packet Dissections後,再選擇想要匯出的格式就可以了。
https://ithelp.ithome.com.tw/upload/images/20171222/20107304vbWqSjgJ46.png

Wireshark也提供可以將多個封包合併的功能,選擇File下的Merge就可以將多個檔案合併成一個,但個人比較喜歡用tshark下指令的方式來執行這項功能,因為有時候合併完後的檔案封包數量會變很大,用圖形化介面來處理就會變超級慢,不過如果只是小檔案的話就沒什麼差別。

好了,以上是今天針對Wireshark圖形化介面及幾個較常用操作功能的介紹,明天會再進一步介紹一些進階一點的功能,並且開始一點簡單的封包觀察教學,有任何問題或建議都歡迎留言給我喔!


上一篇
[BONUS Day2] 台灣電腦網路危機處理暨協調中心 TWCERT/CC
下一篇
[Bonus Day 3] 國家電腦事件處理中心 TWNCERT
系列文
鯊魚咬電纜:30天玩Wireshark51

尚未有邦友留言

立即登入留言