Какой наиболее мощный инструмент для захвата и анализа интернет трафика на сегодняшний день? Ответ прост – программа Wireshark. Она способна перехватывать не только исходящие TCP пакеты, но и входящие. Такой инструмент состоит на вооружении многих профессионалов. Да и хакеры не гнушаются его использовать. Возможности программы безграничны. С ее помощью можно вытащить любой файл из пакета, просмотреть его и проверить. Главный вопрос состоит в том, как это сделать. В этом мы и попробуем разобраться.
Что такое Wireshark
Сия утилита предназначена для контроля интернет трафика. Она перехватывает TCP пакеты, которые были приняты компьютером или посланы с него. Функционал программы настолько богат, что простым перехватом дело не ограничивается. Можно просматривать содержимое пакетов, искать ошибки и так далее. Кроме того, с помощью WS можно вытащить из пакетов практически любой файл и просмотреть его. Чтобы лучше понять, что это за программа, нужно выделить ее основные преимущества. Итак, плюсы:
кроссплатформенность (есть версии для Linux, Mac, Unix);
утилита совершенно бесплатна;
обладает широким функционалом;
гибкость настройки;
возможность фильтрации трафика;
создание собственных фильтров;
перехват пакетов в реальном времени.
Преимуществ у данной утилиты действительно много. А вот недостатков как таковых нет вообще. Недаром Wireshark считается лучшей в своем роде для захвата и анализа TCP пакетов. Теперь нужно немного разобраться в самой программе.
Установка и настройка
Скачать Wireshark можно с официального сайта разработчика. Программа совершенно бесплатна. Стоит обратить внимание на то, что последняя версия (2.0.5) не работает с Wi-Fi адаптерами. Поэтому, если вам нужно анализировать трафик беспроводного соединения, следует скачать более старую версию.
Установка утилиты стандартна и не вызовет никаких проблем даже у новичков. В инсталляторе все понятно, хоть он и на английском. Кстати, Wireshark на русском языке в природе не существует, поэтому для того, чтобы успешно справляться с этим софтом придется напрячь память и вспомнить английский. В принципе, для простого захвата и просмотра TCP пакетов ничего сверхъестественного не понадобится. Хватит и школьного уровня английского.
Итак, первое, что мы видим после запуска установленной программы – главное окно. Для неподготовленного пользователя оно может показаться непонятным и страшным.
Ничего страшного в нем нет. В этом вы сейчас убедитесь. Для начала работы нужно сначала выбрать источник, из которого будет производиться захват TCP пакетов. Перехват может осуществляться как с Ethernet подключения, так и с WLAN адаптера. В качестве примера рассмотрим вариант с WLAN. Для настройки нужно зайти в пункт «Capture», подпункт «Options». В открывшемся окне следует выбрать ваш беспроводной адаптер и отметить его галочкой. Для начала захвата трафика достаточно нажать кнопку «Start».
После нажатия «Start» начнется анализ и захват пакетов. В окне появится много непонятных букв и цифр. Некоторые из пакетов имеют собственную цветовую маркировку. Для того, чтобы хоть что-то понять, нужно определить какой цвет к чему относится. Зеленый – TCP трафик, темно-синий – DNS, светло-синий – UDP и черный – пакеты TCP с ошибками. Теперь разобраться в этой горе данных проще.
Для остановки процесса перехвата достаточно нажать кнопку «Stop», которая помечена красным прямоугольником. Теперь можно выбрать интересующий вас пакет и просмотреть его. Для этого нужно щелкнуть по пакету правой клавишей мыши и в появившемся меню выбрать пункт «Show packet in new window». Тут же появится куча непонятных букв и цифр.
Но при углубленном изучении представленной информации можно понять, откуда и куда шел пакет и из чего он состоял. Для того чтобы просмотреть данные о TCP пакетах позднее, нужно использовать функцию сохранения захваченной информации. Она находится в пункте меню «File», подпункт «Save as». Потом можно будет загрузить информацию из файла и спокойно просмотреть ее.
Использование фильтров
Для отображения только той информации, которая вас интересует можно заставить Wireshark использовать фильтры и отсекать ненужный трафик. Инструкция по тонкой настройке фильтров находится в Сети, а мы пока рассмотрим только один пример. Допустим, вас интересуют только TCP пакеты. Для того, чтобы программа отображала только их, следует зайти в пункт меню «Capture», подпункт «Capture filters», выбрать пункт «TCP Only» и нажать кнопку «OK».
Таким образом можно заставить утилиту отображать только тот трафик, который вас интересует. Подробнее о том, как пользоваться фильтрами, написано на просторах интернета. Можно даже создать свой собственный шаблон для фильтра. Но это уже совсем другая история.
Заключение
Среди программ для захвата и анализа трафика Wireshark зарекомендовала себя как наиболее достойная утилита для решения подобных задач. Многие профессионалы с успехом используют ее. Конечно, для того, чтобы работать в ней на профессиональном уровне придется подтянуть свои знания в английском и изучить некоторые принципы передачи данных. Но это того стоит. Теперь ни одна программа на вашем компьютере не сможет отсылать тонны ненужной информации незнамо куда без вашего ведома. Wireshark как перехватчик и анализатор не имеет себе равных.
Видео
Wireshark windows 2012 r2
The amount of resources Wireshark needs depends on your environment and on the size of the capture file you are analyzing. The values below should be fine for small to medium-sized capture files no more than a few hundred MB. Larger capture files will require more memory and disk space.
Busy networks mean large captures
A busy network can produce huge capture files. Capturing on even a 100 megabit network can produce hundreds of megabytes of capture data in a short time. A computer with a fast processor, and lots of memory and disk space is always a good idea.
If Wireshark runs out of memory it will crash. See https://gitlab.com/wireshark/wireshark/wikis/KnownBugs/OutOfMemory for details and workarounds.
Although Wireshark uses a separate process to capture packets, the packet analysis is single-threaded and won’t benefit much from multi-core systems.
1.2.1.В Microsoft Windows
Wireshark should support any version of Windows that is still within its extended support lifetime. At the time of writing this includes Windows 10, 8.1, Server 2019, Server 2016, Server 2012 R2, and Server 2012. It also requires the following:
The Universal C Runtime. This is included with Windows 10 and Windows Server 2019 and is installed automatically on earlier versions if Microsoft Windows Update is enabled. Otherwise you must install KB2999226 or KB3118401.
Any modern 64-bit AMD64/x86-64 or 32-bit x86 processor.
500 MB available RAM. Larger capture files require more RAM.
500 MB available disk space. Capture files require additional disk space.
Any modern display. 1280 Г— 1024 or higher resolution is recommended. Wireshark will make use of HiDPI or Retina resolutions if available. Power users will find multiple monitors useful.
A supported network card for capturing
Ethernet. Any card supported by Windows should work. See the wiki pages on Ethernet capture and offloading for issues that may affect your environment.
802.11. See the Wireshark wiki page. Capturing raw 802.11 information may be difficult without special equipment.
Other media. See https://gitlab.com/wireshark/wireshark/wikis/CaptureSetup/NetworkMedia.
Older versions of Windows which are outside Microsoft’s extended lifecycle support window are no longer supported. It is often difficult or impossible to support these systems due to circumstances beyond our control, such as third party libraries on which we depend or due to necessary features that are only present in newer versions of Windows such as hardened security or memory management.
Wireshark 3.2 was the last release branch to officially support Windows 7 and Windows Server 2008 R2.
Wireshark 2.2 was the last release branch to support Windows Vista and Windows Server 2008 sans R2
Wireshark 1.12 was the last release branch to support Windows Server 2003.
Wireshark 1.10 was the last release branch to officially support Windows XP.
See the Wireshark release lifecycle page for more details.
1.2.2.В macOS
Wireshark supports macOS 10.12 and later. Similar to Windows, supported macOS versions depend on third party libraries and on Apple’s requirements.
Wireshark 2.6 was the last release branch to support Mac OS X 10.6 and 10.7 and OS X 10.8 to 10.11.
Wireshark 2.0 was the last release branch to support OS X on 32-bit Intel.
Wireshark 1.8 was the last release branch to support Mac OS X on PowerPC.
The system requirements should be comparable to the specifications listed above for Windows.
1.2.3.В UNIX, Linux, and BSD
Wireshark runs on most UNIX and UNIX-like platforms including Linux and most BSD variants. The system requirements should be comparable to the specifications listed above for Windows.
Binary packages are available for most Unices and Linux distributions including the following platforms:
Wireshark windows 2012 r2
Имена установщика Windows содержат платформу и версию. Например, Wireshark-win64-2.5.1.exe устанавливает Wireshark 2.5.1 для 64-разрядной Windows. Установщик Wireshark включает WinPcap, который требуется для захвата пакетов.
Просто загрузите установщик Wireshark с wireshark.org/download.html и выполните его. Официальные пакеты подписываются организацией Wireshark . Вы можете установить несколько дополнительных компонентов и выбрать местоположение установленного пакета. Настройки по умолчанию рекомендуются для большинства пользователей.
Компоненты
На странице « Выбор компонентов» установщика вы можете выбрать один из следующих вариантов:
Wireshark — анализатор сетевых протоколов, который мы все знаем и в основном любим.
TShark — анализатор сетевого протокола командной строки. Если вы не пробовали, вы должны.
Wireshark 1 Legacy — старый (GTK +) пользовательский интерфейс в случае необходимости.
Плагины и расширения — дополнительные возможности для Wireshark и TShark
Dissector Plugins — плагины с некоторым расширенным анализом.
Tree Statistics Plugins — Расширенная статистика.
Mate — Meta Analysis and Tracing Engine — настраиваемые пользователем расширения механизма отображения экрана
SNMP MIBs — SNMP MIB для более подробного вскрытия SNMP.
Инструменты — дополнительные средства командной строки для работы с файлами захвата.
Editcap — считывает файл захвата и записывает некоторые или все пакеты в другой файл захвата.
Text2Pcap — Считывает в шестнадцатеричном дампе ASCII и записывает данные в файл захвата pcap.
Reordercap — переупорядочивает файл захвата по метке времени.
Mergecap — Объединение нескольких сохраненных файлов захвата в один выходной файл.
Capinfos — предоставляет информацию о файлах захвата.
Rawshark — фильтр сырого пакета.
Дополнительные задачи
Start Menu Shortcuts — добавьте несколько ярлыков меню «Пуск».
Desktop Icon — добавьте значок Wireshark на рабочий стол.
Associate trace file extensions to Wireshark — Связать стандартные файлы трассировки сети с Wireshark.
Параметры командной строки установщика Windows
Для особых случаев доступны некоторые параметры командной строки:
/S автоматически запускает установщик или деинсталлятор со значениями по умолчанию. Тихий установщик не установит WinPCap.
/desktopicon установка значка рабочего стола, =yes — принудительная установка, =no — не устанавливать, в противном случае использовать настройки по умолчанию. Этот параметр может быть полезен для тихого установщика.
/quicklaunchicon установка значка быстрого запуска, =yes — принудительная установка, =no — не устанавливайте, иначе используйте настройки по умолчанию.
/D устанавливает каталог установки по умолчанию ($ INSTDIR), переопределяя InstallDir и InstallDirRegKey. Он должен быть последним параметром, который используется в командной строке и не должен содержать кавычки, даже если путь содержит пробелы.
/NCRC отключает проверку CRC. Мы не рекомендуем использовать этот флаг.
Запуск установщика без каких-либо параметров показывает обычный интерактивный установщик.
How to get Wireshark to work with Microsoft Windows Server 2012 R2
How to get Wireshark to work with Microsoft Windows Server 2012 R2
I am a long time user of WireShark and I frequently use it for demonstrations in my networking classes. I recently upgraded my instructor workstation and WireShark stopped working. It would start, but then hang. When I checked Task Manager, a process called dumpcap.exe was not responding and like in the movies, hard to kill. Let me share what I did to restore functionality and my sanity.
My first attempts involved uninstalling and reinstalling, with reboots before and after. This did not resolve the issue. I then tried going ever further back into the archives of old versions of WireShark. This also failed miserably. I tried running WireShark in compatibility modes for previous version of Windows – to no avail. Enough about the failures, here’s to success!
I will list exactly what I did but there may be steps that are unnecessary for you. Feel free to modify these steps if you wish. First, I uninstalled WireShark (and WinPcap 4.1.3, the latest at the time of this writing) and rebooted. I then downloaded WinPcap 10. It downloaded as an .msi file, which I installed. Then I downloaded the latest version of WireShark (version 2.2.2). When I installed WireShark, I made sure NOT to select the installation of WinPcap 4.1.3. The install completed successfully and I was able to run WireShark and capture packets again.
Here is a screenshot proving success!
This may work with other versions of Windows (Windows 10, for example) but I have not personally tried it out. Once MY machine worked I was happy. Hopefully, if someone else is experiencing this same pain with their previously working WireShark, these steps will help.
