Wireshark

Wireshark-это бесплатный анализатор пакетов с открытым исходным кодом . Он используется для устранения неполадок в сети, анализа, разработки программного обеспечения и коммуникационных протоколов, а также обучения. Первоначально названный Ethereal, проект был переименован в Wireshark в мае 2006 года из-за проблем с товарными знаками.

Wireshark является кросс-платформенным, используя Qt widget toolkit в текущих выпусках для реализации своего пользовательского интерфейса и используя pcap для захвата пакетов; он работает на Linux , macOS , BSD , Solaris , некоторых других Unix-подобных операционных системах и Microsoft Windows . Существует также терминальная (не GUI) версия под названием TShark. Wireshark и другие программы, распространяемые вместе с ним, такие как TShark , являются свободными программами, выпущенными на условиях GNU General Public License .

Функциональность[править]

Wireshark очень похож на tcpdump , но имеет графический интерфейс, а также некоторые интегрированные опции сортировки и фильтрации.

Wireshark позволяет пользователю перевести контроллеры сетевого интерфейса в неразборчивый режим (если он поддерживается контроллером сетевого интерфейса ), чтобы они могли видеть весь трафик, видимый на этом интерфейсе, включая одноадресный трафик, не отправленный на MAC-адрес этого контроллера сетевого интерфейса . Однако при захвате анализатором пакетов в неразборчивом режиме на порту сетевого коммутатора не весь трафик через коммутатор обязательно передается на порт, где выполняется захват, поэтому захват в неразборчивом режиме не обязательно достаточен для просмотра всего сетевого трафика. Зеркальное отображение портов или различные сетевые отводы расширьте захват до любой точки сети. Простые пассивные краны чрезвычайно устойчивы к вмешательству .

В GNU / Linux, BSD и macOS с libpcap 1.0.0 или более поздней версией Wireshark 1.4 и более поздние версии также могут переводить контроллеры беспроводного сетевого интерфейса в режим монитора .

Если удаленная машина захватывает пакеты и отправляет захваченные пакеты на машину , работающую под управлением Wireshark, используя протокол TZSP или протокол, используемый OmniPeek, Wireshark анализирует эти пакеты, чтобы проанализировать пакеты, захваченные на удаленной машине в момент их захвата.

История[править]

В конце 1990–х годов Джеральд Комбс, выпускник факультета компьютерных наук Университета Миссури-Канзас-Сити, работал в небольшом интернет-провайдере . Коммерческие продукты анализа протоколов в то время стоили около 1500 долларов [5] и не работали на основных платформах компании (Solaris и Linux), поэтому Джеральд начал писать Ethereal и выпустил первую версию около 1998 года. торговая марка Ethereal принадлежит компании Network Integration Services.

В мае 2006 года Комбс согласился работать в компании CACE Technologies. Комбс все еще владел авторскими правами на большую часть исходного кода Ethereal (а остальная часть была повторно распространена под GNU GPL), поэтому он использовал содержимое репозитория Ethereal Subversion в качестве основы для репозитория Wireshark. Однако у него не было торговой марки Ethereal, поэтому он изменил название на Wireshark. в 2010 году Riverbed Technology приобрела CACE и стала основным спонсором Wireshark. Разработка Ethereal прекратилась, и Совет по безопасности Ethereal рекомендовал перейти на Wireshark.

Wireshark завоевал несколько отраслевых наград за эти годы, [10] в том числе eWeek, InfoWorld , и журнал для ПК . это также самый рейтинговый сниффер пакетов в мире. Insecure.Org обзор инструментов сетевой безопасности и стал проектом SourceForge месяца в августе 2010 года.

Combs продолжает поддерживать общий код Wireshark и выпускать релизы новых версий программного обеспечения. На веб-сайте продукта перечислены более 600 дополнительных авторов, вносящих свой вклад.

Особенности[править]

Wireshark-это программа сбора данных, которая "понимает" структуру ( инкапсуляцию ) различных сетевых протоколов. Он может анализировать и отображать поля вместе с их значениями, заданными различными сетевыми протоколами. Wireshark использует pcap для захвата пакетов, поэтому он может захватывать пакеты только в тех типах сетей, которые поддерживает pcap.

• Данные могут быть захвачены "с провода" из живого сетевого соединения или считаны из файла уже захваченных пакетов.
• Живые данные могут считываться из различных типов сетей, включая Ethernet , IEEE 802.11 , PPP и loopback .
• Захваченные сетевые данные можно просматривать с помощью графического интерфейса пользователя или через терминал (командная строка) версии утилиты TShark.
• Захваченные файлы могут быть программно отредактированы или преобразованы с помощью переключателей командной строки в программу "editcap".
• Отображение данных может быть уточнено с помощью фильтра отображения.
• Плагины могут быть созданы для анализа новых протоколов.
• VoIP-звонки в захваченном трафике могут быть обнаружены. При кодировании в совместимой кодировке поток мультимедиа может даже воспроизводиться.
• Необработанный USB-трафик может быть захвачен.
• Беспроводные соединения также могут быть отфильтрованы, если они пересекают контролируемый Ethernet.[ требуется разъяснение]
• Различные настройки, таймеры и фильтры могут быть установлены для обеспечения возможности фильтрации выходного сигнала захваченного трафика.

Собственный формат файла трассировки сети Wireshark-это формат libpcap , поддерживаемый libpcap и WinPcap, поэтому он может обмениваться захваченными сетевыми трассировками с другими приложениями, использующими тот же формат, включая tcpdump и CA NetMaster . Он также может считывать снимки с других сетевых анализаторов , таких как snoop, Network General 's Sniffer и Microsoft Network Monitor .

Безопасность[править]

Захват необработанного сетевого трафика с интерфейса требует повышенных привилегий на некоторых платформах. По этой причине старые версии Ethereal/Wireshark и tethereal / TShark часто работали с привилегиями суперпользователя. Учитывая огромное количество протокольных диссекторов, которые вызываются при захвате трафика, и признавая возможность ошибки в диссекторе, может возникнуть серьезная угроза безопасности. Из-за довольно большого количества уязвимостей в прошлом (многие из которых допускали удаленное выполнение кода) и сомнений разработчиков в лучшей дальнейшей разработке OpenBSD удалил Ethereal из своего дерева портов до OpenBSD 3.6.

Повышенные привилегии не требуются для всех операций. Например, альтернативой является запуск tcpdump или утилиты dumpcap, которая поставляется с Wireshark с привилегиями суперпользователя, чтобы захватить пакеты в файл, а затем проанализировать пакеты, запустив Wireshark с ограниченными привилегиями. Чтобы эмулировать анализ почти в реальном времени, каждый захваченный файл может быть объединен mergecap в растущий файл, обработанный Wireshark. В беспроводных сетях можно использовать инструменты беспроводной безопасности Aircrack для захвата кадров IEEE 802.11 и считывания результирующих файлов дампа с помощью Wireshark.

Начиная с Wireshark 0.99.7, Wireshark и TShark запускают dumpcap для выполнения захвата трафика. Платформы, которым требуются специальные привилегии для захвата трафика, должны работать только с dumpcap с этими привилегиями. Ни Wireshark, ни TShark не должны запускаться с особыми привилегиями.

Цветовое кодирование[править]

Wireshark может окрашивать пакеты на основе правил, которые соответствуют определенным полям в пакетах, чтобы помочь пользователю определить типы трафика с первого взгляда. Предоставляется набор правил по умолчанию; пользователи могут изменять существующие правила для раскрашивания пакетов, добавлять новые правила или удалять правила.

Имитационный захват пакетов[править]

Wireshark также можно использовать для захвата пакетов из большинства инструментов моделирования сетей , таких как ns, OPNET Modeler и NetSim .

См. также[править]

• Capsa (программное обеспечение)
• Сравнение анализаторов пакетов
• EtherApe
• Скрипач (программное обеспечение)
• netsniff-НГ
• Нгрэп
• Omnipeek
• Tcptrace

Читать[править]

/kamelopedia.net/wiki/

Пруф[править]

.wireshark.org/