Wireshark

From EIK wiki
Margus Nairis AK31
Arvustab Alvar Teearu AK31


Üldtutvustus.

Wireshark kasvas välja Ethereal projektist, mida alustas 1997 Gerald Combs eesmärgiga õppida sügavamalt võrgundust ja leida lahendusi võrguprobleemidele.

Nüüdseks on Wireshark GNU General Public License alusel avatud koodiga võrgu pakettide analüsaator. Mida see tähendab? See tähendab, et programm püüab krabada võrgus leiduvaid pakette ning kuvada paketis leiduvat informatsiooni nii detailselt kui see võimalukuks osutub.

Wireshark ei muuda ega tee ise võrgus muud kui vaid 'kuulab' seda ja lubab kasutajal kuuldut näha, analüüsida ja salvestada.

Peamiselt osutub Wireshark kasulikuks kui Sa :

* püüad leida ja lahendada võrguprobleeme,
* tahaksid testida võrgu turvalisust,
* oled otsustanud lahata võrguprotokollide sisu erinevatel eesmärkidel.

Paigaldamine.

Wireshark on paigaldatav nii Windowsi kui ka UNIX laadsetesse keskkondadesse.

Lae oma platvormile sobiv Wireshark'i viimane versioon alla aadreesilt : [ http://www.wireshark.org/download.html ]
NB! Järgi paigaldamisjuhiseid vastavalt oma operatsioonisüsteemile!


Wireshark komponendid:

Wireshark GTK - Graafilise kasutjaliidesega paketianalüsaator.
TShark - Käsurealt juhitav paketianalüsaator


Pluginad / Laiendused :

Dissector Plugins - Pluginad laiendatud tükeldamiseks.
Tree Statistics Plugins - Pluginad sügavama statistika tarbeks.
Mate - Meta Analysis and Tracing Engine (experimental) - Kasutaja konfigureeritav laiendus kuvafiltrile, misläbi saab luua seoseid ja kasutajale sobivama protokollipuu kuvamise. ( [ http://wiki.wireshark.org/Mate ] )
SNMP MIBs -

Tööriistad:

Editcap - Programm, mis oskab capture faili lugeda ja ka kirjutada sinna pakettide info vastavalt kasutaja tahtmisele, kas kõik või valitud osa sellest.
Text2Pcap - Programm, mis loeb sisse ASCII hex dump'i ning kirjutab andmed libcap-stiilis capture faili.
Mergecap - Programm, mis kombineerib mitmed salvestatud capture failid ühte faili kokku.
Capinfos - Capinfos is a program that provides information on capture files.
Rawshark - Rawshark is a raw packet filter.


User's Guide - Lokaalselt installeeritud kasutusjuhend säästab abi allalaadimisest internetist, kui mistahes dialoogiaknas vajutate Help nuppu.


NB! Wiresharki installatsioonipakett sisaldab ka WinPcap installerit, milleta ei ole võimalik reaalajas võrguliiklust püüda, kuid ilma milleta on siiski võimalik avada eelnevalt salvestatud wiresharki faile.


Kasutamine.

Siinkohal ON mõistlik tutvuda Wireshark ametliku dokumentatsiooni ja kasutusjuhendiga. [ http://www.wireshark.org/docs/ ]


Pilt aktiivses kasutuses olevast Wiresharkist:
Wshark 1.png


Näide, kus on näha lahtiselt üle võrgu saadetav salasõna:
Wireshark.jpg


Laetavate failide formaadid:

• libpcap, tcpdump ja teised tööriistad, mis kasutavad tcpdump formaati
• Sun snoop ja atmsnoop
• Shomiti/Finisar Surveyor
• Novell LANalyzer capture failid
• Microsoft Network Monitor capture failid
• AIX's iptrace poolt püütu
• Cinco Networks NetXray captures
• Network Associates Windows-based Sniffer and Sniffer Pro captures
• Network General/Network Associates DOS-based Sniffer (compressed or uncompressed) captures
• AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek/EtherHelp/PacketGrabber captures
• RADCOM's WAN/LAN Analyzer captures
• Network Instruments Observer version 9 captures
• Lucent/Ascend router debug output
• HP-UX's nettl
• Toshiba's ISDN routers dump output
• ISDN4BSD i4btrace utility
• traces from the EyeSDN USB S0
• IPLog format from the Cisco Secure Intrusion Detection System
• pppd logs (pppdump format)
• the output from VMS's TCPIPtrace/TCPtrace/UCX$TRACE utilities File Input / Output and Printing
• the text output from the DBS Etherwatch VMS utility
• Visual Networks' Visual UpTime traffic capture
• the output from CoSine L2 debug
• the output from Accellent's 5Views LAN agents
• Endace Measurement Systems' ERF format captures
• Linux Bluez Bluetooth stack hcidump -w traces
• Catapult DCT2000 .out files
• Gammu generated text output from Nokia DCT3 phones in Netmonitor mode
• IBM Series (OS/400) Comm traces (ASCII & UNICODE)
• Juniper Netscreen snoop captures
• Symbian OS btsnoop captures
• Tamosoft CommView captures
• Textronix K12xx 32bit .rf5 format captures
• Textronix K12 text file format captures
• Wireshark .pcapng captures (Experimental)
• ... uued failiformaadid lisanduvad aeg-ajalt uuenduste või uute versioonidega.


Salvestatavad formaadid:

• libpcap, tcpdump and various other tools using tcpdump's capture format (*.pcap,*.cap,*.dmp)
• Accellent 5Views (*.5vw)
• HP-UX's nettl (*.TRC0,*.TRC1)
• Microsoft Network Monitor - NetMon (*.cap)
• Network Associates Sniffer - DOS (*.cap,*.enc,*.trc,*fdc,*.syc)
• Network Associates Sniffer - Windows (*.cap)
• Network Instruments Observer version 9 (*.bfr)
• Novell LANalyzer (*.tr1)
• Sun snoop (*.snoop,*.cap)
• Visual Networks Visual UpTime traffic (*.*)
• ... uued failiformaadid lisanduvad aeg-ajalt uuenduste või uute versioonidega.


Eksporditavad formaadid:

Plain text file,
PostScript file,
CSV e. Comma Separated Values file,
C Arrays (pakcet bytes),
PSML file,
PDML file

Lühendid.

DNS - Domain Name System
ARP - Address Resolution Protocol
IPv4 - Internet Protocol Version 4
ICMP - Internet Control Message Protocol
UDP - User Datagram Protocol
TCP - Transmission Control Protocol
DHCP - Dynamic Host Configuration Protocol
HTTP - Hypertext Transfer Protocol
FTP - File Transfer Protocol
POP - Post Office Protocol
SMTP - Simple Mail Transfer Protocol
IMAP - Internet Message Access Protocol


Kasulikud lingid.

Wireshark WIKI:[ http://wiki.wireshark.org/ ]