Wireshark: Difference between revisions
No edit summary |
|||
(22 intermediate revisions by 2 users not shown) | |||
Line 1: | Line 1: | ||
Margus Nairis AK31 | :Margus Nairis AK31 | ||
:Arvustab Alvar Teearu AK31 | |||
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]] | [[Category:Operatsioonisüsteemide administreerimine ja sidumine]] | ||
= Üldtutvustus. = | |||
Line 12: | Line 12: | ||
Nüüdseks on Wireshark GNU General Public License alusel avatud koodiga võrgu pakettide analüsaator. Mida see tähendab? See tähendab, et programm püüab krabada võrgus leiduvaid pakette ning kuvada paketis leiduvat informatsiooni nii detailselt kui see võimalukuks osutub. | Nüüdseks on Wireshark GNU General Public License alusel avatud koodiga võrgu pakettide analüsaator. Mida see tähendab? See tähendab, et programm püüab krabada võrgus leiduvaid pakette ning kuvada paketis leiduvat informatsiooni nii detailselt kui see võimalukuks osutub. | ||
Wireshark ei muuda ega tee ise võrgus muud kui vaid 'kuulab' seda ja lubab kasutajal kuuldut näha, analüüsida ja salvestada. | '''Wireshark ei muuda ega tee ise võrgus muud kui vaid 'kuulab' seda ja lubab kasutajal kuuldut näha, analüüsida ja salvestada.''' | ||
Peamiselt osutub Wireshark kasulikuks kui Sa : | Peamiselt osutub Wireshark kasulikuks kui Sa : | ||
:: * püüad leida ja lahendada võrguprobleeme, | |||
:: * tahaksid testida võrgu turvalisust, | |||
:: * oled otsustanud lahata võrguprotokollide sisu erinevatel eesmärkidel. | |||
= Paigaldamine. = | |||
Wireshark on paigaldatav nii Windowsi kui ka UNIX laadsetesse keskkondadesse. | Wireshark on paigaldatav nii Windowsi kui ka UNIX laadsetesse keskkondadesse. | ||
Lae oma platvormile sobiv Wireshark'i viimane versioon alla aadreesilt : [http://www.wireshark.org/download.html] | :Lae oma platvormile sobiv Wireshark'i viimane versioon alla aadreesilt : [ http://www.wireshark.org/download.html ] | ||
Järgi paigaldamisjuhiseid vastavalt oma operatsioonisüsteemile. | : '''NB!''' Järgi paigaldamisjuhiseid vastavalt oma operatsioonisüsteemile! | ||
== Wireshark komponendid: == | |||
:'''Wireshark GTK''' - Graafilise kasutjaliidesega paketianalüsaator. | |||
:'''TShark''' - Käsurealt juhitav paketianalüsaator | |||
=== Pluginad / Laiendused : === | |||
:'''Dissector Plugins''' - Pluginad laiendatud tükeldamiseks. | |||
:'''Tree Statistics Plugins''' - Pluginad sügavama statistika tarbeks. | |||
:'''Mate''' - Meta Analysis and Tracing Engine (experimental) - Kasutaja konfigureeritav laiendus kuvafiltrile, misläbi saab luua seoseid ja kasutajale sobivama protokollipuu kuvamise. ( [ http://wiki.wireshark.org/Mate ] ) | |||
:'''SNMP MIBs''' - | |||
=== Tööriistad: === | |||
''' | :'''Editcap''' - Programm, mis oskab capture faili lugeda ja ka kirjutada sinna pakettide info vastavalt kasutaja tahtmisele, kas kõik või valitud osa sellest. | ||
''' | :'''Text2Pcap''' - Programm, mis loeb sisse ASCII hex dump'i ning kirjutab andmed libcap-stiilis capture faili. | ||
:'''Mergecap''' - Programm, mis kombineerib mitmed salvestatud capture failid ühte faili kokku. | |||
:'''Capinfos''' - Capinfos is a program that provides information on capture files. | |||
:'''Rawshark''' - Rawshark is a raw packet filter. | |||
''' | :'''User's Guide''' - Lokaalselt installeeritud kasutusjuhend säästab abi allalaadimisest internetist, kui mistahes dialoogiaknas vajutate Help nuppu. | ||
''' | :'''NB!''' Wiresharki installatsioonipakett sisaldab ka '''WinPcap''' installerit, milleta ei ole võimalik reaalajas võrguliiklust püüda, kuid ilma milleta on siiski võimalik avada eelnevalt salvestatud wiresharki faile. | ||
= Kasutamine. = | |||
Siinkohal ON mõistlik tutvuda Wireshark ametliku dokumentatsiooni ja kasutusjuhendiga. | |||
[ http://www.wireshark.org/docs/ ] | |||
:Pilt aktiivses kasutuses olevast Wiresharkist: | |||
::[[File:wshark_1.png]] | |||
:Näide, kus on näha lahtiselt üle võrgu saadetav salasõna: | |||
::[[File:wireshark.jpg]] | |||
=== Laetavate failide formaadid: === | |||
:• libpcap, tcpdump ja teised tööriistad, mis kasutavad tcpdump formaati | |||
:• Sun snoop ja atmsnoop | |||
:• Shomiti/Finisar Surveyor | |||
:• Novell LANalyzer capture failid | |||
:• Microsoft Network Monitor capture failid | |||
:• AIX's iptrace poolt püütu | |||
:• Cinco Networks NetXray captures | |||
:• Network Associates Windows-based Sniffer and Sniffer Pro captures | |||
:• Network General/Network Associates DOS-based Sniffer (compressed or uncompressed) captures | |||
:• AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek/EtherHelp/PacketGrabber captures | |||
:• RADCOM's WAN/LAN Analyzer captures | |||
:• Network Instruments Observer version 9 captures | |||
:• Lucent/Ascend router debug output | |||
:• HP-UX's nettl | |||
:• Toshiba's ISDN routers dump output | |||
:• ISDN4BSD i4btrace utility | |||
:• traces from the EyeSDN USB S0 | |||
:• IPLog format from the Cisco Secure Intrusion Detection System | |||
:• pppd logs (pppdump format) | |||
:• the output from VMS's TCPIPtrace/TCPtrace/UCX$TRACE utilities File Input / Output and Printing | |||
:• the text output from the DBS Etherwatch VMS utility | |||
:• Visual Networks' Visual UpTime traffic capture | |||
:• the output from CoSine L2 debug | |||
:• the output from Accellent's 5Views LAN agents | |||
:• Endace Measurement Systems' ERF format captures | |||
:• Linux Bluez Bluetooth stack hcidump -w traces | |||
:• Catapult DCT2000 .out files | |||
:• Gammu generated text output from Nokia DCT3 phones in Netmonitor mode | |||
:• IBM Series (OS/400) Comm traces (ASCII & UNICODE) | |||
:• Juniper Netscreen snoop captures | |||
:• Symbian OS btsnoop captures | |||
:• Tamosoft CommView captures | |||
:• Textronix K12xx 32bit .rf5 format captures | |||
:• Textronix K12 text file format captures | |||
:• Wireshark .pcapng captures (Experimental) | |||
:• ... uued failiformaadid lisanduvad aeg-ajalt uuenduste või uute versioonidega. | |||
=== Salvestatavad formaadid: === | |||
:• libpcap, tcpdump and various other tools using tcpdump's capture format (*.pcap,*.cap,*.dmp) | |||
:• Accellent 5Views (*.5vw) | |||
:• HP-UX's nettl (*.TRC0,*.TRC1) | |||
:• Microsoft Network Monitor - NetMon (*.cap) | |||
:• Network Associates Sniffer - DOS (*.cap,*.enc,*.trc,*fdc,*.syc) | |||
:• Network Associates Sniffer - Windows (*.cap) | |||
:• Network Instruments Observer version 9 (*.bfr) | |||
:• Novell LANalyzer (*.tr1) | |||
:• Sun snoop (*.snoop,*.cap) | |||
:• Visual Networks Visual UpTime traffic (*.*) | |||
:• ... uued failiformaadid lisanduvad aeg-ajalt uuenduste või uute versioonidega. | |||
=== Eksporditavad formaadid: === | |||
:Plain text file, | |||
:PostScript file, | |||
Plain text file, | :CSV e. Comma Separated Values file, | ||
PostScript file, | :C Arrays (pakcet bytes), | ||
CSV e. Comma Separated Values file, | :PSML file, | ||
C Arrays (pakcet bytes), | :PDML file | ||
PSML file, | |||
PDML file | |||
= Lühendid. = | |||
:'''DNS''' - Domain Name System | |||
:'''ARP''' - Address Resolution Protocol | |||
:'''IPv4''' - Internet Protocol Version 4 | |||
:'''ICMP''' - Internet Control Message Protocol | |||
:'''UDP''' - User Datagram Protocol | |||
:'''TCP''' - Transmission Control Protocol | |||
:'''DHCP''' - Dynamic Host Configuration Protocol | |||
:'''HTTP''' - Hypertext Transfer Protocol | |||
:'''FTP''' - File Transfer Protocol | |||
:'''POP''' - Post Office Protocol | |||
:'''SMTP''' - Simple Mail Transfer Protocol | |||
:'''IMAP''' - Internet Message Access Protocol | |||
= Kasulikud lingid. = | |||
Wireshark WIKI:[ http://wiki.wireshark.org/] | :Wireshark WIKI:[ http://wiki.wireshark.org/ ] |
Latest revision as of 20:28, 30 April 2011
- Margus Nairis AK31
- Arvustab Alvar Teearu AK31
Üldtutvustus.
Wireshark kasvas välja Ethereal projektist, mida alustas 1997 Gerald Combs eesmärgiga õppida sügavamalt võrgundust ja leida lahendusi võrguprobleemidele.
Nüüdseks on Wireshark GNU General Public License alusel avatud koodiga võrgu pakettide analüsaator. Mida see tähendab? See tähendab, et programm püüab krabada võrgus leiduvaid pakette ning kuvada paketis leiduvat informatsiooni nii detailselt kui see võimalukuks osutub.
Wireshark ei muuda ega tee ise võrgus muud kui vaid 'kuulab' seda ja lubab kasutajal kuuldut näha, analüüsida ja salvestada.
Peamiselt osutub Wireshark kasulikuks kui Sa :
- * püüad leida ja lahendada võrguprobleeme,
- * tahaksid testida võrgu turvalisust,
- * oled otsustanud lahata võrguprotokollide sisu erinevatel eesmärkidel.
Paigaldamine.
Wireshark on paigaldatav nii Windowsi kui ka UNIX laadsetesse keskkondadesse.
- Lae oma platvormile sobiv Wireshark'i viimane versioon alla aadreesilt : [ http://www.wireshark.org/download.html ]
- NB! Järgi paigaldamisjuhiseid vastavalt oma operatsioonisüsteemile!
Wireshark komponendid:
- Wireshark GTK - Graafilise kasutjaliidesega paketianalüsaator.
- TShark - Käsurealt juhitav paketianalüsaator
Pluginad / Laiendused :
- Dissector Plugins - Pluginad laiendatud tükeldamiseks.
- Tree Statistics Plugins - Pluginad sügavama statistika tarbeks.
- Mate - Meta Analysis and Tracing Engine (experimental) - Kasutaja konfigureeritav laiendus kuvafiltrile, misläbi saab luua seoseid ja kasutajale sobivama protokollipuu kuvamise. ( [ http://wiki.wireshark.org/Mate ] )
- SNMP MIBs -
Tööriistad:
- Editcap - Programm, mis oskab capture faili lugeda ja ka kirjutada sinna pakettide info vastavalt kasutaja tahtmisele, kas kõik või valitud osa sellest.
- Text2Pcap - Programm, mis loeb sisse ASCII hex dump'i ning kirjutab andmed libcap-stiilis capture faili.
- Mergecap - Programm, mis kombineerib mitmed salvestatud capture failid ühte faili kokku.
- Capinfos - Capinfos is a program that provides information on capture files.
- Rawshark - Rawshark is a raw packet filter.
- User's Guide - Lokaalselt installeeritud kasutusjuhend säästab abi allalaadimisest internetist, kui mistahes dialoogiaknas vajutate Help nuppu.
- NB! Wiresharki installatsioonipakett sisaldab ka WinPcap installerit, milleta ei ole võimalik reaalajas võrguliiklust püüda, kuid ilma milleta on siiski võimalik avada eelnevalt salvestatud wiresharki faile.
Kasutamine.
Siinkohal ON mõistlik tutvuda Wireshark ametliku dokumentatsiooni ja kasutusjuhendiga. [ http://www.wireshark.org/docs/ ]
- Pilt aktiivses kasutuses olevast Wiresharkist:
- Näide, kus on näha lahtiselt üle võrgu saadetav salasõna:
Laetavate failide formaadid:
- • libpcap, tcpdump ja teised tööriistad, mis kasutavad tcpdump formaati
- • Sun snoop ja atmsnoop
- • Shomiti/Finisar Surveyor
- • Novell LANalyzer capture failid
- • Microsoft Network Monitor capture failid
- • AIX's iptrace poolt püütu
- • Cinco Networks NetXray captures
- • Network Associates Windows-based Sniffer and Sniffer Pro captures
- • Network General/Network Associates DOS-based Sniffer (compressed or uncompressed) captures
- • AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek/EtherHelp/PacketGrabber captures
- • RADCOM's WAN/LAN Analyzer captures
- • Network Instruments Observer version 9 captures
- • Lucent/Ascend router debug output
- • HP-UX's nettl
- • Toshiba's ISDN routers dump output
- • ISDN4BSD i4btrace utility
- • traces from the EyeSDN USB S0
- • IPLog format from the Cisco Secure Intrusion Detection System
- • pppd logs (pppdump format)
- • the output from VMS's TCPIPtrace/TCPtrace/UCX$TRACE utilities File Input / Output and Printing
- • the text output from the DBS Etherwatch VMS utility
- • Visual Networks' Visual UpTime traffic capture
- • the output from CoSine L2 debug
- • the output from Accellent's 5Views LAN agents
- • Endace Measurement Systems' ERF format captures
- • Linux Bluez Bluetooth stack hcidump -w traces
- • Catapult DCT2000 .out files
- • Gammu generated text output from Nokia DCT3 phones in Netmonitor mode
- • IBM Series (OS/400) Comm traces (ASCII & UNICODE)
- • Juniper Netscreen snoop captures
- • Symbian OS btsnoop captures
- • Tamosoft CommView captures
- • Textronix K12xx 32bit .rf5 format captures
- • Textronix K12 text file format captures
- • Wireshark .pcapng captures (Experimental)
- • ... uued failiformaadid lisanduvad aeg-ajalt uuenduste või uute versioonidega.
Salvestatavad formaadid:
- • libpcap, tcpdump and various other tools using tcpdump's capture format (*.pcap,*.cap,*.dmp)
- • Accellent 5Views (*.5vw)
- • HP-UX's nettl (*.TRC0,*.TRC1)
- • Microsoft Network Monitor - NetMon (*.cap)
- • Network Associates Sniffer - DOS (*.cap,*.enc,*.trc,*fdc,*.syc)
- • Network Associates Sniffer - Windows (*.cap)
- • Network Instruments Observer version 9 (*.bfr)
- • Novell LANalyzer (*.tr1)
- • Sun snoop (*.snoop,*.cap)
- • Visual Networks Visual UpTime traffic (*.*)
- • ... uued failiformaadid lisanduvad aeg-ajalt uuenduste või uute versioonidega.
Eksporditavad formaadid:
- Plain text file,
- PostScript file,
- CSV e. Comma Separated Values file,
- C Arrays (pakcet bytes),
- PSML file,
- PDML file
Lühendid.
- DNS - Domain Name System
- ARP - Address Resolution Protocol
- IPv4 - Internet Protocol Version 4
- ICMP - Internet Control Message Protocol
- UDP - User Datagram Protocol
- TCP - Transmission Control Protocol
- DHCP - Dynamic Host Configuration Protocol
- HTTP - Hypertext Transfer Protocol
- FTP - File Transfer Protocol
- POP - Post Office Protocol
- SMTP - Simple Mail Transfer Protocol
- IMAP - Internet Message Access Protocol
Kasulikud lingid.
- Wireshark WIKI:[ http://wiki.wireshark.org/ ]