Wireshark: Difference between revisions
No edit summary |
No edit summary |
||
Line 25: | Line 25: | ||
Lae oma platvormile sobiv Wireshark'i viimane versioon alla aadreesilt : [ http://www.wireshark.org/download.html ] | Lae oma platvormile sobiv Wireshark'i viimane versioon alla aadreesilt : [ http://www.wireshark.org/download.html ] | ||
Järgi paigaldamisjuhiseid vastavalt oma operatsioonisüsteemile. | Järgi paigaldamisjuhiseid vastavalt oma operatsioonisüsteemile. | ||
'''Wireshark komponendid:''' | '''Wireshark komponendid:''' | ||
Line 37: | Line 34: | ||
'''Pluginad / Laiendused :''' | '''Pluginad / Laiendused :''' | ||
'''Dissector Plugins''' - Pluginad laiendatud tükeldamiseks. | '''Dissector Plugins''' - Pluginad laiendatud tükeldamiseks. | ||
'''Tree Statistics Plugins''' - Pluginad sügavama statistika tarbeks. | '''Tree Statistics Plugins''' - Pluginad sügavama statistika tarbeks. | ||
Line 43: | Line 40: | ||
luua seoseid ja kasutajale sobivama protokollipuu kuvamise. ( [http://wiki.wireshark.org/Mate] ) | luua seoseid ja kasutajale sobivama protokollipuu kuvamise. ( [http://wiki.wireshark.org/Mate] ) | ||
'''SNMP MIBs''' - | '''SNMP MIBs''' - | ||
'''Tööriistad:''' | '''Tööriistad:''' | ||
'''Editcap''' - Programm, mis oskab capture faili lugeda ja ka kirjutada sinna pakettide info vastavalt kasutaja tahtmisele, kas kõik või valitud osa sellest. | '''Editcap''' - Programm, mis oskab capture faili lugeda ja ka kirjutada sinna pakettide info vastavalt kasutaja tahtmisele, kas kõik või valitud osa sellest. | ||
'''Text2Pcap''' - Programm, mis loeb sisse ASCII hex dump'i ning kirjutab andmed libcap-stiilis capture faili. | '''Text2Pcap''' - Programm, mis loeb sisse ASCII hex dump'i ning kirjutab andmed libcap-stiilis capture faili. | ||
Line 53: | Line 50: | ||
'''Capinfos''' - Capinfos is a program that provides information on capture files. | '''Capinfos''' - Capinfos is a program that provides information on capture files. | ||
'''Rawshark''' - Rawshark is a raw packet filter. | '''Rawshark''' - Rawshark is a raw packet filter. | ||
'''User's Guide''' - Lokaalselt installeeritud kasutusjuhend säästab abi allalaadimisest internetist, kui mistahes dialoogiaknas vajutate Help nuppu. | '''User's Guide''' - Lokaalselt installeeritud kasutusjuhend säästab abi allalaadimisest internetist, kui mistahes dialoogiaknas vajutate Help nuppu. | ||
Line 72: | Line 69: | ||
'''Laetavate failide formaadid:''' | '''Laetavate failide formaadid:''' | ||
• libpcap, tcpdump ja teised tööriistad, mis kasutavad tcpdump formaati | • libpcap, tcpdump ja teised tööriistad, mis kasutavad tcpdump formaati | ||
• Sun snoop ja atmsnoop | • Sun snoop ja atmsnoop | ||
Line 109: | Line 106: | ||
• Wireshark .pcapng captures (Experimental) | • Wireshark .pcapng captures (Experimental) | ||
• ... uued failiformaadid lisanduvad aeg-ajalt uuenduste või uute versioonidega. | • ... uued failiformaadid lisanduvad aeg-ajalt uuenduste või uute versioonidega. | ||
'''Salvestatavad formaadid:''' | '''Salvestatavad formaadid:''' | ||
• libpcap, tcpdump and various other tools using tcpdump's capture format (*.pcap,*.cap,*.dmp) | • libpcap, tcpdump and various other tools using tcpdump's capture format (*.pcap,*.cap,*.dmp) | ||
• Accellent 5Views (*.5vw) | • Accellent 5Views (*.5vw) | ||
Line 124: | Line 121: | ||
• Visual Networks Visual UpTime traffic (*.*) | • Visual Networks Visual UpTime traffic (*.*) | ||
• ... uued failiformaadid lisanduvad aeg-ajalt uuenduste või uute versioonidega. | • ... uued failiformaadid lisanduvad aeg-ajalt uuenduste või uute versioonidega. | ||
'''Eksporditavad formaadid:''' | '''Eksporditavad formaadid:''' | ||
Plain text file, | Plain text file, | ||
PostScript file, | PostScript file, | ||
Line 134: | Line 131: | ||
PSML file, | PSML file, | ||
PDML file | PDML file | ||
Line 140: | Line 137: | ||
== Lühendid. == | == Lühendid. == | ||
'''DNS''' - Domain Name System | '''DNS''' - Domain Name System | ||
'''ARP''' - Address Resolution Protocol | '''ARP''' - Address Resolution Protocol | ||
Line 153: | Line 150: | ||
'''SMTP''' - Simple Mail Transfer Protocol | '''SMTP''' - Simple Mail Transfer Protocol | ||
'''IMAP''' - Internet Message Access Protocol | '''IMAP''' - Internet Message Access Protocol | ||
== Kasulikud lingid. == | == Kasulikud lingid. == |
Revision as of 07:53, 6 April 2011
Margus Nairis AK31, Reio Kokla A31
Üldtutvustus.
Wireshark kasvas välja Ethereal projektist, mida alustas 1997 Gerald Combs eesmärgiga õppida sügavamalt võrgundust ja leida lahendusi võrguprobleemidele.
Nüüdseks on Wireshark GNU General Public License alusel avatud koodiga võrgu pakettide analüsaator. Mida see tähendab? See tähendab, et programm püüab krabada võrgus leiduvaid pakette ning kuvada paketis leiduvat informatsiooni nii detailselt kui see võimalukuks osutub.
Wireshark ei muuda ega tee ise võrgus muud kui vaid 'kuulab' seda ja lubab kasutajal kuuldut näha, analüüsida ja salvestada. Peamiselt osutub Wireshark kasulikuks kui Sa : püüad leida ja lahendada võrguprobleeme, testida võrgu turvalisust, oled otsustanud lahata võrguprotokollide sisu erinevatel eesmärkidel.
Paigaldamine.
Wireshark on paigaldatav nii Windowsi kui ka UNIX laadsetesse keskkondadesse. Lae oma platvormile sobiv Wireshark'i viimane versioon alla aadreesilt : [ http://www.wireshark.org/download.html ] Järgi paigaldamisjuhiseid vastavalt oma operatsioonisüsteemile.
Wireshark komponendid:
Wireshark GTK - Graafilise kasutjaliidesega paketianalüsaator. TShark - Käsurealt juhitav paketianalüsaator
Pluginad / Laiendused :
Dissector Plugins - Pluginad laiendatud tükeldamiseks.
Tree Statistics Plugins - Pluginad sügavama statistika tarbeks.
Mate - Meta Analysis and Tracing Engine (experimental) -Kasutaja konfigureeritav laiendus kuvafiltrile, misläbi saab
luua seoseid ja kasutajale sobivama protokollipuu kuvamise. ( [1] )
SNMP MIBs -
Tööriistad:
Editcap - Programm, mis oskab capture faili lugeda ja ka kirjutada sinna pakettide info vastavalt kasutaja tahtmisele, kas kõik või valitud osa sellest.
Text2Pcap - Programm, mis loeb sisse ASCII hex dump'i ning kirjutab andmed libcap-stiilis capture faili.
Mergecap - Programm, mis kombineerib mitmed salvestatud capture failid ühte faili kokku.
Capinfos - Capinfos is a program that provides information on capture files.
Rawshark - Rawshark is a raw packet filter.
User's Guide - Lokaalselt installeeritud kasutusjuhend säästab abi allalaadimisest internetist, kui mistahes dialoogiaknas vajutate Help nuppu.
Wiresharki installatsioonipakett sisaldab ka WinPcap installerit, milleta ei ole võimalik reaalajas võrguliiklust püüda, kuid ilma milleta on siiski võimalik avada eelnevalt salvestatud wiresharki faile.
Kasutamine.
Pilt aktiivses kasutuses olevast Wiresharkist:
Näide, kus on näha lahtiselt üle võrgu saadetav salasõna:
Laetavate failide formaadid:
• libpcap, tcpdump ja teised tööriistad, mis kasutavad tcpdump formaati • Sun snoop ja atmsnoop • Shomiti/Finisar Surveyor • Novell LANalyzer capture failid • Microsoft Network Monitor capture failid • AIX's iptrace poolt püütu • Cinco Networks NetXray captures • Network Associates Windows-based Sniffer and Sniffer Pro captures • Network General/Network Associates DOS-based Sniffer (compressed or uncompressed) captures • AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek/EtherHelp/PacketGrabber captures • RADCOM's WAN/LAN Analyzer captures • Network Instruments Observer version 9 captures • Lucent/Ascend router debug output • HP-UX's nettl • Toshiba's ISDN routers dump output • ISDN4BSD i4btrace utility • traces from the EyeSDN USB S0 • IPLog format from the Cisco Secure Intrusion Detection System • pppd logs (pppdump format) • the output from VMS's TCPIPtrace/TCPtrace/UCX$TRACE utilities File Input / Output and Printing • the text output from the DBS Etherwatch VMS utility • Visual Networks' Visual UpTime traffic capture • the output from CoSine L2 debug • the output from Accellent's 5Views LAN agents • Endace Measurement Systems' ERF format captures • Linux Bluez Bluetooth stack hcidump -w traces • Catapult DCT2000 .out files • Gammu generated text output from Nokia DCT3 phones in Netmonitor mode • IBM Series (OS/400) Comm traces (ASCII & UNICODE) • Juniper Netscreen snoop captures • Symbian OS btsnoop captures • Tamosoft CommView captures • Textronix K12xx 32bit .rf5 format captures • Textronix K12 text file format captures • Wireshark .pcapng captures (Experimental) • ... uued failiformaadid lisanduvad aeg-ajalt uuenduste või uute versioonidega.
Salvestatavad formaadid:
• libpcap, tcpdump and various other tools using tcpdump's capture format (*.pcap,*.cap,*.dmp) • Accellent 5Views (*.5vw) • HP-UX's nettl (*.TRC0,*.TRC1) • Microsoft Network Monitor - NetMon (*.cap) • Network Associates Sniffer - DOS (*.cap,*.enc,*.trc,*fdc,*.syc) • Network Associates Sniffer - Windows (*.cap) • Network Instruments Observer version 9 (*.bfr) • Novell LANalyzer (*.tr1) • Sun snoop (*.snoop,*.cap) • Visual Networks Visual UpTime traffic (*.*) • ... uued failiformaadid lisanduvad aeg-ajalt uuenduste või uute versioonidega.
Eksporditavad formaadid:
Plain text file, PostScript file, CSV e. Comma Separated Values file, C Arrays (pakcet bytes), PSML file, PDML file
Lühendid.
DNS - Domain Name System ARP - Address Resolution Protocol IPv4 - Internet Protocol Version 4 ICMP - Internet Control Message Protocol UDP - User Datagram Protocol TCP - Transmission Control Protocol DHCP - Dynamic Host Configuration Protocol HTTP - Hypertext Transfer Protocol FTP - File Transfer Protocol POP - Post Office Protocol SMTP - Simple Mail Transfer Protocol IMAP - Internet Message Access Protocol
Kasulikud lingid.
Wireshark WIKI:[ http://wiki.wireshark.org/ ]