Wireshark: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Mnairis (talk | contribs)
No edit summary
Mnairis (talk | contribs)
No edit summary
Line 11: Line 11:


Nüüdseks on Wireshark GNU General Public License alusel avatud koodiga võrgu pakettide analüsaator. Mida see tähendab? See tähendab, et programm püüab krabada võrgus leiduvaid pakette ning kuvada paketis leiduvat informatsiooni nii detailselt kui see võimalukuks osutub.
Nüüdseks on Wireshark GNU General Public License alusel avatud koodiga võrgu pakettide analüsaator. Mida see tähendab? See tähendab, et programm püüab krabada võrgus leiduvaid pakette ning kuvada paketis leiduvat informatsiooni nii detailselt kui see võimalukuks osutub.
<pre>


Wireshark ei muuda ega tee ise võrgus muud kui vaid 'kuulab' seda ja lubab kasutajal kuuldut näha, analüüsida ja salvestada.
'''Wireshark ei muuda ega tee ise võrgus muud kui vaid 'kuulab' seda ja lubab kasutajal kuuldut näha, analüüsida ja salvestada.'''


Peamiselt osutub Wireshark kasulikuks kui Sa :  
P:eamiselt osutub Wireshark kasulikuks kui Sa :  
 
:: püüad leida ja lahendada võrguprobleeme,
:: testida võrgu turvalisust,
:: oled otsustanud lahata võrguprotokollide sisu erinevatel eesmärkidel.


püüad leida ja lahendada võrguprobleeme,
testida võrgu turvalisust,
oled otsustanud lahata võrguprotokollide sisu erinevatel eesmärkidel.
</pre>


= Paigaldamine. =
= Paigaldamine. =
Line 38: Line 37:


== Pluginad / Laiendused : ==
== Pluginad / Laiendused : ==


:'''Dissector Plugins''' - Pluginad laiendatud tükeldamiseks.
:'''Dissector Plugins''' - Pluginad laiendatud tükeldamiseks.
Line 49: Line 47:
== Tööriistad: ==
== Tööriistad: ==


 
:'''Editcap''' - Programm, mis oskab capture faili lugeda ja ka kirjutada sinna pakettide info vastavalt kasutaja tahtmisele, kas kõik või valitud osa sellest.
'''Editcap''' - Programm, mis oskab capture faili lugeda ja ka kirjutada sinna pakettide info vastavalt kasutaja tahtmisele, kas kõik või valitud osa sellest.
:'''Text2Pcap''' - Programm, mis loeb sisse ASCII hex dump'i ning kirjutab andmed libcap-stiilis capture faili.
'''Text2Pcap''' - Programm, mis loeb sisse ASCII hex dump'i ning kirjutab andmed libcap-stiilis capture faili.
:'''Mergecap''' - Programm, mis kombineerib mitmed salvestatud capture failid ühte faili kokku.
'''Mergecap''' - Programm, mis kombineerib mitmed salvestatud capture failid ühte faili kokku.
:'''Capinfos''' - Capinfos is a program that provides information on capture files.
'''Capinfos''' - Capinfos is a program that provides information on capture files.
:'''Rawshark''' - Rawshark is a raw packet filter.
'''Rawshark''' - Rawshark is a raw packet filter.




'''User's Guide''' - Lokaalselt installeeritud kasutusjuhend säästab abi allalaadimisest internetist, kui mistahes dialoogiaknas vajutate Help nuppu.
:'''User's Guide''' - Lokaalselt installeeritud kasutusjuhend säästab abi allalaadimisest internetist, kui mistahes dialoogiaknas vajutate Help nuppu.




Line 64: Line 61:




== Kasutamine. ==
= Kasutamine. =




Line 73: Line 70:
   
   


'''Laetavate failide formaadid:'''
=== Laetavate failide formaadid: ===


• libpcap, tcpdump ja teised tööriistad, mis kasutavad tcpdump formaati
:• libpcap, tcpdump ja teised tööriistad, mis kasutavad tcpdump formaati
• Sun snoop ja atmsnoop
:• Sun snoop ja atmsnoop
• Shomiti/Finisar Surveyor  
:• Shomiti/Finisar Surveyor  
• Novell LANalyzer capture failid
:• Novell LANalyzer capture failid
• Microsoft Network Monitor capture failid
:• Microsoft Network Monitor capture failid
• AIX's iptrace poolt püütu
:• AIX's iptrace poolt püütu
• Cinco Networks NetXray captures
:• Cinco Networks NetXray captures
• Network Associates Windows-based Sniffer and Sniffer Pro captures
:• Network Associates Windows-based Sniffer and Sniffer Pro captures
• Network General/Network Associates DOS-based Sniffer (compressed or uncompressed) captures
:• Network General/Network Associates DOS-based Sniffer (compressed or uncompressed) captures
• AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek/EtherHelp/PacketGrabber captures
:• AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek/EtherHelp/PacketGrabber captures
• RADCOM's WAN/LAN Analyzer captures
:• RADCOM's WAN/LAN Analyzer captures
• Network Instruments Observer version 9 captures
:• Network Instruments Observer version 9 captures
• Lucent/Ascend router debug output
:• Lucent/Ascend router debug output
• HP-UX's nettl
:• HP-UX's nettl
• Toshiba's ISDN routers dump output
:• Toshiba's ISDN routers dump output
• ISDN4BSD i4btrace utility
:• ISDN4BSD i4btrace utility
• traces from the EyeSDN USB S0
:• traces from the EyeSDN USB S0
• IPLog format from the Cisco Secure Intrusion Detection System
:• IPLog format from the Cisco Secure Intrusion Detection System
• pppd logs (pppdump format)
:• pppd logs (pppdump format)
• the output from VMS's TCPIPtrace/TCPtrace/UCX$TRACE utilities File Input / Output and Printing
:• the output from VMS's TCPIPtrace/TCPtrace/UCX$TRACE utilities File Input / Output and Printing
• the text output from the DBS Etherwatch VMS utility
:• the text output from the DBS Etherwatch VMS utility
• Visual Networks' Visual UpTime traffic capture
:• Visual Networks' Visual UpTime traffic capture
• the output from CoSine L2 debug
:• the output from CoSine L2 debug
• the output from Accellent's 5Views LAN agents
:• the output from Accellent's 5Views LAN agents
• Endace Measurement Systems' ERF format captures
:• Endace Measurement Systems' ERF format captures
• Linux Bluez Bluetooth stack hcidump -w traces
:• Linux Bluez Bluetooth stack hcidump -w traces
• Catapult DCT2000 .out files
:• Catapult DCT2000 .out files
• Gammu generated text output from Nokia DCT3 phones in Netmonitor mode
:• Gammu generated text output from Nokia DCT3 phones in Netmonitor mode
• IBM Series (OS/400) Comm traces (ASCII & UNICODE)
:• IBM Series (OS/400) Comm traces (ASCII & UNICODE)
• Juniper Netscreen snoop captures
:• Juniper Netscreen snoop captures
• Symbian OS btsnoop captures
:• Symbian OS btsnoop captures
• Tamosoft CommView captures
:• Tamosoft CommView captures
• Textronix K12xx 32bit .rf5 format captures
:• Textronix K12xx 32bit .rf5 format captures
• Textronix K12 text file format captures
:• Textronix K12 text file format captures
• Wireshark .pcapng captures (Experimental)
:• Wireshark .pcapng captures (Experimental)
• ... uued failiformaadid lisanduvad aeg-ajalt uuenduste või uute versioonidega.
:• ... uued failiformaadid lisanduvad aeg-ajalt uuenduste või uute versioonidega.




'''Salvestatavad formaadid:'''
=== Salvestatavad formaadid: ===


• libpcap, tcpdump and various other tools using tcpdump's capture format (*.pcap,*.cap,*.dmp)
:• libpcap, tcpdump and various other tools using tcpdump's capture format (*.pcap,*.cap,*.dmp)
• Accellent 5Views (*.5vw)
:• Accellent 5Views (*.5vw)
• HP-UX's nettl (*.TRC0,*.TRC1)
:• HP-UX's nettl (*.TRC0,*.TRC1)
• Microsoft Network Monitor - NetMon (*.cap)
:• Microsoft Network Monitor - NetMon (*.cap)
• Network Associates Sniffer - DOS (*.cap,*.enc,*.trc,*fdc,*.syc)
:• Network Associates Sniffer - DOS (*.cap,*.enc,*.trc,*fdc,*.syc)
• Network Associates Sniffer - Windows (*.cap)
:• Network Associates Sniffer - Windows (*.cap)
• Network Instruments Observer version 9 (*.bfr)
:• Network Instruments Observer version 9 (*.bfr)
• Novell LANalyzer (*.tr1)
:• Novell LANalyzer (*.tr1)
• Sun snoop (*.snoop,*.cap)
:• Sun snoop (*.snoop,*.cap)
• Visual Networks Visual UpTime traffic (*.*)
:• Visual Networks Visual UpTime traffic (*.*)
• ... uued failiformaadid lisanduvad aeg-ajalt uuenduste või uute versioonidega.
:• ... uued failiformaadid lisanduvad aeg-ajalt uuenduste või uute versioonidega.




'''Eksporditavad formaadid:'''
=== Eksporditavad formaadid: ===


Plain text file,  
:Plain text file,  
PostScript file,  
:PostScript file,  
CSV e. Comma Separated Values file,  
:CSV e. Comma Separated Values file,  
C Arrays (pakcet bytes),  
:C Arrays (pakcet bytes),  
PSML file,
:PSML file,
PDML file
:PDML file








== Lühendid. ==
= Lühendid. =




'''DNS''' - Domain Name System
:'''DNS''' - Domain Name System
'''ARP''' - Address Resolution Protocol
:'''ARP''' - Address Resolution Protocol
'''IPv4''' - Internet Protocol Version 4
:'''IPv4''' - Internet Protocol Version 4
'''ICMP''' - Internet Control Message Protocol
:'''ICMP''' - Internet Control Message Protocol
'''UDP''' - User Datagram Protocol
:'''UDP''' - User Datagram Protocol
'''TCP''' - Transmission Control Protocol
:'''TCP''' - Transmission Control Protocol
'''DHCP''' - Dynamic Host Configuration Protocol
:'''DHCP''' - Dynamic Host Configuration Protocol
'''HTTP''' - Hypertext Transfer Protocol
:'''HTTP''' - Hypertext Transfer Protocol
'''FTP''' - File Transfer Protocol
:'''FTP''' - File Transfer Protocol
'''POP''' - Post Office Protocol
:'''POP''' - Post Office Protocol
'''SMTP''' - Simple Mail Transfer Protocol
:'''SMTP''' - Simple Mail Transfer Protocol
'''IMAP''' - Internet Message Access Protocol
:'''IMAP''' - Internet Message Access Protocol




== Kasulikud lingid. ==
= Kasulikud lingid. =




Wireshark WIKI:[ http://wiki.wireshark.org/ ]
:Wireshark WIKI:[ http://wiki.wireshark.org/ ]

Revision as of 08:06, 6 April 2011

Margus Nairis AK31,
Reio Kokla A31


Üldtutvustus.

Wireshark kasvas välja Ethereal projektist, mida alustas 1997 Gerald Combs eesmärgiga õppida sügavamalt võrgundust ja leida lahendusi võrguprobleemidele.

Nüüdseks on Wireshark GNU General Public License alusel avatud koodiga võrgu pakettide analüsaator. Mida see tähendab? See tähendab, et programm püüab krabada võrgus leiduvaid pakette ning kuvada paketis leiduvat informatsiooni nii detailselt kui see võimalukuks osutub.

Wireshark ei muuda ega tee ise võrgus muud kui vaid 'kuulab' seda ja lubab kasutajal kuuldut näha, analüüsida ja salvestada.

P:eamiselt osutub Wireshark kasulikuks kui Sa :

püüad leida ja lahendada võrguprobleeme,
testida võrgu turvalisust,
oled otsustanud lahata võrguprotokollide sisu erinevatel eesmärkidel.


Paigaldamine.

Wireshark on paigaldatav nii Windowsi kui ka UNIX laadsetesse keskkondadesse. Lae oma platvormile sobiv Wireshark'i viimane versioon alla aadreesilt : [ http://www.wireshark.org/download.html ] Järgi paigaldamisjuhiseid vastavalt oma operatsioonisüsteemile.


Wireshark komponendid:

Wireshark GTK - Graafilise kasutjaliidesega paketianalüsaator.
TShark - Käsurealt juhitav paketianalüsaator


Pluginad / Laiendused :

Dissector Plugins - Pluginad laiendatud tükeldamiseks.
Tree Statistics Plugins - Pluginad sügavama statistika tarbeks.
Mate - Meta Analysis and Tracing Engine (experimental) -Kasutaja konfigureeritav laiendus kuvafiltrile, misläbi saab

luua seoseid ja kasutajale sobivama protokollipuu kuvamise. ( [1] )

SNMP MIBs -


Tööriistad:

Editcap - Programm, mis oskab capture faili lugeda ja ka kirjutada sinna pakettide info vastavalt kasutaja tahtmisele, kas kõik või valitud osa sellest.
Text2Pcap - Programm, mis loeb sisse ASCII hex dump'i ning kirjutab andmed libcap-stiilis capture faili.
Mergecap - Programm, mis kombineerib mitmed salvestatud capture failid ühte faili kokku.
Capinfos - Capinfos is a program that provides information on capture files.
Rawshark - Rawshark is a raw packet filter.


User's Guide - Lokaalselt installeeritud kasutusjuhend säästab abi allalaadimisest internetist, kui mistahes dialoogiaknas vajutate Help nuppu.


Wiresharki installatsioonipakett sisaldab ka WinPcap installerit, milleta ei ole võimalik reaalajas võrguliiklust püüda, kuid ilma milleta on siiski võimalik avada eelnevalt salvestatud wiresharki faile.


Kasutamine.

Pilt aktiivses kasutuses olevast Wiresharkist:


Näide, kus on näha lahtiselt üle võrgu saadetav salasõna:


Laetavate failide formaadid:

• libpcap, tcpdump ja teised tööriistad, mis kasutavad tcpdump formaati
• Sun snoop ja atmsnoop
• Shomiti/Finisar Surveyor
• Novell LANalyzer capture failid
• Microsoft Network Monitor capture failid
• AIX's iptrace poolt püütu
• Cinco Networks NetXray captures
• Network Associates Windows-based Sniffer and Sniffer Pro captures
• Network General/Network Associates DOS-based Sniffer (compressed or uncompressed) captures
• AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek/EtherHelp/PacketGrabber captures
• RADCOM's WAN/LAN Analyzer captures
• Network Instruments Observer version 9 captures
• Lucent/Ascend router debug output
• HP-UX's nettl
• Toshiba's ISDN routers dump output
• ISDN4BSD i4btrace utility
• traces from the EyeSDN USB S0
• IPLog format from the Cisco Secure Intrusion Detection System
• pppd logs (pppdump format)
• the output from VMS's TCPIPtrace/TCPtrace/UCX$TRACE utilities File Input / Output and Printing
• the text output from the DBS Etherwatch VMS utility
• Visual Networks' Visual UpTime traffic capture
• the output from CoSine L2 debug
• the output from Accellent's 5Views LAN agents
• Endace Measurement Systems' ERF format captures
• Linux Bluez Bluetooth stack hcidump -w traces
• Catapult DCT2000 .out files
• Gammu generated text output from Nokia DCT3 phones in Netmonitor mode
• IBM Series (OS/400) Comm traces (ASCII & UNICODE)
• Juniper Netscreen snoop captures
• Symbian OS btsnoop captures
• Tamosoft CommView captures
• Textronix K12xx 32bit .rf5 format captures
• Textronix K12 text file format captures
• Wireshark .pcapng captures (Experimental)
• ... uued failiformaadid lisanduvad aeg-ajalt uuenduste või uute versioonidega.


Salvestatavad formaadid:

• libpcap, tcpdump and various other tools using tcpdump's capture format (*.pcap,*.cap,*.dmp)
• Accellent 5Views (*.5vw)
• HP-UX's nettl (*.TRC0,*.TRC1)
• Microsoft Network Monitor - NetMon (*.cap)
• Network Associates Sniffer - DOS (*.cap,*.enc,*.trc,*fdc,*.syc)
• Network Associates Sniffer - Windows (*.cap)
• Network Instruments Observer version 9 (*.bfr)
• Novell LANalyzer (*.tr1)
• Sun snoop (*.snoop,*.cap)
• Visual Networks Visual UpTime traffic (*.*)
• ... uued failiformaadid lisanduvad aeg-ajalt uuenduste või uute versioonidega.


Eksporditavad formaadid:

Plain text file,
PostScript file,
CSV e. Comma Separated Values file,
C Arrays (pakcet bytes),
PSML file,
PDML file



Lühendid.

DNS - Domain Name System
ARP - Address Resolution Protocol
IPv4 - Internet Protocol Version 4
ICMP - Internet Control Message Protocol
UDP - User Datagram Protocol
TCP - Transmission Control Protocol
DHCP - Dynamic Host Configuration Protocol
HTTP - Hypertext Transfer Protocol
FTP - File Transfer Protocol
POP - Post Office Protocol
SMTP - Simple Mail Transfer Protocol
IMAP - Internet Message Access Protocol


Kasulikud lingid.

Wireshark WIKI:[ http://wiki.wireshark.org/ ]