Wireshark: Difference between revisions

From ICO wiki
Jump to navigationJump to search
No edit summary
 
(16 intermediate revisions by 2 users not shown)
Line 1: Line 1:
:Margus Nairis AK31,
:Margus Nairis AK31
:Reio Kokla A31
:Arvustab Alvar Teearu AK31


[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]




== Üldtutvustus. ==
= Üldtutvustus. =




Line 11: Line 11:


Nüüdseks on Wireshark GNU General Public License alusel avatud koodiga võrgu pakettide analüsaator. Mida see tähendab? See tähendab, et programm püüab krabada võrgus leiduvaid pakette ning kuvada paketis leiduvat informatsiooni nii detailselt kui see võimalukuks osutub.
Nüüdseks on Wireshark GNU General Public License alusel avatud koodiga võrgu pakettide analüsaator. Mida see tähendab? See tähendab, et programm püüab krabada võrgus leiduvaid pakette ning kuvada paketis leiduvat informatsiooni nii detailselt kui see võimalukuks osutub.
<pre>


Wireshark ei muuda ega tee ise võrgus muud kui vaid 'kuulab' seda ja lubab kasutajal kuuldut näha, analüüsida ja salvestada.
'''Wireshark ei muuda ega tee ise võrgus muud kui vaid 'kuulab' seda ja lubab kasutajal kuuldut näha, analüüsida ja salvestada.'''


Peamiselt osutub Wireshark kasulikuks kui Sa :  
Peamiselt osutub Wireshark kasulikuks kui Sa :  


püüad leida ja lahendada võrguprobleeme,  
:: * püüad leida ja lahendada võrguprobleeme,  
testida võrgu turvalisust,  
:: * tahaksid testida võrgu turvalisust,  
oled otsustanud lahata võrguprotokollide sisu erinevatel eesmärkidel.
:: * oled otsustanud lahata võrguprotokollide sisu erinevatel eesmärkidel.
</pre>


== Paigaldamine. ==
= Paigaldamine. =




Wireshark on paigaldatav nii Windowsi kui ka UNIX laadsetesse keskkondadesse.  
Wireshark on paigaldatav nii Windowsi kui ka UNIX laadsetesse keskkondadesse.  
Lae oma platvormile sobiv Wireshark'i viimane versioon alla aadreesilt : [ http://www.wireshark.org/download.html ]
:Lae oma platvormile sobiv Wireshark'i viimane versioon alla aadreesilt : [ http://www.wireshark.org/download.html ]
Järgi paigaldamisjuhiseid vastavalt oma operatsioonisüsteemile.
: '''NB!''' Järgi paigaldamisjuhiseid vastavalt oma operatsioonisüsteemile!


'''Wireshark komponendid:'''


<pre>
== Wireshark komponendid: ==
'''Wireshark GTK''' - Graafilise kasutjaliidesega paketianalüsaator.
'''TShark''' - Käsurealt juhitav paketianalüsaator




'''Pluginad / Laiendused :'''


:'''Wireshark GTK''' - Graafilise kasutjaliidesega paketianalüsaator.
:'''TShark''' - Käsurealt juhitav paketianalüsaator


'''Dissector Plugins''' - Pluginad laiendatud tükeldamiseks.
'''Tree Statistics Plugins''' - Pluginad sügavama statistika tarbeks.
'''Mate''' - Meta Analysis and Tracing Engine (experimental) -Kasutaja konfigureeritav laiendus kuvafiltrile, misläbi saab
luua seoseid ja kasutajale sobivama protokollipuu kuvamise. ( [http://wiki.wireshark.org/Mate] )
'''SNMP MIBs''' -


=== Pluginad / Laiendused : ===


'''Tööriistad:'''
:'''Dissector Plugins''' - Pluginad laiendatud tükeldamiseks.
:'''Tree Statistics Plugins''' - Pluginad sügavama statistika tarbeks.
:'''Mate''' - Meta Analysis and Tracing Engine (experimental) - Kasutaja konfigureeritav laiendus kuvafiltrile, misläbi saab luua seoseid ja kasutajale sobivama protokollipuu kuvamise. ( [ http://wiki.wireshark.org/Mate ] )
:'''SNMP MIBs''' -


=== Tööriistad: ===


'''Editcap''' - Programm, mis oskab capture faili lugeda ja ka kirjutada sinna pakettide info vastavalt kasutaja tahtmisele, kas kõik või valitud osa sellest.
:'''Editcap''' - Programm, mis oskab capture faili lugeda ja ka kirjutada sinna pakettide info vastavalt kasutaja tahtmisele, kas kõik või valitud osa sellest.
'''Text2Pcap''' - Programm, mis loeb sisse ASCII hex dump'i ning kirjutab andmed libcap-stiilis capture faili.
:'''Text2Pcap''' - Programm, mis loeb sisse ASCII hex dump'i ning kirjutab andmed libcap-stiilis capture faili.
'''Mergecap''' - Programm, mis kombineerib mitmed salvestatud capture failid ühte faili kokku.
:'''Mergecap''' - Programm, mis kombineerib mitmed salvestatud capture failid ühte faili kokku.
'''Capinfos''' - Capinfos is a program that provides information on capture files.
:'''Capinfos''' - Capinfos is a program that provides information on capture files.
'''Rawshark''' - Rawshark is a raw packet filter.
:'''Rawshark''' - Rawshark is a raw packet filter.




'''User's Guide''' - Lokaalselt installeeritud kasutusjuhend säästab abi allalaadimisest internetist, kui mistahes dialoogiaknas vajutate Help nuppu.
:'''User's Guide''' - Lokaalselt installeeritud kasutusjuhend säästab abi allalaadimisest internetist, kui mistahes dialoogiaknas vajutate Help nuppu.
</pre>


Wiresharki installatsioonipakett sisaldab ka '''WinPcap''' installerit, milleta ei ole võimalik reaalajas võrguliiklust püüda, kuid ilma milleta on siiski võimalik avada eelnevalt salvestatud wiresharki faile.


:'''NB!''' Wiresharki installatsioonipakett sisaldab ka '''WinPcap''' installerit, milleta ei ole võimalik reaalajas võrguliiklust püüda, kuid ilma milleta on siiski võimalik avada eelnevalt salvestatud wiresharki faile.




== Kasutamine. ==


= Kasutamine. =


Pilt aktiivses kasutuses olevast Wiresharkist:
Siinkohal ON mõistlik tutvuda Wireshark ametliku dokumentatsiooni ja kasutusjuhendiga.
[ http://www.wireshark.org/docs/ ]
 
 
:Pilt aktiivses kasutuses olevast Wiresharkist:


Näide, kus on näha lahtiselt üle võrgu saadetav salasõna:
::[[File:wshark_1.png]]


'''Laetavate failide formaadid:'''


• libpcap, tcpdump ja teised tööriistad, mis kasutavad tcpdump formaati
:Näide, kus on näha lahtiselt üle võrgu saadetav salasõna:
• Sun snoop ja atmsnoop
• Shomiti/Finisar Surveyor
::[[File:wireshark.jpg]]
• Novell LANalyzer capture failid
• Microsoft Network Monitor capture failid
• AIX's iptrace poolt püütu
• Cinco Networks NetXray captures
• Network Associates Windows-based Sniffer and Sniffer Pro captures
• Network General/Network Associates DOS-based Sniffer (compressed or uncompressed) captures
• AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek/EtherHelp/PacketGrabber captures
• RADCOM's WAN/LAN Analyzer captures
• Network Instruments Observer version 9 captures
• Lucent/Ascend router debug output
• HP-UX's nettl
• Toshiba's ISDN routers dump output
• ISDN4BSD i4btrace utility
• traces from the EyeSDN USB S0
• IPLog format from the Cisco Secure Intrusion Detection System
• pppd logs (pppdump format)
• the output from VMS's TCPIPtrace/TCPtrace/UCX$TRACE utilities File Input / Output and Printing
• the text output from the DBS Etherwatch VMS utility
• Visual Networks' Visual UpTime traffic capture
• the output from CoSine L2 debug
• the output from Accellent's 5Views LAN agents
• Endace Measurement Systems' ERF format captures
• Linux Bluez Bluetooth stack hcidump -w traces
• Catapult DCT2000 .out files
• Gammu generated text output from Nokia DCT3 phones in Netmonitor mode
• IBM Series (OS/400) Comm traces (ASCII & UNICODE)
• Juniper Netscreen snoop captures
• Symbian OS btsnoop captures
• Tamosoft CommView captures
• Textronix K12xx 32bit .rf5 format captures
• Textronix K12 text file format captures
• Wireshark .pcapng captures (Experimental)
• ... uued failiformaadid lisanduvad aeg-ajalt uuenduste või uute versioonidega.




'''Salvestatavad formaadid:'''
=== Laetavate failide formaadid: ===


• libpcap, tcpdump and various other tools using tcpdump's capture format (*.pcap,*.cap,*.dmp)
:• libpcap, tcpdump ja teised tööriistad, mis kasutavad tcpdump formaati
Accellent 5Views (*.5vw)
:• Sun snoop ja atmsnoop
HP-UX's nettl (*.TRC0,*.TRC1)
:• Shomiti/Finisar Surveyor
Microsoft Network Monitor - NetMon (*.cap)
:• Novell LANalyzer capture failid
• Network Associates Sniffer - DOS (*.cap,*.enc,*.trc,*fdc,*.syc)
:Microsoft Network Monitor capture failid
• Network Associates Sniffer - Windows (*.cap)
:AIX's iptrace poolt püütu
• Network Instruments Observer version 9 (*.bfr)
:Cinco Networks NetXray captures
Novell LANalyzer (*.tr1)
:• Network Associates Windows-based Sniffer and Sniffer Pro captures
Sun snoop (*.snoop,*.cap)
:Network General/Network Associates DOS-based Sniffer (compressed or uncompressed) captures
• Visual Networks Visual UpTime traffic (*.*)
:• AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek/EtherHelp/PacketGrabber captures
• ... uued failiformaadid lisanduvad aeg-ajalt uuenduste või uute versioonidega.
:• RADCOM's WAN/LAN Analyzer captures
:• Network Instruments Observer version 9 captures
:• Lucent/Ascend router debug output
:• HP-UX's nettl
:• Toshiba's ISDN routers dump output
:• ISDN4BSD i4btrace utility
:• traces from the EyeSDN USB S0
:• IPLog format from the Cisco Secure Intrusion Detection System
:• pppd logs (pppdump format)
:the output from VMS's TCPIPtrace/TCPtrace/UCX$TRACE utilities File Input / Output and Printing
:the text output from the DBS Etherwatch VMS utility
:• Visual Networks' Visual UpTime traffic capture
:• the output from CoSine L2 debug
:• the output from Accellent's 5Views LAN agents
:• Endace Measurement Systems' ERF format captures
:• Linux Bluez Bluetooth stack hcidump -w traces
:• Catapult DCT2000 .out files
:• Gammu generated text output from Nokia DCT3 phones in Netmonitor mode
:• IBM Series (OS/400) Comm traces (ASCII & UNICODE)
:• Juniper Netscreen snoop captures
:• Symbian OS btsnoop captures
:• Tamosoft CommView captures
:• Textronix K12xx 32bit .rf5 format captures
:• Textronix K12 text file format captures
:• Wireshark .pcapng captures (Experimental)
:• ... uued failiformaadid lisanduvad aeg-ajalt uuenduste või uute versioonidega.




'''Eksporditavad formaadid:'''
=== Salvestatavad formaadid: ===


Plain text file,  
:• libpcap, tcpdump and various other tools using tcpdump's capture format (*.pcap,*.cap,*.dmp)
PostScript file,  
:• Accellent 5Views (*.5vw)
CSV e. Comma Separated Values file,  
:• HP-UX's nettl (*.TRC0,*.TRC1)
C Arrays (pakcet bytes),  
:• Microsoft Network Monitor - NetMon (*.cap)
PSML file,
:• Network Associates Sniffer - DOS (*.cap,*.enc,*.trc,*fdc,*.syc)
PDML file
:• Network Associates Sniffer - Windows (*.cap)
:• Network Instruments Observer version 9 (*.bfr)
:• Novell LANalyzer (*.tr1)
:• Sun snoop (*.snoop,*.cap)
:• Visual Networks Visual UpTime traffic (*.*)
:• ... uued failiformaadid lisanduvad aeg-ajalt uuenduste või uute versioonidega.




=== Eksporditavad formaadid: ===


:Plain text file,
:PostScript file,
:CSV e. Comma Separated Values file,
:C Arrays (pakcet bytes),
:PSML file,
:PDML file


== Lühendid. ==
= Lühendid. =




'''DNS''' - Domain Name System
:'''DNS''' - Domain Name System
'''ARP''' - Address Resolution Protocol
:'''ARP''' - Address Resolution Protocol
'''IPv4''' - Internet Protocol Version 4
:'''IPv4''' - Internet Protocol Version 4
'''ICMP''' - Internet Control Message Protocol
:'''ICMP''' - Internet Control Message Protocol
'''UDP''' - User Datagram Protocol
:'''UDP''' - User Datagram Protocol
'''TCP''' - Transmission Control Protocol
:'''TCP''' - Transmission Control Protocol
'''DHCP''' - Dynamic Host Configuration Protocol
:'''DHCP''' - Dynamic Host Configuration Protocol
'''HTTP''' - Hypertext Transfer Protocol
:'''HTTP''' - Hypertext Transfer Protocol
'''FTP''' - File Transfer Protocol
:'''FTP''' - File Transfer Protocol
'''POP''' - Post Office Protocol
:'''POP''' - Post Office Protocol
'''SMTP''' - Simple Mail Transfer Protocol
:'''SMTP''' - Simple Mail Transfer Protocol
'''IMAP''' - Internet Message Access Protocol
:'''IMAP''' - Internet Message Access Protocol




== Kasulikud lingid. ==
= Kasulikud lingid. =




Wireshark WIKI:[ http://wiki.wireshark.org/ ]
:Wireshark WIKI:[ http://wiki.wireshark.org/ ]

Latest revision as of 21:28, 30 April 2011

Margus Nairis AK31
Arvustab Alvar Teearu AK31


Üldtutvustus.

Wireshark kasvas välja Ethereal projektist, mida alustas 1997 Gerald Combs eesmärgiga õppida sügavamalt võrgundust ja leida lahendusi võrguprobleemidele.

Nüüdseks on Wireshark GNU General Public License alusel avatud koodiga võrgu pakettide analüsaator. Mida see tähendab? See tähendab, et programm püüab krabada võrgus leiduvaid pakette ning kuvada paketis leiduvat informatsiooni nii detailselt kui see võimalukuks osutub.

Wireshark ei muuda ega tee ise võrgus muud kui vaid 'kuulab' seda ja lubab kasutajal kuuldut näha, analüüsida ja salvestada.

Peamiselt osutub Wireshark kasulikuks kui Sa :

* püüad leida ja lahendada võrguprobleeme,
* tahaksid testida võrgu turvalisust,
* oled otsustanud lahata võrguprotokollide sisu erinevatel eesmärkidel.

Paigaldamine.

Wireshark on paigaldatav nii Windowsi kui ka UNIX laadsetesse keskkondadesse.

Lae oma platvormile sobiv Wireshark'i viimane versioon alla aadreesilt : [ http://www.wireshark.org/download.html ]
NB! Järgi paigaldamisjuhiseid vastavalt oma operatsioonisüsteemile!


Wireshark komponendid:

Wireshark GTK - Graafilise kasutjaliidesega paketianalüsaator.
TShark - Käsurealt juhitav paketianalüsaator


Pluginad / Laiendused :

Dissector Plugins - Pluginad laiendatud tükeldamiseks.
Tree Statistics Plugins - Pluginad sügavama statistika tarbeks.
Mate - Meta Analysis and Tracing Engine (experimental) - Kasutaja konfigureeritav laiendus kuvafiltrile, misläbi saab luua seoseid ja kasutajale sobivama protokollipuu kuvamise. ( [ http://wiki.wireshark.org/Mate ] )
SNMP MIBs -

Tööriistad:

Editcap - Programm, mis oskab capture faili lugeda ja ka kirjutada sinna pakettide info vastavalt kasutaja tahtmisele, kas kõik või valitud osa sellest.
Text2Pcap - Programm, mis loeb sisse ASCII hex dump'i ning kirjutab andmed libcap-stiilis capture faili.
Mergecap - Programm, mis kombineerib mitmed salvestatud capture failid ühte faili kokku.
Capinfos - Capinfos is a program that provides information on capture files.
Rawshark - Rawshark is a raw packet filter.


User's Guide - Lokaalselt installeeritud kasutusjuhend säästab abi allalaadimisest internetist, kui mistahes dialoogiaknas vajutate Help nuppu.


NB! Wiresharki installatsioonipakett sisaldab ka WinPcap installerit, milleta ei ole võimalik reaalajas võrguliiklust püüda, kuid ilma milleta on siiski võimalik avada eelnevalt salvestatud wiresharki faile.


Kasutamine.

Siinkohal ON mõistlik tutvuda Wireshark ametliku dokumentatsiooni ja kasutusjuhendiga. [ http://www.wireshark.org/docs/ ]


Pilt aktiivses kasutuses olevast Wiresharkist:


Näide, kus on näha lahtiselt üle võrgu saadetav salasõna:


Laetavate failide formaadid:

• libpcap, tcpdump ja teised tööriistad, mis kasutavad tcpdump formaati
• Sun snoop ja atmsnoop
• Shomiti/Finisar Surveyor
• Novell LANalyzer capture failid
• Microsoft Network Monitor capture failid
• AIX's iptrace poolt püütu
• Cinco Networks NetXray captures
• Network Associates Windows-based Sniffer and Sniffer Pro captures
• Network General/Network Associates DOS-based Sniffer (compressed or uncompressed) captures
• AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek/EtherHelp/PacketGrabber captures
• RADCOM's WAN/LAN Analyzer captures
• Network Instruments Observer version 9 captures
• Lucent/Ascend router debug output
• HP-UX's nettl
• Toshiba's ISDN routers dump output
• ISDN4BSD i4btrace utility
• traces from the EyeSDN USB S0
• IPLog format from the Cisco Secure Intrusion Detection System
• pppd logs (pppdump format)
• the output from VMS's TCPIPtrace/TCPtrace/UCX$TRACE utilities File Input / Output and Printing
• the text output from the DBS Etherwatch VMS utility
• Visual Networks' Visual UpTime traffic capture
• the output from CoSine L2 debug
• the output from Accellent's 5Views LAN agents
• Endace Measurement Systems' ERF format captures
• Linux Bluez Bluetooth stack hcidump -w traces
• Catapult DCT2000 .out files
• Gammu generated text output from Nokia DCT3 phones in Netmonitor mode
• IBM Series (OS/400) Comm traces (ASCII & UNICODE)
• Juniper Netscreen snoop captures
• Symbian OS btsnoop captures
• Tamosoft CommView captures
• Textronix K12xx 32bit .rf5 format captures
• Textronix K12 text file format captures
• Wireshark .pcapng captures (Experimental)
• ... uued failiformaadid lisanduvad aeg-ajalt uuenduste või uute versioonidega.


Salvestatavad formaadid:

• libpcap, tcpdump and various other tools using tcpdump's capture format (*.pcap,*.cap,*.dmp)
• Accellent 5Views (*.5vw)
• HP-UX's nettl (*.TRC0,*.TRC1)
• Microsoft Network Monitor - NetMon (*.cap)
• Network Associates Sniffer - DOS (*.cap,*.enc,*.trc,*fdc,*.syc)
• Network Associates Sniffer - Windows (*.cap)
• Network Instruments Observer version 9 (*.bfr)
• Novell LANalyzer (*.tr1)
• Sun snoop (*.snoop,*.cap)
• Visual Networks Visual UpTime traffic (*.*)
• ... uued failiformaadid lisanduvad aeg-ajalt uuenduste või uute versioonidega.


Eksporditavad formaadid:

Plain text file,
PostScript file,
CSV e. Comma Separated Values file,
C Arrays (pakcet bytes),
PSML file,
PDML file

Lühendid.

DNS - Domain Name System
ARP - Address Resolution Protocol
IPv4 - Internet Protocol Version 4
ICMP - Internet Control Message Protocol
UDP - User Datagram Protocol
TCP - Transmission Control Protocol
DHCP - Dynamic Host Configuration Protocol
HTTP - Hypertext Transfer Protocol
FTP - File Transfer Protocol
POP - Post Office Protocol
SMTP - Simple Mail Transfer Protocol
IMAP - Internet Message Access Protocol


Kasulikud lingid.

Wireshark WIKI:[ http://wiki.wireshark.org/ ]
Retrieved from "https://wiki.itcollege.ee/index.php?title=Wireshark&oldid=28915"