כיצד ללכוד תעבורת HTTP ב-Wireshark

Wireshark מאפשר לך לנתח את התעבורה בתוך הרשת שלך עם כלים שונים. אם אתה רוצה לראות מה קורה בתוך הרשת שלך או שיש לך בעיות עם תעבורת רשת או טעינת דפים, אתה יכול להשתמש ב-Wireshark. זה מאפשר לך ללכוד את התעבורה, כדי שתוכל להבין מה הבעיה או לשלוח אותה לתמיכה לסיוע נוסף. המשך לקרוא מאמר זה, ותלמד כיצד ללכוד תעבורת http ב-Wireshark.

התקנת Wireshark

התקנת Wireshark היא תהליך קל. זהו כלי חינמי על פני פלטפורמות שונות, והנה כיצד ניתן להוריד ולהתקין אותו:

משתמשי Windows ו-Mac

  1. פתח את הדפדפן שלך.
  2. בקר בכתובת //www.wireshark.org/download.html.
  3. בחר את הגרסה עבור המכשיר שלך.

  4. הורדה של Wireshark למכשיר שלך.
  5. התקן אותו על ידי ביצוע ההוראות בחבילה.

משתמשי לינוקס

אם אתה משתמש לינוקס, אתה יכול למצוא את Wireshark במרכז התוכנה של אובונטו. הורד אותו משם והתקן אותו לפי ההוראות בחבילה.

לכידת תנועת HTTP ב-Wireshark

כעת, לאחר שהתקנת את Wireshark במחשב שלך, נוכל לעבור ללכידת תעבורת http. להלן השלבים לעשות זאת:

  1. פתח את הדפדפן שלך - אתה יכול להשתמש בכל דפדפן.
  2. נקה מטמון - לפני לכידת התנועה, עליך לנקות את המטמון של הדפדפן שלך. אתה יכול לעשות זאת אם אתה עובר להגדרות הדפדפן שלך.

  3. פתח את Wireshark.

  4. הקש על "ללכוד".

  5. הקש על "ממשקים". כעת תראה חלון קופץ על המסך שלך.
  6. בחר את הממשק. אתה בטח רוצה לנתח את התעבורה שעוברת דרך מנהל ההתקן שלך ברשת.

  7. לאחר שבחרת את הממשק, הקש על "התחל" או הקש על "Ctrl + E."

  8. כעת חזור לדפדפן שלך ובקר בכתובת ה-URL שממנה אתה רוצה ללכוד תנועה.

  9. לאחר שתסיים, תפסיק לתפוס תנועה. חזור אל Wireshark והקש על "Ctrl + E."

  10. שמור את התנועה שנלכדה. אם יש לך בעיות רשת וברצונך לשלוח את התעבורה שנלכדה לתמיכה, שמור אותה בקובץ בפורמט *.pcap.

לכידת מנות ב-Wireshark

מלבד לכידת תעבורת http, אתה יכול ללכוד כל נתוני רשת שאתה צריך ב-Wireshark. הנה איך אתה יכול לעשות זאת:

  1. פתח את Wireshark.

  2. תראה רשימה של חיבורי רשת זמינים שתוכל לבחון. בחר את זה שאתה מעוניין בו. אם תרצה, תוכל לנתח מספר חיבורי רשת בו-זמנית על ידי לחיצה על "Shift + לחיצה שמאלית".

  3. עכשיו אתה יכול להתחיל ללכוד מנות. אתה יכול לעשות זאת בכמה דרכים: הראשונה היא על ידי הקשה על סמל סנפיר הכריש בפינה השמאלית העליונה. השני הוא הקשה על "ללכוד" ואז הקשה על "התחל". הדרך השלישית להתחיל ללכוד היא על ידי הקשה על "Ctrl + E."

בזמן הלכידה, Wireshark יציג את כל החבילות שנלכדו בזמן אמת. לאחר שתסיים ללכוד מנות, תוכל להשתמש באותם כפתורים/קיצורים כדי להפסיק את הלכידה.

מסנני Wireshark

אחת הסיבות לכך ש-Wireshark הוא אחד מנתחי הפרוטוקולים המפורסמים ביותר כיום היא היכולת שלו להחיל מסננים שונים על החבילות שנלכדו. ניתן לחלק את מסנני Wireshark למסנני לכידה ותצוגה.

מסנני לכידה

מסננים אלה מוחלים לפני לכידת נתונים. אם Wireshark לוכד נתונים שאינם תואמים למסננים, הוא לא ישמור אותם, ולא תראה אותם. לכן, אם אתה יודע מה אתה מחפש, אתה יכול להשתמש במסנני לכידה כדי לצמצם את החיפוש שלך.

להלן כמה ממסנני הלכידה הנפוצים ביותר שבהם אתה יכול להשתמש:

  • מארח 192.168.1.2 - לכוד את כל התעבורה הקשורה ל-192.168.1.2.
  • יציאה 443 - לכוד את כל התעבורה הקשורה ליציאה 443.
  • יציאה לא 53 - לכוד את כל התעבורה מלבד זו המשויכת ליציאה 53.

מסננים לתצוגה

בהתאם למה שאתה מנתח, ייתכן שיהיה קשה מאוד לעבור את החבילות שנלכדו. אם אתה יודע מה אתה מחפש, או אם אתה רוצה לצמצם את החיפוש ולא לכלול את הנתונים שאתה לא צריך, אתה יכול להשתמש במסנני תצוגה.

להלן כמה ממסנני התצוגה שבהם תוכל להשתמש:

  • http - אם תפסת מספר מנות שונות, אבל אתה רוצה לראות רק את התעבורה המבוססת על http, אתה יכול להחיל מסנן תצוגה זה, ו-Wireshark יראה לך רק את החבילות האלה.
  • http.response.code == 404 - אם אתה מתקשה לטעון דפי אינטרנט מסוימים, מסנן זה עשוי להיות שימושי. אם תחיל אותו, Wireshark יציג רק את החבילות שבהן "404: עמוד לא נמצא" הייתה תגובה.

חשוב לשים לב להבדל בין מסנני לכידה לתצוגה. כפי שראית, אתה מחיל מסנני לכידה לפני, ומציג מסננים לאחר לכידת מנות. עם מסנני לכידה, אתה משליך את כל החבילות שאינן מתאימות למסננים. עם מסנני תצוגה, אינך משליך אף חבילה. אתה פשוט מסתיר אותם מהרשימה ב-Wireshark.

תכונות Wireshark נוספות

למרות שלכידה וסינון מנות הם מה שהופך את Wireshark למפורסם, הוא מציע גם אפשרויות שונות שיכולות להקל על הסינון ופתרון הבעיות שלך, במיוחד אם אתה חדש בזה.

אפשרות צבע

אתה יכול לצבוע מנות ברשימת המנות לפי מסנני תצוגה שונים. זה מאפשר לך להדגיש את החבילות שאתה רוצה לנתח.

ישנם שני סוגים של כללי צביעה: זמני וקבוע. כללים זמניים מיושמים רק עד לסגירת התוכנית, וכללים קבועים נשמרים עד שתשנה אותם בחזרה.

אתה יכול להוריד כללי צביעה לדוגמה כאן, או שאתה יכול ליצור משלך.

מצב מופקר

Wireshark לוכד תעבורה שמגיעה אל או מהמכשיר שבו הוא פועל. על ידי הפעלת המצב המופקר, אתה יכול ללכוד את רוב התעבורה ברשת ה-LAN שלך.

שורת הפקודה

אם אתה מפעיל את המערכת שלך ללא GUI (ממשק משתמש גרפי), אתה יכול להשתמש בממשק שורת הפקודה של Wireshark. אתה יכול ללכוד מנות ולסקור אותן ב-GUI.

סטָטִיסטִיקָה

Wireshark מציע תפריט "סטטיסטיקה" שבו אתה יכול להשתמש כדי לנתח מנות שנלכדו. לדוגמה, אתה יכול להציג מאפייני קובץ, לנתח תעבורה בין שתי כתובות IP וכו'.

שאלות נפוצות

כיצד אוכל לקרוא את הנתונים שנלכדו ב-WireShark?

לאחר שתסיים ללכוד מנות, Wireshark יציג את כולן בחלונית רשימת מנות. אם ברצונך להתמקד בצילום מסוים, לחץ עליו פעמיים ותוכל לקרוא מידע נוסף אודותיו.

אתה יכול להחליט לפתוח לכידה מסוימת בחלון נפרד לניתוח קל יותר:

1. בחר את החבילה שברצונך לקרוא.

2. לחץ עליו באמצעות לחצן העכבר הימני.

3. הקש על "הצג".

4. הקש על "הצג מנות בחלון חדש".

הנה כמה פרטים מחלונית רשימת החבילות שיעזרו לך בקריאת לכידות:

1. מס' - המספר של חבילה שנלכדה.

2. זמן - זה מראה לך מתי החבילה נלכדה ביחס למועד שבו התחלת ללכוד. אתה יכול להתאים אישית ולהתאים את הערך בתפריט "הגדרות".

3. מקור - זהו המקור של חבילה שנלכדה בצורה של כתובת.

4. יעד - כתובת היעד של חבילה שנלכדה.

5. פרוטוקול - סוג החבילה שנלכדה.

6. אורך - זה מראה לך את האורך של חבילה שנלכדה. זה מתבטא בבתים.

7. מידע - מידע נוסף על חבילה שנלכדה. סוג המידע שאתה רואה כאן תלוי בסוג החבילה שנלכדה.

ניתן לצמצם את כל העמודות הנ"ל באמצעות מסנני תצוגה. בהתאם למה שאתה מעוניין בו, אתה יכול לפרש את לכידת Wireshark קלה ומהירה יותר על ידי החלת מסננים שונים.

בעולם של דגים, היה כריש

כעת למדת כיצד ללכוד תעבורת http ב-Wireshark, יחד עם מידע שימושי על התוכנית. אם אתה רוצה לבדוק את הרשת שלך, לפתור בעיות או לוודא שהכל תקין, Wireshark הוא הכלי המתאים עבורך. זה קל לשימוש ולפרש, וזה בחינם.

האם השתמשת בעבר ב-Wireshark? ספר לנו בקטע התגובות למטה.