Захват сетевых пакетов с помощью программы Wireshark

В интернет-центрах Keenetic реализована возможность захвата сетевых пакетов с помощью специального программного модуля (компонента). Это самый удобный способ собрать дамп сетевых пакетов на роутере. Рекомендуем использовать именно этот метод, он описан в статье: «Захват сетевых пакетов»

Но если необходимо собрать дамп сетевых пакетов с компьютера, можно это сделать с помощью популярной программы Wireshark, которая широко используется для захвата сетевого трафика и предназначена для сбора и анализа сетевых пакетов/протоколов. Программа распространяется бесплатно. Скачать последнюю версию можно с официального сайта программы.

wshk-01.png

Выполните установку Wireshark на компьютере, следуя инструкциям установщика Wireshark Setup Wizard.

Далее запустите программу. Вы увидите основное окно.

wshk-02.png

Нажмите по интерфейсу (двойным щелчком мыши), через который автоматически будет запущен захват пакетов.

NOTE: Важно! Выполните захват сетевых пакетов таким образом, чтобы можно было увидеть информацию о трафике при возникновении проблемы.

В программе Wireshark вы увидите все захваченные пакеты.

wshk-03.png

Для остановки захвата пакетов нажмите на соответствующую кнопку на панели инструментов программы Wireshark.

Если нужно будет снова начать захват пакетов, нажмите на соответствующую кнопку для запуска.

wshk-04.png

Зайдите в меню "Файл > Сохранить" для сохранения захваченных данных в файл.

wshk-05.png

Выберите местоположение файла, введите имя и нажмите кнопку "Сохранить".

wshk-06.png

По запросу от инженера технической поддержки полученный файл можно отправить в нашу службу поддержки.

TIP: Совет: Для удобства поиска/просмотра информации о нужных пакетах в программе Wireshark можно отфильтровать захваченные пакеты по IP-адресу или номеру порта.

Приведем примеры:

Если вы хотите сделать фильтрацию захваченных пакетов по IP-адресу назначения 104.16.54.111, в поле фильтрации укажите правило ip.dst==104.16.54.111

wshk-07.png

Если вы хотите сделать фильтрацию захваченных пакетов по определенному порту TCP (например, по 80 порту), в поле фильтрации укажите правило tcp.port==80

wshk-08.png

Если вы хотите сделать фильтрацию захваченных пакетов по определенному IP-адресу (например, по IP 192.168.1.99), в поле фильтрации укажите правило ip.addr==192.168.1.99
В этом случае будут показаны только пакеты, в которых присутствует указанный IP-адрес источника или назначения.

wshk-09.png

Для фильтрации только DHCP-запросов, в поле фильтрации впишите bootp или udp.port==68

Для фильтрации только WoL-запросов (Wake on LAN), в поле фильтрации впишите wol или wol.sync == ff:ff:ff:ff:ff:ff

Полную информацию о синтаксисе фильтра Display Filter вы найдете на странице https://wiki.wireshark.org/DisplayFilters

Многочисленные различные примеры дампов сетевого трафика вы можете найти на странице https://wiki.wireshark.org/SampleCaptures

TIP: Примечание

Программа Wireshark является кроссплатформенной. На сайте Wireshark существуют версии для большинства UNIX-подобных систем, в том числе GNU/Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Mac OS X, а также для Windows.
В документе Capture Wireless Packets with Ubuntu Linux Dongle.pdf (на английском языке) показан пример использования загрузочной USB-флэшки с ОС Ubuntu Linux для захвата сетевых пакетов с помощью Wireshark.

 

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 66 из 88