Захоплення мережевих пакетів за допомогою програми Wireshark

Як виконати захоплення мережевих пакетів за допомогою програми-аналізатора трафіку Wireshark?


В інтернет-центрах серії Keenetic реалізована можливість захоплення мережевих пакетів за допомогою спеціального програмного модуля (компонента). Це найзручніший спосіб зібрати дамп мережевих пакетів. Рекомендуємо використовувати саме цей метод, він описаний в статті: «Використання вбудованого модуля захоплення мережевих пакетів» 

Але також зібрати дамп мережевих пакетів можна за допомогою популярної програми Wireshark.
Wireshark — програма для аналізу мережевих протоколів, яка широко використовується для захоплення мережевих пакетів. Програма поширюється безкоштовно.
Завантажити останню версію можна з офіційного сайту програми: http://www.wireshark.org/

Виконайте встановлення на вашому комп'ютері програми Wireshark. Для виконання інсталяції дотримуйтеся вказівок Wireshark Setup Wizard.

Далі запустіть програму.

Після запуску Ви побачите головне вікно програми.

Зайдіть в меню Capture> Options або натисніть Ctrl + K для подальшого налаштування параметрів програми.

Ви побачите вікно Capture Options

У розділі Capture в полі Interface виберіть зі списку адаптер, через який відбуватиметься захоплення пакетів.

Потім натисніть кнопку  для початку захоплення пакетів. 

Підключіть ваш комп'ютер до LAN-порту вашого пристрою. Зачекайте поки ваш комп'ютер отримає IP-адресу від пристрою (якщо увімкнений DHCP-сервер), або встановіть на комп'ютері вручну IP-адресу з тієї ж підмережі, що і LAN IP-адреса пристрою.

У програмі Wireshark Ви побачите всі захоплені пакети, які присутні на LAN-порту пристрою.

Увага! Проводьте захоплення мережевих пакетів таким чином, щоб можна було побачити інформацію про трафік при виникненні проблеми.

Для завершення захоплення пакетів натисніть кнопку  на панели інструментів програми Wireshark.

Зайдіть в меню File > Save As… для збереження захоплених даних до файлу.

Виберіть місце розташування, введіть ім'я файлу і натисніть кнопку  для збереження пакетів.

За запитом від інженера технічної підтримки отриманий файл можна відправити через Систему персональних консультацій в нашу службу підтримки.

 


Для зручності пошуку / перегляду інформації про потрібны пакети в програмі Wireshark можна відфільтрувати захоплені пакети по IP-адресі або номеру порту.

Наведемо приклади:

Якщо Ви хочете зробити фільтрацію захоплених пакетів по IP-адресі призначення 88.255.67.145, в полі Filter вкажіть правило фільтру ip.dst == 88.255.67.145

Якщо Ви хочете зробити фільтрацію захоплених пакетів за певним портом TCP (наприклад, за 80 портом), в полі Filter вкажіть правило фільтру tcp.port == 80

Якщо Ви хочете зробити фільтрацію захоплених пакетів по двох IP-адресах (наприклад, по IP-адресах 88.255.67.145 та 117.85.53.223), в полі Filter вкажіть правило фільтру ip.addr == 88.255.67.145 and ip.addr == 117.85 .53.223

 

Примітка

Програма Wireshark є кросплатформена. Існують версії для більшості UNIX-подібних систем, в тому числі GNU / Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Mac OS X, а також для Windows: http://www.wireshark.org/download.html
В кінці статті наведений документ Capture_Wireless_Packets_with_Ubuntu_Linux_Dongle.pdf англійською мовою, в якому показаний приклад використання завантажувальноі USB-флешки з ОС Ubuntu Linux для захоплення мережевих пакетів за допомогою Wireshark.

 

 

KB-1793

Чи була ця стаття корисною?

65 з 87 вважають статтю корисною