Програмний аналізатор протоколів Wireshark

Wireshark (раніше – Ethereal) – програма-аналізатор трафика для комп'ютерних мереж Ethernet і деяких інших. Має графічний користувальницький інтерфейс. У червні 2006 року проект був перейменований в Wireshark через проблеми з торговельною маркою.

Функціональність, що надає Wireshark, дуже схожа з можливостями програми tcpdump, однак Wireshark має графічний користувальницький інтерфейс і набагато більше можливостей по сортуванню й фільтрації інформації. Програма дозволяє користувачеві переглядати весь прохідний по мережі трафік у режимі реального часу, переводячи мережну карту в нерозбірливий режим (англ. promiscuous mode).

Програма поширюється під вільною ліцензією GNU GPL і використовує для формування графічного інтерфейсу кросплатформенну бібліотеку GTK+. Існують версії для більшості типів UNIX, у тому числі GNU/Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Mac OS X, а також для Windows.

Wireshark-це додаток, що «знає» структуру різноманітних мережних протоколів, і тому дозволяє розібрати мережний пакет, відображаючи значення кожного поля протоколу будь-якого рівня. Оскільки для захоплення пакетів використовується pcap, існує можливість захоплення даних тільки з тих мереж, які підтримуються цією бібліотекою. Проте, Wireshark уміє працювати з безліччю форматів вхідних даних, відповідно, можна відкривати файли даних, захоплених іншими програмами, що розширює можливості захоплення.

При запуску програми Wireshark з'являється вікно (рис. 3.3)

Для захоплення пакетів необхідно нажати Capture/Interfaces, у вікні, що з'явилося, вибрати інтерфейс на якому буде відбуватися захоплення пакетів.

Після захоплення необхідних пакетів необхідно зупинити процедуру захоплення нажавши на кнопку Capture/Stop.

Далі можна приступати до аналізу пакетів, нижче наведений приклад перехопленого пакета ARP.

No. Time Source Destination Protocol Info

12 1.690642 Cisco_2a:49:c2 Broadcast ARP Who has 78.26.143.107? Tell 78.26.143.1

Рисунок 3 – Стартове вікно програми Wireshark

Frame 12 (60 bytes on wire, 60 bytes captured)

Arrival Time: Sep 1, 2010 00:11:12.773022000

[Time delta from previous captured frame: 0.369128000 seconds]

[Time delta from previous displayed frame: 0.369128000 seconds]

[Time since reference or first frame: 1.690642000 seconds]

Frame Number: 12

Frame Length: 60 bytes

Capture Length: 60 bytes

[Frame is marked: False]

[Protocols in frame: eth:arp]

[Coloring Rule Name: ARP]

[Coloring Rule String: arp]

Ethernet II, Src: Cisco_2a:49:c2 (00:1a:6c:2a:49:c2), Dst: Broadcast (ff:ff:ff:ff:ff:ff)

Destination: Broadcast (ff:ff:ff:ff:ff:ff)

Source: Cisco_2a:49:c2 (00:1a:6c:2a:49:c2)

Type: ARP (0x0806)

Trailer: 000000000000000000000000000000000000

Address Resolution Protocol (request)