Cisco Networking: Installera Wireshark-dummies

Wireshark är nätverksprotokollanalysator eller nätverkssniffer, vilket är ett verktyg som kan visa detaljerna i nätverkstrafiken. När du installerar Wireshark, uppmanas du under installationen att installera WinPcap, vilket är den faktiska inspelningsdrivrutinen som gör det tunga för Wireshark. Wireshark tar hand om dataskärm och analys, medan WinPcap är den infångningsdrivrutin som fångar den levande nätverkstrafiken från nätverket.

Du kan välja alla standardinställningar för installationen. Den enda verkliga frågan du kan ha är om du vill att WinPcap ska börja med operativsystemet. Om du väljer att WinPcap ska börja med operativsystemet, kommer det alltid att konsumera några av datorns resurser, även om Wireshark inte behöver WinPcap.

Normalt startar WinPcap vid behov när Wireshark körs. Om du kör Windows 7 kommer de vanliga Windows 7-säkerhetsfunktionerna att hindra WinPcap-drivrutinen från att starta när du kör Wireshark. I så fall vill du att WinPcap ska börja med operativsystemet.

Gör så här för att ställa in en grundläggande datainsamling:

1. Välj nätverkskortet som du vill använda för att utföra inspelningen genom att välja Capture → Interfaces.

   Fönstret Capture Interfaces nedan visas och visar inte bara de listade gränssnitten utan även de data som tas emot och skickas på gränssnitten på din dator.

   

2. Klicka på knappen Start bredvid ditt aktiva nätverksgränssnitt för att starta en inspelningssession.

På skärmen som visas rullar data förbi. Du ser följande tre grundläggande rutor:

• Paketlista: Den här rutan visar alla nätverksramar som har visats av ditt nätverkskort. Om ditt nätverkskort är anslutet till ett nav, blir det all trafik på nätverket. men om kortet är kopplat till en strömbrytare, kommer det bara att sända ramar och nätverksramarna adresserade till kortets MAC-adress.

  Informationen som du ser här innehåller ramnummer samt följande:

  • Tid: Antalet millisekunder som har förflutit sedan nätverksinspelningen startade.

  • Källadress: Adressen till enheten som skickade nätverksramen till nätverket. Det här kan vara en IP-adress, till exempel 192. 168. 1. 123 eller en MAC-adress som 00: 1D: 7E: F8: 23: D6.

  • Destinationsadresser: Den adress där nätverksramen skickas. Värdena och alternativen är desamma som källadressen.

  • Protokoll: Det högsta lagrets protokoll som finns i ramen.I Figur 4-10 kan du se ARP, TCP och

  • Info: Denna kolumn visar sammanfattande information om ramen. Detta är en WireShark-tolkning av vilken data som finns i ramen. Avsikten är att göra det enklare för dig att förstå vilken typ av data som finns i nätverksramen.

• Paketdetaljer: Rutan relaterade till det aktuella valda paketet i mittenramen, med en expanderande hierarki. Detta gör att du kan borra i sektionerna av dessa data - som att flytta genom OSI-skikten. Om du utökar Ethernet II-sektionen kan du jämföra data med Ethernet-ramkonstruktionen. Om du utökar Internet Protocol-sektionen kan du jämföra data till paketstrukturen.

• Packet Bytes: Den här rutan visar ASCII och hex-data som finns i ramen. Kom ihåg att alla data som skickas i nätverksramen är binära och att du kan konvertera den binära data till hexadecimal.

  Slutligen kan varje åtta bitar eller en byte representeras av ett ASCII-tecken. Den här rutan visar alla binära data i Ethernet-ram i både dess hexadecimal- och ASCII-ekvivalent. Detta kan ibland vara till hjälp när man letar efter ASCII-strängar i data. Dessa data ses i ett snyggare format i rutan Packetdetaljer.

Genom att välja olika delar av ramen i fönstret Packetdetaljer markeras den matchande sektionen i rutan Bytesbyte. Detta kan vara till hjälp om du försöker hitta en hexadecimal eller ASCII-ekvivalent för vad du ser i fönstret Packetdetaljer. Om du följer med Wireshark, försök välja olika delar av ramen i fönstret Packetdetaljer.