Jak przechwytywać ruch HTTP w Wireshark?

Wireshark pozwala analizować ruch w sieci za pomocą różnych narzędzi. Jeśli chcesz zobaczyć, co dzieje się w Twojej sieci lub masz problemy z ruchem sieciowym lub ładowaniem strony, możesz użyć Wireshark. Umożliwia przechwytywanie ruchu, dzięki czemu możesz zrozumieć, na czym polega problem lub wysłać go do pomocy technicznej w celu uzyskania dalszej pomocy. Czytaj dalej ten artykuł, a dowiesz się, jak przechwytywać ruch http w Wireshark.

Instalowanie Wiresharka

Instalacja Wireshark to łatwy proces. Jest to bezpłatne narzędzie na różnych platformach, a oto jak możesz je pobrać i zainstalować:

Użytkownicy Windowsa i Maca

  1. Otwórz przeglądarkę.
  2. Odwiedź stronę //www.wireshark.org/download.html.
  3. Wybierz wersję dla swojego urządzenia.

  4. Wireshark zostanie pobrany na Twoje urządzenie.
  5. Zainstaluj go, postępując zgodnie z instrukcjami w pakiecie.

Użytkownicy Linuksa

Jeśli jesteś użytkownikiem Linuksa, możesz znaleźć Wireshark w Centrum oprogramowania Ubuntu. Pobierz go stamtąd i zainstaluj zgodnie z instrukcjami zawartymi w pakiecie.

Przechwytywanie ruchu HTTP w Wireshark

Teraz, gdy zainstalowałeś Wireshark na swoim komputerze, możemy przejść do przechwytywania ruchu http. Oto kroki, aby to zrobić:

  1. Otwórz przeglądarkę – możesz użyć dowolnej przeglądarki.
  2. Wyczyść pamięć podręczną — przed przechwyceniem ruchu należy wyczyścić pamięć podręczną przeglądarki. Możesz to zrobić, przechodząc do ustawień przeglądarki.

  3. Otwórz Wireshark.

  4. Dotknij „Przechwyć”.

  5. Dotknij „Interfejsy”. Na ekranie pojawi się wyskakujące okienko.
  6. Wybierz interfejs. Prawdopodobnie chcesz przeanalizować ruch przechodzący przez sterownik Ethernet.

  7. Po wybraniu interfejsu dotknij "Start" lub "Ctrl + E".

  8. Teraz wróć do przeglądarki i odwiedź adres URL, z którego chcesz przechwytywać ruch.

  9. Gdy skończysz, przestań przechwytywać ruch. Wróć do Wireshark i dotknij "Ctrl + E".

  10. Zapisz przechwycony ruch. Jeśli masz problemy z siecią i chcesz wysłać przechwycony ruch do obsługi, zapisz go w pliku w formacie *.pcap.

Przechwytywanie pakietów w Wireshark

Oprócz przechwytywania ruchu http, możesz przechwycić dowolne dane sieciowe w Wireshark. Oto jak możesz to zrobić:

  1. Otwórz Wireshark.

  2. Zobaczysz listę dostępnych połączeń sieciowych, które możesz sprawdzić. Wybierz ten, który Cię interesuje. Jeśli chcesz, możesz analizować wiele połączeń sieciowych jednocześnie, naciskając „Shift + Lewy przycisk myszy”.

  3. Teraz możesz zacząć przechwytywać pakiety. Możesz to zrobić na kilka sposobów: Pierwszym z nich jest dotknięcie ikony płetwy rekina w lewym górnym rogu. Drugi to dotknięcie „Przechwyć”, a następnie „Rozpocznij”. Trzecim sposobem rozpoczęcia przechwytywania jest naciśnięcie „Ctrl + E”.

Podczas przechwytywania Wireshark wyświetli wszystkie przechwycone pakiety w czasie rzeczywistym. Po zakończeniu przechwytywania pakietów możesz użyć tych samych przycisków/skrótów, aby zatrzymać przechwytywanie.

Filtry Wireshark

Jednym z powodów, dla których Wireshark jest obecnie jednym z najbardziej znanych analizatorów protokołów, jest możliwość zastosowania różnych filtrów do przechwyconych pakietów. Filtry Wireshark można podzielić na filtry przechwytywania i wyświetlania.

Filtry przechwytywania

Filtry te są stosowane przed przechwytywaniem danych. Jeśli Wireshark przechwyci dane, które nie pasują do filtrów, nie zapisze ich i nie zobaczysz ich. Jeśli więc wiesz, czego szukasz, możesz użyć filtrów przechwytywania, aby zawęzić wyszukiwanie.

Oto niektóre z najczęściej używanych filtrów przechwytywania, których możesz użyć:

  • host 192.168.1.2 – Przechwytuje cały ruch związany z 192.168.1.2.
  • port 443 — przechwytuje cały ruch związany z portem 443.
  • port not 53 – przechwytuje cały ruch z wyjątkiem ruchu związanego z portem 53.

Filtry wyświetlania

W zależności od tego, co analizujesz, przechwycone pakiety mogą być bardzo trudne do przejścia. Jeśli wiesz, czego szukasz lub chcesz zawęzić wyszukiwanie i wykluczyć dane, których nie potrzebujesz, możesz użyć filtrów wyświetlania.

Oto niektóre z filtrów wyświetlania, których możesz użyć:

  • http – jeśli przechwyciłeś wiele różnych pakietów, ale chcesz zobaczyć tylko ruch oparty na http, możesz zastosować ten filtr wyświetlania, a Wireshark pokaże ci tylko te pakiety.
  • http.response.code == 404 – Jeśli masz problemy z ładowaniem niektórych stron internetowych, ten filtr może być przydatny. Jeśli go zastosujesz, Wireshark pokaże tylko te pakiety, w których odpowiedzią było „404: Nie znaleziono strony”.

Należy zwrócić uwagę na różnicę między filtrami przechwytywania i wyświetlania. Jak widać, filtry przechwytywania stosuje się przed, a filtry wyświetlania po przechwyceniu pakietów. Dzięki filtrom przechwytywania odrzucasz wszystkie pakiety, które nie pasują do filtrów. Dzięki filtrom wyświetlania nie odrzucasz żadnych pakietów. Po prostu ukrywasz je z listy w Wireshark.

Dodatkowe funkcje Wireshark

Chociaż przechwytywanie i filtrowanie pakietów jest tym, co sprawia, że ​​Wireshark jest sławny, oferuje również różne opcje, które mogą ułatwić filtrowanie i rozwiązywanie problemów, zwłaszcza jeśli jesteś w tym nowy.

Opcja koloryzacji

Możesz pokolorować pakiety na liście pakietów zgodnie z różnymi filtrami wyświetlania. Pozwala to na podkreślenie pakietów, które chcesz analizować.

Istnieją dwa rodzaje zasad kolorowania: tymczasowe i trwałe. Reguły tymczasowe są stosowane tylko do momentu zamknięcia programu, a reguły stałe są zapisywane, dopóki nie zmienisz ich z powrotem.

Tutaj możesz pobrać przykładowe zasady kolorowania lub stworzyć własne.

Tryb rozwiązły

Wireshark przechwytuje ruch przychodzący do lub z urządzenia, na którym działa. Włączając tryb bezładny, jesteś w stanie przechwycić większość ruchu w swojej sieci LAN.

Wiersz poleceń

Jeśli używasz systemu bez graficznego interfejsu użytkownika, możesz użyć interfejsu wiersza poleceń Wireshark. Możesz przechwytywać pakiety i przeglądać je w GUI.

Statystyka

Wireshark oferuje menu „Statystyki”, którego możesz użyć do analizy przechwyconych pakietów. Na przykład możesz przeglądać właściwości plików, analizować ruch między dwoma adresami IP itp.

Często zadawane pytania

Jak mogę odczytać dane przechwycone w WireShark?

Po zakończeniu przechwytywania pakietów Wireshark pokaże je wszystkie w okienku listy pakietów. Jeśli chcesz skupić się na określonym przechwytywaniu, kliknij go dwukrotnie, aby przeczytać więcej informacji na jego temat.

Możesz zdecydować się na otwarcie konkretnego przechwycenia w osobnym oknie, aby ułatwić analizę:

1. Wybierz pakiet, który chcesz przeczytać.

2. Kliknij go prawym przyciskiem myszy.

3. Wybierz „Widok”.

4. Wybierz „Pokaż pakiet w nowym oknie”.

Oto kilka szczegółów z panelu listy pakietów, które pomogą Ci w odczytywaniu przechwyconych danych:

1. Nie. – Numer przechwyconego pakietu.

2. Czas – Pokazuje, kiedy pakiet został przechwycony w odniesieniu do momentu rozpoczęcia przechwytywania. Możesz dostosować i dostosować wartość w menu „Ustawienia”.

3. Źródło – jest to pochodzenie przechwyconego pakietu w postaci adresu.

4. Miejsce docelowe — adres docelowy przechwyconego pakietu.

5. Protokół – typ przechwyconego pakietu.

6. Długość – Pokazuje długość przechwyconego pakietu. Jest to wyrażone w bajtach.

7. Info – Dodatkowe informacje o przechwyconym pakiecie. Rodzaj wyświetlanych tu informacji zależy od typu przechwyconego pakietu.

Wszystkie powyższe kolumny można zawęzić za pomocą filtrów wyświetlania. W zależności od tego, co Cię interesuje, możesz łatwiej i szybciej interpretować przechwycenia Wireshark, stosując różne filtry.

Bądź rekinem w świecie ryb

Teraz nauczyłeś się przechwytywać ruch http w Wireshark, wraz z przydatnymi informacjami o programie. Jeśli chcesz sprawdzić swoją sieć, rozwiązać problemy lub upewnić się, że wszystko jest w porządku, Wireshark jest właściwym narzędziem dla Ciebie. Jest łatwy w użyciu i interpretacji oraz bezpłatny.

Czy używałeś wcześniej Wireshark? Powiedz nam w sekcji komentarzy poniżej.