Изображение

Введение в Wireshark


Wireshark — это мощный инструмент для анализа сетевого трафика, который является незаменимым помощником в области компьютерной экспертизы и кибербезопасности. Этот бесплатный анализатор протоколов позволяет перехватывать, анализировать и декодировать сетевые пакеты в режиме реального времени, что делает его основным инструментом для расследования сетевых инцидентов, анализа производительности и выявления угроз безопасности.

Что такое Wireshark?


Wireshark (ранее известный как Ethereal) — это кроссплатформенный анализатор сетевых протоколов с открытым исходным кодом. Инструмент позволяет экспертам:

- Перехватывать сетевой трафик в реальном времени
- Анализировать различные сетевые протоколы
- Декодировать зашифрованные данные (где возможно)
- Создавать детальные отчеты о сетевой активности
- Выявлять аномалии и потенциальные угрозы

Установка и настройка Wireshark


Системные требования


**Минимальные требования:**
- Операционная система: Windows 7+, macOS 10.12+, Linux
- Процессор: 1 ГГц
- ОЗУ: 2 ГБ
- Свободное место: 500 МБ

**Рекомендуемые требования:**
- Операционная система: Windows 10+, macOS 10.15+, Ubuntu 20.04+
- Процессор: 2+ ядра, 2+ ГГц
- ОЗУ: 8+ ГБ
- Свободное место: 2+ ГБ
- Сетевая карта с поддержкой promiscuous mode

Процесс установки


**Windows:**
1. Скачайте установщик с официального сайта wireshark.org
2. Запустите установщик от имени администратора
3. Выберите компоненты: Wireshark, WinPcap/Npcap, TShark
4. Следуйте инструкциям мастера установки
5. Перезагрузите систему

**Linux (Ubuntu/Debian):**
bash
sudo apt update

sudo apt install wireshark

sudo usermod -a -G wireshark $USER


**macOS:**
bash
brew install wireshark


Первоначальная настройка


1. **Настройка прав доступа:**
- Добавьте пользователя в группу wireshark
- Настройте права на захват пакетов

2. **Конфигурация интерфейсов:**
- Выберите сетевые интерфейсы для мониторинга
- Настройте фильтры захвата

3. **Настройка профилей:**
- Создайте профили для разных типов анализа
- Настройте цветовую схему для протоколов

Интерфейс и основные компоненты


Главное окно Wireshark


**Панель инструментов:**
- Кнопки запуска/остановки захвата
- Фильтры захвата и отображения
- Навигация по пакетам
- Экспорт и печать

**Панель списка пакетов:**
- Номер пакета
- Время захвата
- Исходный и целевой IP-адреса
- Протокол
- Длина пакета
- Информация о пакете

**Панель деталей пакета:**
- Иерархическое представление заголовков
- Декодированные поля протоколов
- Шестнадцатеричное представление

**Панель байтов:**
- Шестнадцатеричный дамп пакета
- ASCII представление данных
- Подсветка выбранных полей

Основные меню


**File (Файл):**
- Открытие/сохранение файлов захвата
- Экспорт данных в различные форматы
- Импорт файлов других анализаторов

**Edit (Правка):**
- Настройка предпочтений
- Поиск пакетов
- Копирование данных

**View (Вид):**
- Настройка отображения
- Фильтрация пакетов
- Статистика

**Go (Переход):**
- Навигация по пакетам
- Поиск по времени
- Переход к следующему/предыдущему пакету

**Capture (Захват):**
- Настройка интерфейсов
- Параметры захвата
- Фильтры захвата

**Analyze (Анализ):**
- Анализ протоколов
- Следование потокам
- Экспертные системы

**Statistics (Статистика):**
- Общая статистика
- Статистика протоколов
- Графики и диаграммы

Захват сетевого трафика


Настройка захвата


**Выбор интерфейса:**
1. Capture → Interfaces
2. Выберите активный сетевой интерфейс
3. Нажмите "Start" для начала захвата

**Параметры захвата:**
- **Buffer size:** Размер буфера (по умолчанию 1 МБ)
- **Capture packets in promiscuous mode:** Захват всех пакетов в сети
- **Limit each packet to:** Ограничение размера пакета
- **Capture filter:** Фильтр захвата (BPF синтаксис)

Фильтры захвата (Capture Filters)


**Основные фильтры BPF:**

text
<h2 id="zahvat-tolko-http-trafika">Захват только HTTP трафика</h2>

port 80



<h2 id="zahvat-trafika-mezhdu-konkretnymi-hostami">Захват трафика между конкретными хостами</h2>

host 192.168.1.100



<h2 id="zahvat-tolko-tcp-paketov">Захват только TCP пакетов</h2>

tcp



<h2 id="zahvat-trafika-opredelennoy-podseti">Захват трафика определенной подсети</h2>

net 192.168.1.0/24



<h2 id="zahvat-paketov-opredelennogo-razmera">Захват пакетов определенного размера</h2>

greater 1000



<h2 id="kombinirovannye-filtry">Комбинированные фильтры</h2>

tcp and port 80 and host 192.168.1.100


Методы захвата


**1. Захват в реальном времени:**
- Непрерывный мониторинг сети
- Анализ активного трафика
- Выявление проблем в реальном времени

**2. Захват в файл:**
- Сохранение трафика для последующего анализа
- Долгосрочное хранение данных
- Создание архивов сетевой активности

**3. Круговой буфер:**
- Автоматическая ротация файлов
- Ограничение использования дискового пространства
- Непрерывный мониторинг с ограниченным хранением

Анализ протоколов


Основные сетевые протоколы


**Ethernet (IEEE 802.3):**
- Анализ MAC-адресов
- Определение типа кадра
- Выявление дублированных MAC-адресов

**IP (Internet Protocol):**
- Анализ IP-адресов
- Проверка фрагментации
- Анализ TTL и опций

**TCP (Transmission Control Protocol):**
- Анализ сессий
- Отслеживание состояний соединений
- Выявление аномалий в handshake

**UDP (User Datagram Protocol):**
- Анализ датаграмм
- Проверка целостности
- Мониторинг сервисов

**HTTP/HTTPS:**
- Анализ веб-трафика
- Декодирование HTTP-запросов/ответов
- Выявление подозрительной активности

**DNS:**
- Анализ DNS-запросов
- Выявление DNS-туннелирования
- Мониторинг разрешения имен

Анализ зашифрованного трафика


**TLS/SSL анализ:**
- Расшифровка TLS-сессий (при наличии ключей)
- Анализ handshake процесса
- Выявление слабых шифров

**Методы анализа:**
1. **Pre-master secret:** Использование ключей сессии
2. **Certificate analysis:** Анализ сертификатов
3. **Cipher analysis:** Анализ используемых шифров
4. **Perfect Forward Secrecy:** Проверка PFS

Фильтрация и поиск


Display Filters (Фильтры отображения)


**Основные операторы:**
- `==` (равно)
- `!=` (не равно)
- `>` (больше)
- `=` (больше или равно)
- `