1. Cattura del traffico:
* Selezione dell'interfaccia: Inizia Wireshark. Ti verranno presentati un elenco di interfacce di rete. Scegli l'interfaccia in cui il traffico TCP/UDP che si desidera analizzare. Questo è cruciale. La scelta dell'interfaccia errata acquisirà dati irrilevanti. Se non sei sicuro, guarda i nomi e le descrizioni dell'interfaccia:un adattatore Wi-Fi sarà chiaramente etichettato come tale.
* Avvia cattura: Fai clic sul pulsante "Avvia" per iniziare a catturare i pacchetti. Wireshark inizierà a catturare tutto il traffico sull'interfaccia selezionata. Lascia che l'acquisizione funzioni per un momento sufficiente per assicurarti di catturare gli eventi pertinenti.
* Filtro (opzionale, ma altamente raccomandato): Per evitare di schiacciarti con dati irrilevanti, utilizzare i filtri. Puoi filtrare da:
* Protocollo: `TCP` o` UDP` mostreranno solo pacchetti TCP o UDP, rispettivamente.
* Indirizzo IP: `ip.addr ==192.168.1.100` mostrerà solo pacchetti da o verso questo indirizzo IP.
* Porta: `tcp.port ==80` mostrerà solo il traffico TCP sulla porta 80 (HTTP). `udp.port ==53` mostrerà solo il traffico UDP sulla porta 53 (DNS).
* Combinazione: Puoi combinare i filtri. Ad esempio, `TCP e porta 80 e ip.addr ==192.168.100` mostreranno solo il traffico TCP sulla porta 80 a o da 192.168.1.100. Usa `||` (o) per combinare diversi criteri di filtro.
* Filtri di visualizzazione: Questi filtri vengono applicati * dopo * l'acquisizione è completa e influiscono su ciò che viene visualizzato. Sono applicati nel campo "Display Filter" nella parte superiore della finestra Wireshark.
* Filtri di acquisizione: Questi filtri vengono applicati * prima che * la cattura inizia anche, dicendo a Wireshark di catturare solo pacchetti corrispondenti ai criteri del filtro. Sono impostati nella finestra di dialogo "Acquisizione dei filtri".
2. Analisi del traffico catturato:
Dopo aver catturato il traffico pertinente, Wireshark presenta i pacchetti in un elenco. Ogni riga rappresenta un singolo pacchetto. Le colonne chiave includono:
* NO.: Numero di pacchetto.
* Tempo: Timestamp dell'arrivo dei pacchetti.
* Fonte: Indirizzo IP di origine e porta.
* Destinazione: Indirizzo IP di destinazione e porta.
* Protocollo: Protocollo utilizzato (TCP, UDP, ecc.).
* Lunghezza: Lunghezza del pacchetto.
Analisi TCP specifica:
* flusso TCP: Fare clic con il pulsante destro del mouse su un pacchetto TCP e selezionare "Segui" -> "Stream TCP." Ciò ti mostrerà l'intera conversazione tra l'origine e la destinazione, spesso ricostruendo i dati a livello di applicazione (ad esempio, richieste e risposte HTTP).
* Flag di segmento TCP: Esamina i flag TCP (SYN, ACK, FIN, RST, PSH, ecc.) Entro i dettagli del pacchetto. Queste bandiere sono cruciali per comprendere lo stato della connessione TCP.
* Numeri di sequenza e riconoscimento: Analizzare la sequenza e i numeri di riconoscimento per comprendere il flusso di dati e identificare potenziali ritrasmissioni (a causa della perdita di pacchetti).
* Dimensione della finestra: Osservare le dimensioni della finestra per diagnosticare potenziali problemi di controllo della congestione.
Analisi UDP specifica:
* Segui Stream UDP: Fare clic con il pulsante destro del mouse su un pacchetto UDP e selezionare "Segui" -> "Stream UDP." A differenza di TCP, UDP non garantisce la consegna o l'ordine. Il flusso mostrerà semplicemente i dati grezzi inviati in ciascun pacchetto UDP.
* Ispezione del payload: Esaminare il payload del pacchetto UDP per comprendere i dati a livello di applicazione (ad esempio, query e risposte DNS). Spesso è necessario conoscere il protocollo dell'applicazione (DNS, DHCP, ecc.) Per interpretare correttamente il carico utile. I sezionatori del protocollo di Wireshark aiutano in questo.
3. Utilizzando le funzionalità di Wireshark:
* Gerarchia del protocollo: Il riquadro dei dettagli del pacchetto mostra una rottura gerarchica della struttura del pacchetto, che consente di esaminare ogni livello (Ethernet, IP, TCP/UDP, applicazione).
* Codifica a colori: Wireshark utilizza codifica a colori per evidenziare diversi aspetti del traffico di rete, come le ritrasmissioni TCP.
* Informazioni sugli esperti: Cerca avvertimenti ed errori contrassegnati nella sezione "INFORMAZIONE ESPERTENZA". Ciò può evidenziare potenziali problemi come pacchetti caduti o problemi di connessione.
* Statistiche: Wireshark fornisce varie statistiche in grado di fornire riassunti del traffico catturato.
Scenari di esempio:
* Risoluzione dei problemi di una connessione al sito Web: Acquisisci il traffico mentre tenta di accedere a un sito Web, filtrare tramite `TCP e porta 80` o` TCP e porta 443`, ed esaminare le richieste e le risposte HTTP nel flusso TCP per identificare i problemi.
* Analisi delle query DNS: Acquisisci il traffico, filtra per `UDP e porta 53`, ed esamina le query e le risposte DNS per vedere quali server DNS vengono contattati e quali record vengono richiesti.
* Indagare sulla congestione della rete: Acquisisci traffico e analizza le dimensioni delle finestre TCP e le ritrasmissioni per identificare potenziali punti di congestione.
Usando efficacemente il filtro, i seguenti flussi ed esaminando i dettagli dei pacchetti, Wireshark consente di analizzare profondamente il traffico TCP e UDP, aiutando a diagnosticare i problemi di rete e comprendere il comportamento della rete. Ricorda di consultare la vasta documentazione di Wireshark per tecniche più avanzate.
networking © www.354353.com