Wireshark

Wireshark (dříve Ethereal) je počítačová aplikace pro analýzu provozu v počítačových sítích, která se používá pro zjišťování a odstraňování problémů v počítačových sítích, vývoj komunikačních protokolů a softwaru a studium síťové komunikace.

Wireshark nabízí velice podobné funkce jako tcpdump, navíc však obsahuje mnohem větší počet (stovky) analyzerů komunikačních protokolů a formátů (anglicky dissector), grafické uživatelské rozhraní a mnoho možností uspořádání a filtrování zobrazených informací. Aplikace umí přepnout síťovou kartu do promiskuitního režimu a díky tomu dokáže zachytávat veškerou komunikaci na připojeném médiu.

Wireshark je Multiplatformní software, používající GTK+ widget toolkit pro implementaci uživatelského rozhraní, a pcap na zachytávání paketů; funguje na různých UN*X operačních systémech jako Linux, Mac OS X, BSD a Solaris, a na Microsoft Windows. Program má i terminálovou (bez GUI) verzi zvanou TShark. +more Wireshark, a ostatní programy s ním distribuované, jako TShark, jsou Svobodný software, vydaný pod GNU General Public License.

Funkce

Wireshark je velmi podobný tcpdump, má ale navíc grafické uživatelské rozhraní, plus integrované řadící a filtrovací volby.

Wireshark umožňuje uživateli nastavit síťová rozhraní, která to podporují, do promiskuitního módu, čímž umožní vidět veškerý provoz na těchto rozhraních, včetně broadcastu a multicastu, ne jen provoz určený jedné určité adrese rozhraní. Nicméně, při zachytávání paketů analyzátorem v promiskuitním módu na portu switche se nemusí veškerý provoz skrze switch nutně dostat na port, kde se zrovna zachytává, takže zachytávání v promiskuitním modu nebude dostačující pro veškerý provoz na síti. +more Je nutné využít port mirroring nebo různá zařízení rozšiřující příjem do zvolené části sítě.

Na Linuxu, BSD, a Mac OS X s libpcap 1.0.0 a novějšími umí Wireshark od 1.4 přepínat Wi-Fi adaptéry do monitor mode.

Vlastnosti

Wireshark je software, který rozumí struktuře různých síťových protokolů. Díky tomu je schopen zobrazit zapouzdření a další pole i s jejich významy pro různé pakety odlišných protokolů. +more Wireshark používá pro zachytávání paketů knihovnu pcap, takže zachytí pouze pakety typů, které pcap podporuje.

* Data mohou být zachycena přímo z "drátu" živé sítě nebo přečtena ze souboru, kde jsou již zachycené packety zaznamenány. * Zachytávat se může z mnoha typů sítí, jako je Ethernet, +more11'>IEEE 802. 11, PPP, a loopback. * Zachycená data mohou být procházena pomocí GUI, nebo v terminálové (příkazový řádek) verzi utility TShark. * Soubory se záznamy mohou být programově upraveny a překonvertovány pomocí přepínačů v příkazové řádce programu editcap. * Zobrazení i zachytávání dat může být upraveno pomocí filtrů. * Mohou být vytvořeny pluginy pro rozebírání nových protokolů. * VoIP volání v zachyceném provozu mohou být vymazány. Při kompatibilním kódování může být záznam dokonce přehrán. * Pomocí Wiresharku lze zachytit surový provoz na USB. Tato vlastnost je momentálně k dispozici pouze na Linuxu.

Nativní souborový formát síťového záznamu Wiresharku je libpcap podporovaný libpcap a WinPcap, tudíž je možno vyměňovat záznamové soubory s ostatními aplikacemi, které používají stejný formát, včetně tcpdump a CA NetMaster. +more Dokáže také číst záznamy z jiných síťových analyzátorů, jako snoop, Network General's Sniffer a Microsoft Network Monitor.

Bezpečnost

Na některých platformách jsou pro zachycení surového provozu na síti nutná vyšší oprávnění. Z tohoto důvodu často starší verze Ethereal/Wireshark a tethereal/TShark běžely s právy správce počítače. +more Vezmeme-li v potaz velké množství "rozebíračů" paketů, které jsou volány při zachytávání provozu, může to znamenat vážné narušení bezpečnosti v případě, že se v některém z "rozebíračů" objeví chyba. Díky docela velkému počtu slabin v minulosti (mnoho z nich umožnilo vykonání cizího kódu) a pochybnostem vývojářů o budoucím vývoji, OpenBSD odstranilo Ethereal ze svých portů před verzí OpenBSD 3. 6.

Vyšší oprávnění nejsou zapotřebí pro všechny operace. Například je možné použít tcpdump, nebo [url=http://www. +morewireshark. org/docs/man-pages/dumpcap. html]dumpcap[/url] utilitu, která je součástí Wiresharku, s právy superuživatele pro zachytávání paketů do souboru, a později je analyzovat Wiresharkem s omezenými právy. Pro analýzy téměř v reálném čase může být každý zachycený paket sloučen mergecapem do rostoucího souboru zpracovaném Wiresharkem. Na bezdrátových sítích je možné použít nástroj Aircrack na zachycení rámců IEEE 802. 11 a číst výsledný dump Wiresharkem.

Od verze 0. 99. +more7, Wireshark a TShark používají dumpcap na zachytávání provozu. Na platformách, kde jsou zapotřebí zvláštní práva na zachytávání, jsou potřeba pouze pro program dumpcap: Wireshark ani TShark nepotřebují žádná speciální privilegia a ani by s nimi neměly být spouštěny.

Odkazy

Reference

Externí odkazy

[url=http://www. wireshark. +moreorg/]www. wireshark. org[/url] - Oficiální web projektu Wireshark (anglicky) ** [url=http://wiki. wireshark. org/]Wireshark wiki[/url] * [url=http://www. root. cz/serialy/pruvodce-programem-ethereal/]Průvodce programem Ethereal[/url] * [url=http://www. slunecnice. cz/sw/wireshark/]Recenze programu a odkaz na stažení poslední verze ze serveru Slunečnice. cz[/url] * [url=http://www. systemonline. cz/it-security/wireshark-paketova-analyza-pro-vsechny. htm]Wireshark - Paketová analýza pro všechny[/url] * [url=http://www. root. cz/zpravicky/ethereal-meni-nazev-na-wireshark/]Ethereal mění název na Wireshark[/url] * [url=http://trends. newsforge. com/article. pl. sid=06/06/09/1349255&from=rss]Ethereal changes name to Wireshark[/url] - komentář hlavního vývojáře Geralda Combse k přejmenování projektu Ethereal na Wireshark (anglicky) * [url=http://www. ethereal. com/]www. ethereal. com[/url] - Oficiální web původního projektu Ethereal (anglicky).

Kategorie:Síťový software Kategorie:Software pro Unix Kategorie:Software pro Windows Kategorie:Svobodný aplikační software Kategorie:Svobodný software v C Kategorie:Svobodný software naprogramovaný v C++