Вајершарк

Из Википедије, слободне енциклопедије

Вајершарк (енгл. Wireshark) бесплатан је пакет анализатор, отвореног кода. Користи се за мрежно решавање проблема, анализу, развој софтвера, комуникационог протокола и образовање. Првобитно назван Ethereal, пројекат је преименован у Wireshark у мају 2006 године због проблема са заштитним знаком.[1]

Wireshark је укрштена платформа, користећи GTK+ widget toolkit у текућим издањима, и Qt у развојним верзијама, да спроводе свој кориснички интерфејс и користећи pcap за снимање пакета; ради на Linux, OS X, BSD, Solaris, неким другим оперативним системима налик на Unix и Microsoft Windows-у. Ту је и заснована на терминалу (не-графички кориснички интерфејс) верзија звана TShark. Wireshark и остали програми дистрибуирани са њим као што је TShark, су бесплатни софтвери, објављени под условима GNU General Public License.

Функционалност[уреди]

Wireshark је веома сличан tcpdump-у, али има графички предњи крај, плус неке интегрисане опције сортирања и филтрирања. Wireshark омогућава кориснику да убаци мрежне интерфејс контролере који подржавају промискуитентни режим, у том режиму, како би видели сав саобраћај видљив на том интерфејсу, не само саобраћај упућен једном од интерфејса конфигурисаних адреса и емитованог/мултикаст саобраћаја. Међутим, када се снима са пакет анализатором у промискуитетном режиму на порту на мрежном прекидачу, сав саобраћај који пролази кроз прекидач неће бити послат до порта на којем се обавља снимање. Тако да снимање у промискуитетном режиму неће бити добољно да се види сав саобраћај на мрежи. Порт огледање или различите мрежне славине проширују снимање до било које тачке на мрежи.

На Linux, BSD, и OS X, са libpcap 1.0.0 или каснијим верзијама, Wireshark 1.4 и каснији, такође стављају бежичне мрежне интерфејс контролере у режим монитора. Ако удаљена машина снима пакете и шаље снимљене пакете до машине која покреће Wireshark користећи TZSP протокол или протокол коришћен од стране OmniPeek-а, Wireshark ће сецирати те пакете, омогућавајући да се анализирају пакети снимљени на удаљеној машини у време када су они снимљени.

Историја[уреди]

У касним 1990-им, Gerald Combs, компјутерски научник, дипломирао на Универзитету Мисури-Канзас Ситија, радио је за малог интернет сервис провајдера. Комерцијални производи анализе протокола у тренутку су коштали око 1500 долара[2] и нису радили на основној платформи компаније (Solaris и Linux), тако је Gerald почео да пише Ethereal и објавио прву верзију око 1998 године.[3] Ethereal заштитни знак је у власништву Network Integration Services. У мају 2006 године, Combs је прихватио посао са CACE Technologies. Combs је и даље имао ауторска права на већини Ethereal изворног кода (а остатк је поново дистрибуиран под GNU GPL), тако да је користио садржај Ethereal субверзионог складишта као основу за Wireshark складиште. Међутим, он није власник Ethereal-овог заштитног знака, тако да је променио име у Wireshark.[4] У 2010 години, Riverbed Technology је купио CACE и преузео као примарни спонзор Wireshark. Ethereal развој је престао, и Ethereal безбедносни саветодавци препоручују прелазак на Wireshark. Wireshark је освојио неколико индустријских награда током година[5], укључујући eWeek, InfoWorld и PC Magazine. Такође је високо рангиран пакет њушкало у Insecure.Org истраживању безбедносних алата мрежа, и био је SourceForge пројекат месеца у августу 2010 године.[6] Combs је наставио да одржава укупан код Wireshark-a и објављивао нове верзије софтвера. Сајт производа листа више од 600 додатних доприноса других аутора.

Карактеристике[уреди]

Wireshark је софтвер који разуме (енкапсулације) различитих мрежних протокола. Може анализирати и мриказивати поља, заједно са њиховим значењима као што је наведено од стране различитих мрежних протокола. Wireshark користи pcap да снима пакете, тако да може да обухвата само типове пакета мрежа које pcap подржава.

  • Подаци могу бити снимљени "из жице" из живе мрежне везе или прочитани из досијеа већ снимљених пакета.
  • Уживо подаци могу се прочитати из више врста мрежа, укључујући Ethernet, IEEE 802.11, PPP и loopback.
  • Снимљени подаци се могу претраживати преко графичког корисничког интерфејса или преко треминалне (командне линије) верзије корисности, TShark-a.
  • Снимљени фајлови могу бити програмски измењени или претворени преко командне линије пребацујући се у “editcap” програм.
  • Приказивање података може да се рефинира помоћу филтера екрана.
  • Додаци могу бити креирани за дисекцију нових протокола.
  • VoIP позиви могу бити детектовани у снимљеном саобраћају. Ако је шифрован у компатибилном шифровању, проток медијума може чак бити одигран.
  • Сиров USB саобраћај може бити снимљен.
  • Бежичне везе могу бити филтриране све док су попречане посматраним етернетом.
  • Различите поставке, тајмери, филтери могу бити подешени тако да ће се засигурно само покренути саобраћај појавити.

Wireshark-ов природни мрежни фајл формат је libpcap формат подржан од стране libpcap-а и Winpcap-а, тако да могу да размењују снимљене мрежне трагове са другим апликацијама које користе исти формат, укључујући tcpdump и CA NetMaster. Такође може прочитати снимке из других мрежних анализатора, као што су snoop, Network General’s Sniffer, и Microsoft Network Monitor.

Безбедност[уреди]

Снимање сировог мрежног саобраћаја из интерфејса захтева привилегије на неким платформама. Из тог разлога старије верзије Ethereal/Wireshark и tethereal/TShark често су се водиле са superuser привилегијама. Узимајући у обзир велики број протокола дисектора који се зову када је снимљен саобраћај, ово може представљати озбиљну опасност по безбедност с обзиром на могућност грешке у дисектору. С обзиром на прилично велики број рањивости у прошлости (од којих су многе дозвољено даљинско извршавање кода) и сумње програмера за бољу будућност развоја, OpenBSD је уколнио Ethereal из свог дрвета портова пре OpenBSD 3.6.[7] Високе привилегије нису потребне за све операције. На пример, алтернатива је да покренете tcpdump или dumpcap који долази са имитацијом скоро реалне анализе, свака снимљена датотека може бити спојена са mergecap-ом у растућу датотеку обрађену од стране Wireshark-a. На бежичним мрежама могуће је користити Aircrack бежичне безбедносне алатке за снимање IEEE 802.11 оквира и читање насталих депонованих фајлова са Wireshark-ом. Од Wireshark-a 0.99.7, Wireshark и TShark покрећу dumpcap за снимање саобраћаја. На платформи где су посебне привилегије потребне за снимање саобраћаја, само dumpcap треба да буде покренут са тим посебним привилегијама: ни Wireshark-у нити TShark-у није потребно нити би требало да се покрећу са посебним привилегијама.

Кодирање у боји[уреди]

Корисник обично види пакете наглашене у зеленој, плавој, црвеној и црној боји. Wireshark користи боје да помогне кориснику да идентификује врсте саобраћаја на први поглед. Уобичајно зелена је за TCP саобраћај, тамно плава је DNS саобраћај, светло плава UDP саобраћај, и црна идентификује TCP пакете са проблемима, на пример, могли би бити достављени без редоследа. Корисници могу да промене постојећа правила за боје пакета, да додају или уклоне нова правила.

Види још[уреди]

Референце[уреди]

Спољашње везе[уреди]