Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Сообщество системных администраторов Litl-Admin.ru Уроки Wireshark: файлы захвата


Ссылка на материал

Продолжаю тему WireShark. Инструмент позволяет работать с дампами трафика. Иными словами, захватываемый трафик можно записывать в специальный файл в формате, понятном многим программам-снифферам, а потом, в случае необходимости, этот файл читать.

У захвата трафика в файл есть множество настроек, посмотрим их:

Главное меню: Capture -> Options:

Опции захвата пакетов

Опции захвата пакетов

Прежде всего, перед нами список интерфейсов, с которых можно осуществлять захват. Интерфейсы могут быть как реальными, так и виртуальными. Например в этой статьея показывал, как можно создать виртуальный интерфейс loopback, замыкания на себя.

Здесь же мы видим IP адрес на интерфейсе, если назначен, а так же MAC адрес. Выбираем галочкой тот интерфейс, с которого будем производить захват.

Иногда в материалах можно встретить упоминание так называемого promiscuous mode, так вот, это «Беспорядочный режим», когда сетевая карта передает драйверу любые пакеты, приходящие на нее, а не только те, что ей адресованы. Таким образом в сегментах с концентраторами можно прослушивать вообще весь трафик, между любыми узлами.

Далее, выбираем файл, в которых сохранять захваченные пакеты. Здесь же есть возможность создать ротацию файлов, например, создавать новый файл каждые N мегабайт, килобайт, гигабайт. Как только размер файла превысит пороговое значение, будет создан новый файл с именем, в которое закодирована текущая дата и время. Так что не составит труда разобраться в правильном порядке следования файлов.

Так же возможно отсекать файлы по времени, например, создавать новый файлы каждую минуту, секунду, час, день. В пояснения этот пункт не нуждается, думаю.

Ещё есть возможность создать кольцевую ротацию, то есть для трех файлов выполняется запись сперва в первый, затем во второй, потом в третий, после чего опять в первый, второй, третий… Эта опция бывает полезна, когда нам точно нужно знать, что объем записываемых файлов должен быть строго контролируемым. Организовав буфер из 5-ти файлов, отсекая каждые 20 мегабайт мы с уверенностью можем сказать, что суммарный объем занятого дискового пространства не превысит 100 Мегабайт, а пока пишется в N-ый файл, с другими можно выполнять произвольные действия.

Ну и, разумеется, возможность остановить захват после N созданных файлов, например, указав объем файла 5 Мб, остановив после 10 файлов мы на выходе (при условии достаточной сетевой активности) получим 50 мегабайт записанного трафика, после чего программа прекратит захват.

Возможность прекратить захват после N пакетов, M мегабайт или K минут (разумеется, килобайт, гигабайт или часов, секунд, дней соответственно) может понадобится, когда нам нужно отсечь строго определенное количество трафика.

Другие опции отображения, например, разрешение MAC-адресов, разрешения других имен и т.д.

Итак, вот создались вполне определенные файлы трафика. Как их открыть? Да очень просто!

File -> Open:

Открываем дампы

Открываем дампы

Откроется дамп, как если бы он был только что захвачен. Удачи!



В избранное