📡 Wireshark: Микроскоп для сетевого трафика
💡 Wireshark — это как рентгеновский аппарат для вашей сети. Он позволяет увидеть каждое "биение сердца" данных, проходящих через сетевой интерфейс.
🔍 Основные элементы интерфейса
1. Список пакетов
№ | Время | Источник | Назначение | Протокол | Длина | Информация
2. Детали пакета
Frame 1: 74 bytes on wire Ethernet II Internet Protocol Version 4 User Datagram Protocol
🎣 Захват трафика: 3 шага
1. Выбор интерфейса
Доступные интерфейсы: ✓ Wi-Fi (пакеты: 1234) ✓ Ethernet (пакеты: 0) ✓ Loopback (пакеты: 567)
🔹 Выбирайте интерфейс с активным трафиком
2. Фильтрация в реальном времени
Основные фильтры: http ← только HTTP-трафик tcp.port == 443 ← HTTPS-соединения ip.src == 192.168.1.5 ← трафик от конкретного IP
📦 Работа с дампами (PCAP-файлы)
1. Сохранение трафика
File → Save As → Имя: capture.pcap
2. Анализ сохраненного файла
Статистика → Иерархия протоколов: HTTP 45% TLSv1.3 30% DNS 15% TCP 10%
🔹 Необычное соотношение протоколов может указывать на аномалии
🔎 Примеры анализа
1. Поиск утечек данных
Фильтр: http.request.method == "POST" Проверяем: ✓ Куда отправляются данные ✓ Содержимое в теле запроса ✓ Незашифрованные логины/пароли
2. Обнаружение сканирования портов
Фильтр: tcp.flags.syn == 1 and tcp.flags.ack == 0Анализ: ✓ Много SYN-пакетов на разные порты ✓ Короткие интервалы между запросами ✓ Источник: один IP
💡 Профессиональные лайфхаки
- Используйте
Ctrl+Alt+Shift+Tдля отслеживания TCP-потока - Настройте цветовые правила: Правка → Настройки → Appearance
- Экспортируйте объекты: File → Export Objects → HTTP
- Используйте
tsharkдля работы из командной строки
⚠️ Юридические аспекты
- Захват трафика в публичных сетях без согласия — нарушение закона
- Анализируйте только свой трафик или имейте письменное разрешение
- Удаляйте чувствительные данные из PCAP-файлов перед обменом