Comments 21
Качать из непонятной помойки версию Wireshark-win64-1.12.3.exe от 2015-01-07?
Все есть в официальных репах
https://www.wireshark.org/download/win64/
Go Deep. Мой ежедневный инструмент. Позволяет постичь магию сети изнутри.
В руководстве мы будем использовать функционал более ранней версии программы (1.12.3). Это вызвано тем, что в этой версии сразу встроен протокол SSL, который используется в главе 6.
А чем эта древняя версия для работы с SSL лучше актуальной 4.0.5, кроме того, что начиная с версии 3.0 соответствующий раздел настроек переименован с "SSL" в "TLS"?
Интересно, а как с помощью wireshark открыть и отфильтровать файл с дампом гигов этак на сорок? Его можно как-то по-умному отучить грузить весь файл в память?
Нельзя, есть рекомендации, как чуть-чуть улучшить ситуацию, но не кардинально, всё равно всё в памяти, да ещё и с многопоточностью плохо. Можно предварительно воспользоваться чем-то типа large-pcap-analyzer, чтобы предварительно отфильтровать дамп и уменьшить его до размера, который Wireshark проглотит.
Для больших файлов имеет смысл выучить инструменты Linux типа grep и установить в винде WSL2.
Помню как коллега из одной из стран британского содружества грузил в Ворд исходный файл одного процесса размером в 4 гигабайта чтобы поправить последний байтик (убрать перенос строки) и весь банк ждал полчаса.
Чтобы разбирать кастомные протоколы, можно описать протокол диссектору. Он, конечно, старый и вроде не обновляется, но не бесполезный
Ничего не понятно на счет SSL.
Зачем переменную окружения указывать? кто и что в этот файл будет писать?
Откуда мы возьмем приватный ключ сервера? думаете сервера их в открытом доступе хранят?
Вообщем больше вопросов чем ответов.
В целом в официальной справке Wireshark всё написано гораздо понятнее, без ошибок и применительно к актуальной версии :) В т.ч. и как работает магия с SSLKEYLOGFILE, как в случае его использования на самом деле надо настраивать программу и почему нам при этом не нужен приватный ключ.
Правда, как автор статьи собрался перехватывать трафик других пользователей и трафик почтового сервера, остаётся загадкой... но такое впечатление, что у автора сложилось... хм, несколько фрагментарное понимание о предмете. Фразы типа "протокол HTTP в программе Wireshark имеет 4 уровня по модели OSI" тоже показатель :)
Наверняка многие в бытность писали любительские анализаторы сети для linux через sock_raw, af_packet и т.д. Какая интересно внутренняя кухня wireshark, насколько я знаю, там через bpf вроде организовано. Никто не делал на коленке аналог wireshark, с более или менее нормальным функционалом? С чем сталкивались? Сейчас понадобилась подобная утилитка, но менее увесистая. Или мож есть ли аналоги попроще, чуть мощнее tcpdump.
Ещё можно существенно сократить объем захватываемого трафика, настроив на этапе выбора интерфейса, в разделе Capture options, предварительный фильтр Capture Filter.
Как автор за корявый перевод статьи 2012 года набрал плюсы, и еще инвайт получил? Похоже, все кто плюсовал, дальше первого абзаца не читали. Столько ляпов в этом переводе. Интересно, еще хотя бы один сайт использует SSL, а не TLS?
А по теме лучше подскажите - как в Wireshark анализировать HTTP2 и декодировать QUIC? Например, извлечь файлы, передаваемые по HTTP2?
на этой неделе использовал Wireshark. Смотрю статья. Я это к чему, сама прога вещь хорошая. Качал с оф сайта, что надо покупать как-то не заметил. Для моих целей покопаться в логах bluetooth HCI всё получилось и так.
который мы указывали в Переменных средах
Не в "переменных средах", а в "переменных средЫ". Есть среда, environment, для этой среды задаются переменные, variables.
Кстати, в ранних версиях Windows environment переводили как окружение и параметр назывался "переменные окружения"
Wireshark — подробное руководство по началу использования