Wireshark

#9 Wireshark. Колоризация в Wireshark.

Здравствуйте, дорогие друзья. Сегодня мы рассмотрим цветовую подсветку трафика, и ответим на следующие вопросы:

  • Как использовать и управлять правилами подсветки.
  • Как создавать правила для стандартных ошибок.
  • Как подсвечивать соединение.
  • Как можно отмечать пакеты.

Подсветка трафика – это очень полезный инструмент для обнаружения интересующих Вас пакетов. Вы можете подсвечивать ошибки, уязвимости защиты и т.д.

В Wireshark есть стандартные правила подсветки, которые находятся в папке общих настроек. Если Вы измените этот файл, то он будет скопирован в Вашу персональную папку настроек.

У каждого правила должно быть имя, фильтр отображения, и цвета фона и переднего плана. Если цвета отвлекают Вас, то Вы можете их отключить на основной панели, с помощью вкладки «Draw packets»:

Если цвета отвлекают Вас, то Вы можете их отключить на основной панели, с помощью вкладки «Draw packets»

Правила применяются сверху-вниз, что значит, если пакет соответствует двум разным правилам, то только первое правило будет применено.

Для настройки правил нужно перейти в меню «View», далее «Coloring Rules»:

Для настройки правил нужно перейти в меню «View», далее «Coloring Rules»
Для настройки правил нужно перейти в меню «View», далее «Coloring Rules»

В меню правил подсветки, Вы можете создать новое правило, нажав на «+», в левом нижнем углу меню:

В меню правил подсветки, Вы можете создать новое правило, нажав на «+», в левом нижнем углу меню

Также можно изменить существующее правило, а также есть включение и выключение правил. Разумеется, Вы можете удалять правила. Чтобы передать правила на другой компьютер, используйте опции: «Import», «Export»:

Разумеется, Вы можете удалять правила. Чтобы передать правила на другой компьютер, используйте опции: «Import», «Export»

Можно также просто скопировать файл «Color Filters». Правило, которое Вы скорее всего захотите отключить – это «Checksum Errors»:

Можно также просто скопировать файл «Color Filters». Правило, которое Вы скорее всего захотите отключить – это «Checksum Errors»

Смысл в том, что чаще всего такие ошибки ложные.

Чтобы понять, почему пакет определенного цвета, нужно открыть свой фрейм, и мы увидим два поля: «Coloring Rule Name», и «Coloring Rule String»:

Чтобы понять, почему пакет определенного цвета, нужно открыть свой фрейм, и мы увидим два поля: «Coloring Rule Name», и «Coloring Rule String»

Чтобы подсвечивать пакет, основываясь на определенном поле, выберете его в деталях пакета:

Чтобы подсвечивать пакет, основываясь на определенном поле, выберете его в деталях пакета

Кликните правой кнопкой мыши по «Type», и выберете «Colorize with Filter», либо укажите новое цветовое правило:

Кликните правой кнопкой мыши по «Type», и выберете «Colorize with Filter», либо укажите новое цветовое правило

Новое цветовое правило будет стоять первым в списке:

Новое цветовое правило будет стоять первым в списке

Также Wireshark может подсвечивать соединение. Выберете любой пакет и кликните по нему правой кнопкой мыши, и кликните по вкладке «Colorize Conversation»:

Также Wireshark может подсвечивать соединение. Выберете любой пакет и кликните по нему правой кнопкой мыши, и кликните по вкладке «Colorize Conversation»

Затем укажите соединение, которое Вы хотите подсветить, где доступно 10 разных цветов. Эти цвета временные, но они сохраняются, если Вы закроете файл трассировки, и откроете его снова. Имейте ввиду, что они сбросятся, если Вы закроете Wireshark.

Чтобы сбросить временную подсветку, нужно нажать комбинацию клавиш: Ctrl+Space (пробел). Как я сказал ранее, пакеты могут быть помечены, чтобы сделать это, достаточно кликнуть правой кнопкой мыши по пакету, и выберете пункт (Mark Packet (toggle)):

Как я сказал ранее, пакеты могут быть помечены, чтобы сделать это, достаточно кликнуть правой кнопкой мыши по пакету, и выберете пункт (Mark Packet (toggle))

Для того, чтобы снять пометку, нужно выполнить те же самые действия. Более быстрый способ сделать это, просто нажать комбинацию клавиш: Ctrl+M.

Если у Вас много помеченных пакетов, Вы можете переключаться между ними, используя клавиши: Сtrl+Shift+N и Ctrl+Shift+B.

Чтобы пометить все отображенные пакеты, то нужно использовать комбинацию клавиш: Ctrl+Shift+M.

Чтобы снять метку со всех пакетов, то нажмите клавиши: Ctrl+Alt+M.

Если у Вас проблемы с запоминанием клавиш, то Вы всегда можете открыть вкладку “Edit», и в правой стороне все они будут указаны:

Если у Вас проблемы с запоминанием клавиш, то Вы всегда можете открыть вкладку “Edit», и в правой стороне все они будут указаны

Помеченные пакеты можно экспортировать в отдельный файл трассировки. Для этого нужно выбрать в меню «File», «Export Specified Packets»:

Помеченные пакеты можно экспортировать в отдельный файл трассировки. Для этого нужно выбрать в меню «File», «Export Specified Packets»

Если обмен данными идет по TCP или UDP, а также SSL, и у Вас есть ключ RSA, то Вы можете пересобрать соединение, и просмотреть данные, которые обмениваются хостами. Чтобы сделать это, нужно нажать правой кнопкой мыши по любому пакету, и выберете пункт: «Follow TCP Stream»:

Если обмен данными идет по TCP или UDP, а также SSL, и у Вас есть ключ RSA, то Вы можете пересобрать соединение, и просмотреть данные, которые обмениваются хостами. Чтобы сделать это, нужно нажать правой кнопкой мыши по любому пакету, и выберете пункт: «Follow TCP Stream»

Чтобы изменить клиента потока, или цвет сервера, цвета отмеченных и пропущенных пакетов, перейдите в настройки меню «Edits», далее «Preferences», «Fonts and Colors»:

Чтобы изменить клиента потока, или цвет сервера, цвета отмеченных и пропущенных пакетов, перейдите в настройки меню «Edits», далее «Preferences», «Fonts and Colors»

Итак, мы поговорили о цветовой подсветке Wireshark.

Вы можете создавать правила, для каждого из типов трафика. Вы можете включать или выключать любое правило, которое можно передать на другие компьютеры. Это хороший способ для поиска стандартных ошибок, основываясь на правилах подсети.

Любое соединение может быть подсвечено по 2-му или 3-му слою. Также, Вы можете подсветить интересующие Вас пакеты, и переходить к следующим или предыдущим пакетам.

#1 Что такое Wireshark?

#2 Базовый функционал Wireshark.

#3 Интерфейс Wireshark. Часть 1.

#4 Интерфейс Wireshark. Часть 2.

#5 Wireshark. Захватываем трафик.

#6 Wireshark. Фильтры захвата.

#7 Wireshark. Глобальные и персональные настройки. Часть 1.

#8 Wireshark. Глобальные и персональные настройки. Часть 2.