Hur man fångar HTTP-trafik i Wireshark

Wireshark låter dig analysera trafiken i ditt nätverk med olika verktyg. Om du vill se vad som händer i ditt nätverk eller har problem med nätverkstrafik eller sidladdning kan du använda Wireshark. Det låter dig fånga trafiken, så att du kan förstå vad problemet är eller skicka det till support för ytterligare hjälp. Fortsätt läsa den här artikeln så kommer du att lära dig hur du fångar http-trafik i Wireshark.

Installerar Wireshark

Att installera Wireshark är en enkel process. Det är ett gratis verktyg på olika plattformar, och så här kan du ladda ner och installera det:

Windows och Mac-användare

  1. Öppna din webbläsare.
  2. Besök //www.wireshark.org/download.html.
  3. Välj version för din enhet.

  4. Wireshark kommer att laddas ner till din enhet.
  5. Installera den genom att följa instruktionerna i paketet.

Linux-användare

Om du är en Linux-användare kan du hitta Wireshark i Ubuntu Software Center. Ladda ner den därifrån och installera den enligt instruktionerna i paketet.

Fånga HTTP-trafik i Wireshark

Nu när du har installerat Wireshark på din dator kan vi gå vidare till att fånga http-trafik. Här är stegen för att göra det:

  1. Öppna din webbläsare – Du kan använda vilken webbläsare som helst.
  2. Rensa cache - Innan du fångar trafiken måste du rensa webbläsarens cache. Du kan göra detta om du går till din webbläsares inställningar.

  3. Öppna Wireshark.

  4. Tryck på "Fånga."

  5. Tryck på "Gränssnitt". Du kommer nu att se ett popup-fönster på skärmen.
  6. Välj gränssnitt. Du vill förmodligen analysera trafiken som går genom din Ethernet-drivrutin.

  7. När du har valt gränssnittet, tryck på "Start" eller tryck på "Ctrl + E."

  8. Gå nu tillbaka till din webbläsare och besök webbadressen du vill fånga trafik från.

  9. När du är klar, sluta fånga trafik. Gå tillbaka till Wireshark och tryck på "Ctrl + E."

  10. Spara den fångade trafiken. Om du har nätverksproblem och vill skicka den fångade trafiken till support, spara den i en *.pcap-formatfil.

Fånga paket i Wireshark

Förutom att fånga http-trafik kan du fånga vilken nätverksdata du behöver i Wireshark. Så här kan du göra detta:

  1. Öppna Wireshark.

  2. Du kommer att se en lista över tillgängliga nätverksanslutningar som du kan undersöka. Välj den du är intresserad av. Om du vill kan du analysera flera nätverksanslutningar samtidigt genom att trycka på "Skift + Vänsterklicka."

  3. Nu kan du börja fånga paket. Du kan göra detta på flera sätt: Det första är genom att trycka på hajfensikonen i det övre vänstra hörnet. Den andra är att trycka på "Fånga" och sedan trycka på "Start". Det tredje sättet att börja fånga är genom att trycka på "Ctrl + E."

Under infångning kommer Wireshark att visa alla fångade paket i realtid. När du är klar med att fånga paket kan du använda samma knappar/genvägar för att sluta fånga.

Wireshark filter

En av anledningarna till att Wireshark är en av de mest kända protokollanalysatorerna idag är dess förmåga att applicera olika filter på de infångade paketen. Wireshark-filter kan delas in i fångst- och visningsfilter.

Fånga filter

Dessa filter tillämpas innan data hämtas. Om Wireshark fångar data som inte matchar filtren, kommer den inte att spara dem, och du kommer inte att se dem. Så om du vet vad du letar efter kan du använda fångstfilter för att begränsa din sökning.

Här är några av de mest använda fångstfiltren du kan använda:

  • värd 192.168.1.2 – Fånga all trafik som är associerad med 192.168.1.2.
  • port 443 – Fånga all trafik som är associerad med port 443.
  • port inte 53 – Fånga all trafik utom den som är associerad med port 53.

Visa filter

Beroende på vad du analyserar kan dina infångade paket vara mycket svåra att gå igenom. Om du vet vad du letar efter, eller om du vill begränsa din sökning och utesluta data du inte behöver, kan du använda visningsfilter.

Här är några av visningsfiltren du kan använda:

  • http – Om du har fångat ett antal olika paket, men du bara vill se den http-baserade trafiken, kan du använda detta visningsfilter, och Wireshark visar dig bara dessa paket.
  • http.response.code == 404 – Om du har problem med att ladda vissa webbsidor kan det här filtret vara användbart. Om du tillämpar det kommer Wireshark bara att visa de paket där "404: Sidan hittades inte" var ett svar.

Det är viktigt att notera skillnaden mellan fångst- och visningsfilter. Som du har sett tillämpar du fångstfilter innan och visar filter efter att du har hämtat paket. Med fångstfilter kasserar du alla paket som inte passar filtren. Med visningsfilter slänger du inga paket. Du gömmer dem bara från listan i Wireshark.

Ytterligare Wireshark-funktioner

Även om att fånga och filtrera paket är det som gör Wireshark berömd, erbjuder den också olika alternativ som kan göra din filtrering och felsökning enklare, speciellt om du är ny på detta.

Alternativ för färgläggning

Du kan färglägga paket i paketlistan enligt olika visningsfilter. Detta gör att du kan betona de paket du vill analysera.

Det finns två typer av färgningsregler: tillfälliga och permanenta. Tillfälliga regler tillämpas endast tills du stänger programmet, och permanenta regler sparas tills du ändrar tillbaka dem.

Du kan ladda ner exempel på färgregler här, eller så kan du skapa dina egna.

Promiskuöst läge

Wireshark fångar trafik som kommer till eller från enheten där den körs. Genom att aktivera det promiskuösa läget kan du fånga majoriteten av trafiken på ditt LAN.

Kommandorad

Om du kör ditt system utan ett GUI (Graphic User Interface) kan du använda Wiresharks kommandoradsgränssnitt. Du kan fånga paket och granska dem på ett GUI.

Statistik

Wireshark erbjuder en "Statistik"-meny som du kan använda för att analysera infångade paket. Du kan till exempel se filegenskaper, analysera trafik mellan två IP-adresser osv.

Vanliga frågor

Hur läser jag data som fångas i WireShark?

När du är klar med att fånga paket kommer Wireshark att visa dem alla i en paketlista. Om du vill fokusera på en specifik fångst, dubbelklicka på den, så kan du läsa mer information om den.

Du kan välja att öppna en viss inspelning i ett separat fönster för enklare analys:

1. Välj det paket du vill läsa.

2. Högerklicka på den.

3. Tryck på "Visa".

4. Tryck på "Visa paket i nytt fönster."

Här är några detaljer från paketlistrutan som hjälper dig med att läsa fångar:

1. Nej. – Numret på ett fångat paket.

2. Tid – Detta visar när paketet fångades med avseende på när du började fånga. Du kan anpassa och justera värdet i menyn "Inställningar".

3. Källa – Detta är ursprunget till ett fångat paket i form av en adress.

4. Destination – Destinationsadressen för ett fångat paket.

5. Protokoll – Typen av ett fångat paket.

6. Längd – Detta visar längden på ett fångat paket. Detta uttrycks i byte.

7. Info – Ytterligare information om ett fångat paket. Vilken typ av information du ser här beror på typen av det fångade paketet.

Alla ovanstående kolumner kan minskas med hjälp av visningsfilter. Beroende på vad du är intresserad av kan du tolka Wireshark-fångst enklare och snabbare genom att använda olika filter.

I en värld av fisk, Var en Wireshark

Nu har du lärt dig hur du fångar http-trafik i Wireshark, tillsammans med användbar information om programmet. Om du vill inspektera ditt nätverk, felsöka problem eller se till att allt är i sin ordning, är Wireshark rätt verktyg för dig. Det är lätt att använda och tolka, och det är gratis.

Har du använt Wireshark tidigare? Berätta för oss i kommentarsfältet nedan.