Wireshark - утилита для анализа сетевого трафика

Установка
Описание утилиты
Примеры работы с фильтрацией отображения
Сохранение данных
Диагностика проблем сети

Окружение

• Версия ОС: 7.3
• Конфигурация ОС: Рабочая станция
• Редакция ОС: Стандартная
• Архитектура: x86_64
• Версия ПО: wireshark-1:4.2.12-1

Wireshark — это утилита, которая позволяет захватывать и фильтровать проходящие по сети данные в режиме реального времени, анализировать уже записанные данные из файлов сессий, выявлять сетевые проблемы и подозрительный трафик.

Установка

Установить утилиту Wireshark можно через графический менеджер пакетов либо через терминал.

Для установки утилиты через графический менеджер пакетов dnfdragora перейдите в «Главное меню» — «Администрирование» — «Управление программами dnfdragora», выполните поиск необходимого пакета по ключевому слову «wireshark» и отметьте флагом пакет последней версии.

После этого нажмите кнопку «Применить» и дождитесь окончания установки.

Для установки утилиты через терминал выполните команду (потребуются права администратора):

sudo dnf install wireshark

Для дальнейшей работы с утилитой потребуются права администратора системы.

После установки запуск утилиты возможен из «Главного меню» — «Интернет» — «Wireshark» либо через терминал командой:

sudo wireshark

Описание утилиты

Утилита Wireshark может захватывать трафик из различных сетевых сред, включая Ethernet, беспроводные локальные сети (Wireless LAN), Bluetooth, USB и др.

Для запуска процесса захвата выберите ЛКМ требуемый источник сети (интерфейс сетевой карты, с которого будет производиться захват пакетов) и нажмите кнопку «Начать захват пакетов» ().

Окно утилиты будет выглядеть следующим образом:

В верхней части окна располагается «Основное меню» (1), содержащее следующие вкладки:

• «Файл» — содержит функции работы с файлами и объектами — открытие, закрытие, сохранение файлов; экспорт пакетов, результатов, ключей сеансов, объектов; печать; выход;

• «Правка» — содержит функции редактирования — копирование, поиск, установка/снятие метки пакета, установка/отмена привязки ко времени, временной сдвиг, комментарии к пакетам, параметры и др.;

• «Вид» — содержит основные настройки внешнего вида, масштаб, формат отображения времени, настройки внутренней организации и др.;

• «Запуск» — содержит основные параметры управления при анализе — переход к пакетам и автопрокрутка при захвате;

• «Захват» — содержит основные параметры управления захватом — начало и остановка захвата, опции и фильтры захвата;

• «Анализ» — содержит фильтры отображения, включенные протоколы, декодирование и др.;

• «Статистика» — содержит статистические данные, собираемые утилитой — разрешенные адреса, диалоги, длины пакетов, размер файла и средняя скорость захвата, иерархия протоколов, графики потока, время ответа сервисов и др.;

• «Телефония» — содержит параметры анализа телефонного трафика, аудио и видео потоков;

• «Беспроводная связь» — содержит параметры анализа беспроводной связи;

• «Инструменты» — содержит дополнительные функции — ACL-правила межсетевого экрана, поиск и извлечение учетных данных из захваченного трафика, интерактивная консоль, блокировка MAC-адресов;

• «Справка» — содержит справочную информацию об утилите.

Под «Основным меню» находится «Панель» (2), обеспечивающая быстрый доступ к следующим функциям утилиты:

• «Начать захват пакетов»;

• «Остановить захват пакетов»;

• «Перезапустить текущий захват»;

• «Опции захвата»;

• «Открыть файл захвата»;

• «Сохранить этот файл захвата»;

• «Закрыть этот файл захвата»;

• «Перезагрузить этот файл».

В центре окна находится таблица, разделенная на три области:

• область «packet list» (4), в которой отображаются все пакеты в текущей сессии перехвата;

• область «packet details» (5), в которой отображаются сведения о выбранном пакете;

• область «packet bytes» (6), в которой отображаются исходные данные пакета в необработанном виде.

Над таблицей располагается «Строка фильтрации» (3).

Фильтрация является одной из важнейших функций утилиты, позволяющая выделить требуемые данные из проходящего трафика.

В Wireshark существует два типа фильтрации:

• capture filter — фильтрация захвата, применяемая до начала захвата трафика;

• display filter — фильтрация отображения, применяемая после захвата трафика.

Примеры работы с фильтрацией отображения

Выберите требуемый источник сети ЛКМ и нажмите кнопку «Начать захват пакетов» (). Для остановки процесса захвата нажмите кнопку «Остановить захват пакетов» ().

Для фильтрации данных по IP-адресу вне зависимости от направления трафика добавьте в строку фильтрации условие, например:

ip.addr == 10.0.2.15

Для фильтрации данных по номеру порта добавьте в строку фильтрации условие, например:

tcp.port == 80

Для фильтрации данных по протоколу добавьте в строку фильтрации условие, например:

dns

Сохранение данных

Для проведения дальнейшего анализа захваченные данные в Wireshark можно сохранить в виде файла.

Для сохранения данных в основном меню утилиты выберите «Файл» — «Сохранить/Сохранить как» или нажмите на кнопку «Сохранить файл захвата как» ().

В появившемся окне «Сохранить файл захвата как» можно задать имя файла, формат, директорию для его сохранения, а также сжать сохраняемый файл с помощью gzip.

Диагностика проблем сети

Wireshark позволяет находить и анализировать возможные причины сетевых неполадок и проблем с безопасностью. Утилита их обнаруживает и собирает в отдельное меню «Экспертная информация».

Для просмотра меню «Экспертная информация» нажмите на индикатор «ПРЕДУПРЕЖДЕНИЕ» (), расположенный в левом нижнем углу окна утилиты.

Диагностические сообщения о потенциальных сетевых неполадках подразделяются по различным степеням критичности и помечаются разными цветами:

• Errors — ошибки — например, обнаруживаются искажённые пакеты;

• Warnings — предупреждения — например, приложение возвращает необычный код ошибки, такой как проблема с соединением;

• Note — примечания (значимые события) — например, приложение возвращает распространенный код ошибки, такой как HTTP 404;

• Chat — чат — информация об обычном рабочем процессе.

Обратите внимание, что данные сообщения не обязательно указывают на проблему, а используются в качестве подсказки для поиска источника проблем в каждом конкретном случае. Также отсутствие сообщений не означает отсутствие сетевых проблем.

Дата последнего изменения: 19.01.2026

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.