Использование Wireshark для анализа и мониторинга трафика

Всем доброго дня!

При траблшутинге возникших проблем порой эффективным методом является прямой анализ заголовков и содержания пакетов различных протоколов. У большинства коммутаторов есть возможность зеркалировать сетевой траффик на ПК с запущенной программой сниффером или отображения/захвата пакетов в консоль/память коммутатора, но зачастую для удобства дальнейшего разбора и снижения нагрузки на коммутатор + ограничение на размер внутренней памяти коммутатора используют именно зеркалирование на ПК с программой-анализатором, в нашем примере это популярное ПО Wireshark, хотя можно использовать и любые другие. WIreshark удобен в настройке, содержит преднастройки фильтров по многим сетевым протоколам и широкие возможности по анализу.

В этом посте мы разберём основы работы с Wireshark, которые пригодятся вам, если это потребуется для траблшутинга с нашими инженерами.


1. Для начала работы запустить Wireshark, выберите сетевое подключение и включите кнопкой Start захват пакетов

2. Основной интерфейс во время работы

3. Если требуется больше визуализации для анализа, то можно запустить IO graphs

4. При помощи IO graphs удобно смотреть за активностью во времени, выставив временной промежуток на оси X

При работе через свитч подобной простоты не будет: там придётся настраивать зеркалирование портов согласно мануалу аппаратуры, рисунок 1.

Рисунок 1. Пример настройки зеркаливания портов

1. Порт зеркалирования и порт наблюдения:
 
Порт зеркалирования: это отслеживаемый порт. Все пакеты, которые проходят через порт зеркалирования, копируются на порт наблюдения.
 
Порт наблюдения: это порт, к которому подключено устройство мониторинга получающее зеркалированный трафик.
 
Порт наблюдения предназначен для пересылки зеркалированного трафика. Не настраивайте другие службы на порте наблюдения, в противном случае зеркалированный трафик и другой служебный трафик будут мешать друг другу.
 
Если функция зеркалирования настроена на нескольких портах, будет задействована большая пропускная способность, что повлияет на работу других служб. Кроме того, если полоса пропускания порта зеркалирования выше, чем полоса пропускания порта наблюдения, например, 1000 Мбит/с на порту зеркалирования и 100 Мбит/с на порту наблюдения, то порту наблюдения не удастся своевременно обработать все пакеты, из-за недостаточной пропускной способности, что приведёт к потере пакетов.
 
2. Направление зеркалирования трафика

Направление зеркалирования - это направление, в котором устройство копирует пакеты с порта зеркалирования на порт наблюдения:
 
Входящий трафик: устройство копирует пакеты на порт наблюдения, полученные портом зеркалирования.
 
Исходящий трафик: устройство копирует пакеты, которые отправляются с порта зеркалирования на порт наблюдения.
 
Двунаправленный трафик: устройство копирует пакеты, которые получены и отправлены портом зеркалирования на порт наблюдения.