Wireshark

Wireshark

Vývojář	The Wireshark team
Aktuální verze	4.4.2 (20. listopadu 2024)
Operační systém	Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Mac OS X a Windows
Vyvíjeno v	C++ a C
Typ softwaru	paketový sniffer
Licence	GNU General Public License
Web	http://www.wireshark.org/
Některá data mohou pocházet z datové položky.

Wireshark (dříve Ethereal) je počítačová aplikace pro analýzu provozu v počítačových sítích, která se používá pro zjišťování a odstraňování problémů v počítačových sítích, vývoj komunikačních protokolů a softwaru a studium síťové komunikace.

Wireshark nabízí velice podobné funkce jako tcpdump, navíc však obsahuje mnohem větší počet (stovky) analyzerů komunikačních protokolů a formátů (anglicky dissector), grafické uživatelské rozhraní a mnoho možností uspořádání a filtrování zobrazených informací.^[1] Aplikace umí přepnout síťovou kartu do promiskuitního režimu a díky tomu dokáže zachytávat veškerou komunikaci na připojeném médiu.

Wireshark je Multiplatformní software, používající GTK+ widget toolkit pro implementaci uživatelského rozhraní, a pcap na zachytávání paketů; funguje na různých UN*X operačních systémech jako Linux, Mac OS X, BSD a Solaris, a na Microsoft Windows. Program má i terminálovou (bez GUI) verzi zvanou TShark. Wireshark, a ostatní programy s ním distribuované, jako TShark, jsou Svobodný software, vydaný pod GNU General Public License.

Wireshark je velmi podobný tcpdump, má ale navíc grafické uživatelské rozhraní, plus integrované řadící a filtrovací volby.

Wireshark umožňuje uživateli nastavit síťová rozhraní, která to podporují, do promiskuitního módu, čímž umožní vidět veškerý provoz na těchto rozhraních, včetně broadcastu a multicastu, ne jen provoz určený jedné určité adrese rozhraní. Nicméně, při zachytávání paketů analyzátorem v promiskuitním módu na portu switche se nemusí veškerý provoz skrze switch nutně dostat na port, kde se zrovna zachytává, takže zachytávání v promiskuitním modu nebude dostačující pro veškerý provoz na síti. Je nutné využít port mirroring nebo různá zařízení rozšiřující příjem do zvolené části sítě.

Na Linuxu, BSD, a Mac OS X s libpcap 1.0.0 a novějšími umí Wireshark od 1.4 přepínat Wi-Fi adaptéry do monitor mode.

Wireshark je software, který rozumí struktuře různých síťových protokolů. Díky tomu je schopen zobrazit zapouzdření a další pole i s jejich významy pro různé pakety odlišných protokolů. Wireshark používá pro zachytávání paketů knihovnu pcap, takže zachytí pouze pakety typů, které pcap podporuje.

• Data mohou být zachycena přímo z "drátu" živé sítě nebo přečtena ze souboru, kde jsou již zachycené packety zaznamenány.
• Zachytávat se může z mnoha typů sítí, jako je Ethernet, IEEE 802.11, PPP, a loopback.
• Zachycená data mohou být procházena pomocí GUI, nebo v terminálové (příkazový řádek) verzi utility TShark.
• Soubory se záznamy mohou být programově upraveny a překonvertovány pomocí přepínačů v příkazové řádce programu editcap.
• Zobrazení i zachytávání dat může být upraveno pomocí filtrů.
• Mohou být vytvořeny pluginy pro rozebírání nových protokolů.
• VoIP volání v zachyceném provozu mohou být vymazány. Při kompatibilním kódování může být záznam dokonce přehrán.
• Pomocí Wiresharku lze zachytit surový provoz na USB.^[2] Tato vlastnost je momentálně k dispozici pouze na Linuxu.

Nativní souborový formát síťového záznamu Wiresharku je libpcap podporovaný libpcap a WinPcap, tudíž je možno vyměňovat záznamové soubory s ostatními aplikacemi, které používají stejný formát, včetně tcpdump a CA NetMaster. Dokáže také číst záznamy z jiných síťových analyzátorů, jako snoop, Network General's Sniffer a Microsoft Network Monitor.

Na některých platformách jsou pro zachycení surového provozu na síti nutná vyšší oprávnění. Z tohoto důvodu často starší verze Ethereal/Wireshark a tethereal/TShark běžely s právy správce počítače. Vezmeme-li v potaz velké množství "rozebíračů" paketů, které jsou volány při zachytávání provozu, může to znamenat vážné narušení bezpečnosti v případě, že se v některém z "rozebíračů" objeví chyba. Díky docela velkému počtu slabin v minulosti (mnoho z nich umožnilo vykonání cizího kódu) a pochybnostem vývojářů o budoucím vývoji, OpenBSD odstranilo Ethereal ze svých portů před verzí OpenBSD 3.6.^[3]

Vyšší oprávnění nejsou zapotřebí pro všechny operace. Například je možné použít tcpdump, nebo dumpcap utilitu, která je součástí Wiresharku, s právy superuživatele pro zachytávání paketů do souboru, a později je analyzovat Wiresharkem s omezenými právy. Pro analýzy téměř v reálném čase může být každý zachycený paket sloučen mergecapem do rostoucího souboru zpracovaném Wiresharkem. Na bezdrátových sítích je možné použít nástroj Aircrack na zachycení rámců IEEE 802.11 a číst výsledný dump Wiresharkem.

Od verze 0.99.7, Wireshark a TShark používají dumpcap na zachytávání provozu. Na platformách, kde jsou zapotřebí zvláštní práva na zachytávání, jsou potřeba pouze pro program dumpcap: Wireshark ani TShark nepotřebují žádná speciální privilegia a ani by s nimi neměly být spouštěny.

V tomto článku byl použit překlad textu z článku Wireshark na anglické Wikipedii.

• Obrázky, zvuky či videa k tématu Wireshark na Wikimedia Commons
• Galerie Wireshark na Wikimedia Commons
• www.wireshark.org – Oficiální web projektu Wireshark (anglicky)
  • Wireshark wiki
• Průvodce programem Ethereal
• Recenze programu a odkaz na stažení poslední verze ze serveru Slunečnice.cz
• Wireshark - Paketová analýza pro všechny
• Ethereal mění název na Wireshark
• Ethereal changes name to Wireshark^{[nedostupný zdroj]} – komentář hlavního vývojáře Geralda Combse k přejmenování projektu Ethereal na Wireshark (anglicky)
• www.ethereal.com – Oficiální web původního projektu Ethereal (anglicky)