Wireshark je nejpopulárnější nástroj pro deep packet inspection a síťovou analýzu. Zachytává veškerý provoz na síťovém rozhraní a umožňuje ho analyzovat na úrovni jednotlivých paketů. Pro síťové inženýry a bezpečnostní specialisty je nepostradatelný při diagnostice problémů s připojením, analýze protokolů nebo vyšetřování bezpečnostních incidentů. GUI rozhraní umožňuje intuitivní práci s filtry a vizualizacemi, které v terminálu nedostanete.
Instalace¶
sudo apt install wireshark
brew install --cask wireshark
Display filtry¶
http # veškerý HTTP provoz
tcp.port == 443 # TLS/HTTPS provoz
ip.addr == 10.0.1.50 # provoz z/do konkrétní IP
http.response.code >= 400 # HTTP chyby
!(arp || dns) # vše kromě ARP a DNS
tcp.analysis.retransmission # TCP retransmise (problém s připojením)
Display filtry jsou výrazně mocnější než capture filtry — umožňují filtrovat podle libovolného pole v libovolném protokolu. Filtry lze kombinovat logickými operátory (&&, ||, !) a porovnávat hodnoty (<, >, ==, !=, contains, matches).
Klíčové funkce¶
- Follow TCP Stream — zobrazí celou konverzaci mezi klientem a serverem v čitelné formě
- Statistics -> Conversations — přehled kdo s kým komunikuje, objem dat
- Statistics -> I/O Graph — vizualizace provozu v čase, užitečné pro identifikaci špiček
- Statistics -> Protocol Hierarchy — rozložení provozu podle protokolů
Remote capture¶
ssh user@server 'sudo tcpdump -w - port 80' | wireshark -k -i -
Tento přístup kombinuje silné stránky obou nástrojů — tcpdump zachytává pakety přímo na vzdáleném serveru bez GUI overhead a Wireshark je lokálně analyzuje s plným GUI. Alternativně lze na serveru zachytit pcap soubor a stáhnout ho k lokální analýze.
Wireshark pro hloubku¶
tcpdump na serveru pro rychlý capture, Wireshark lokálně pro detailní analýzu. Tato kombinace pokryje většinu síťových diagnostických scénářů od jednoduchých problémů s připojením po složité analýzy aplikačních protokolů.