Téma analýzy paketů není jednoduché. Pokud je Wireshark spuštěn bez jakýchkoliv parametrů nebo nastavených filtrů, začneme živé nahrávání nebo otevřeme předem odchycený soubor pcap/pcapng. To může být frustrující. Ve velmi krátké době nám zde mohou naskákat tisíce paketů potřebujících analýzu. Hrozí nebezpečí, že se zamotáte do velkého množství dat a doslova neuvidíte stromy v lese.
Pokud chcete jít hluboko do analýzy paketů, neexistuje žádná skutečná alternativa k Wiresharku. Existují však způsoby, jak tento úkol značně usnadnit a zefektivnit.
V tomto článku Vám ukážeme strategie, jak se vypořádat s problémy a usnadnit analýzu paketů – ať už jde o řešení problémů nebo hodnocení kvality sítě.
Povíme si o technikách, které nám vysvětlí, jak strukturovat vyhledávání pomocí nástrojů Wireshark. Jsou zde popsány filtry, barevného značení a hierarchie protokolů. Také si ukážeme jak lze pomocí nástroje Allegro výrazně urychlit práci se soubory pcap.
Open source program Wireshark je bezkonkurenční analyzátor souborů pcap. Projekt, který vzešel z předchůdce „Ethereal“, existuje od roku 2006 a od svého uvedení vytlačil z trhu všechny komerční srovnávací produkty. Wireshark je paketově orientovaný analyzátor pro přesné určení problémů a graficky zobrazuje protokoly dat.
Většina vytížených sítí bude mít mnoho paralelních síťových připojení vyžadujících přesnou analýzu paketů. Například návštěva jedné webové stránky může navázat spojení s mnoha dalšími hostiteli.
Analýza souborů Pcap být problém kvůli obrovskému množství dat, které je třeba zpracovat. Abychom se dostali k datům, která nás zajímají, použijeme filtry, abychom se zbavili pro nás nezajímavých dat. Cílem je skončit s relativně zvládnutelným množstvím paketů jako výchozím bodem pro podrobnou analýzu.
Kromě externích nástrojů a technik pro filtrování provozu, např. syntaxe BPF, má Wireshark řadu integrovaných funkcí ke snížení množství informací, aby sme se dostali k těm relevantním. Wireshark rozlišuje dva typy filtrů. Zachycovací filtry (ingress filtry), které rozhodnou jaké pakety jsou zachyceny a filtry zobrazení, které definují jaké ze zachycených paketů jsou zobrazeny. Bohužel tyto dva filtry používají odlišnou syntaxi.
Nejběžnější technikou redukce obsahu používanou v rámci Wiresharku, je použití zobrazovacích filtrů.
Nejjednodušší použití zobrazovacích filtrů je snížení provozu na jednu aplikaci, konkrétní protokol nebo přesnou specifikaci datového pole. Chcete-li to provést, můžete buď pomocí nabídky (Analysis->Display Filter) vybrat například protokol HTTP, který omezí zobrazení na všechny položky HTTP, nebo vložit požadovanou hodnotu filtru přímo do panelu nástrojů filtru. Pokud chcete vidět pouze všechna připojení SIP, stačí do vstupního pole napsat „sip“ a potvrdit „Enter“
Používaný filtr je vidět ve vstupním poli panelu nástrojů filtru (zvýrazněno zeleně). Stavový řádek vpravo dole také ukazuje, že je nastaven filtr nebo že je v daném okamžiku zobrazeno pouze určité procento paketů.
Wireshark poskytuje funkci automatického dokončování při přímém zadávání filtrů, takže při zadávání filtru jsou navrženy všechny dostupné filtry se stejnou sekvencí písmen.
Kromě použití jednoduchých filtrů lze podmínky také propojit. Syntaxe filtru Wireshark poskytuje závorky, logické operace jako 'AND' 'OR' a porovnávací funkce jako == nebo !=.
Pokud například chcete zobrazit „jakýkoli provoz TCP z IP adresy 10.17.2.5 na port 80“, překlad do syntaxe filtru Wireshark je: ip.src == 10.17.2.5 AND tcp.dstport == 80. V tomto příkladu jsou podmínky spojeny s 'AND'. Podmínka 1 uvádí, že zdrojová IP adresa paketů musí být 10.17.2.5 a podmínka 2 určuje, že protokol musí být TCP a cílový port musí být 80. Pro další výběr zobrazeného provozu lze propojit libovolný počet podmínek.
Kromě funkcí filtru má Wireshark přizpůsobitelný systém barevného kódování. Ve výchozím nastavení jsou například všechny UDP pakety označeny modře, standardní přenos TCP fialovou a HTTP zeleně. Tyto barevné kódy pomáhají na první pohled identifikovat typy paketů. Uživatelsky definovaná pravidla barev lze přiřadit k jejich vlastnímu profilu a uložit. Barvy textu i pozadí lze přizpůsobit.
Jednotlivé streamy lze snadno sledovat pomocí automatického barevného kódování. Abyste však na první pohled viděli, která spojení jsou aktivní nebo ke kterým spojením jednotlivé pakety patří, můžete to místo určování pomocí IP adres/čísel portů regulovat pomocí barevných kódů. Chcete-li to povolit, po kliknutí pravým tlačítkem na paket můžete v kontextové nabídce kliknout na „Barevné připojení“ a vybrat typ připojení (Ethernet, IPv4, IPv6, TCP, UDP atd.).
Obarvení spojení na základě transportního protokolu nám umožní rozlišit jednotlivé komunikační toky mezi stejným IP párem. To umožňuje lepší analýzu než pouhé sledování IP adresy.
Barevné kódování jednotlivých připojení je užitečné zejména v situacích, kdy komunikuje více hostitelů současně, nebo kdy mezi stejnými hostiteli existuje více komunikačních spojení, která je třeba rozlišovat.
Barevné kódování je také dobrý způsob, jak si dělat poznámky, pokud se chcete blíže podívat na jakýkoli potenciálně podezřelý provoz. Také poskytuje snadno použitelnou techniku pro počáteční orientaci ve velkých datových souborech pcap.
Třetí technikou, kterou zde pro lepší orientaci ve velkých souborech pcap popíšeme, je použití hierarchií protokolů. To ve srovnání s barevným kódováním to vyžaduje pokročilé znalosti Wiresharku. Použití hierarchií protokolů poskytuje užitečná vodítka, například při sledování podezřelých aplikací nebo protokolů.
Chcete-li zobrazit protokoly použité v souboru záznamů, musí být vybrána položka nabídky Statistika -> Hierarchie protokolů. Hierarchie poskytuje stromový pohled protokolů, včetně statistických hodnot pro každý protokol. Říká se tomu hierarchie, protože data jsou uspořádána na základě komunikačních vrstev a většina paketů obsahuje více zapouzdřených protokolů. Proto je paket HTTP uveden pod paketem TCP, a to jak pod pakety IP a tak dále.
Kromě informací o protokolu může správce zobrazit, jaký podíl celkového provozu má daný protokol, přesný počet paketů nebo šířku pásma protokolu. Pokud jsou v datech zaznamenány nečekaně vysoké hodnoty, měl by být tento provoz zkoumán podrobněji. K tomu účelu je záznam označen pravým tlačítkem myši pro další analýzu. Otevře se kontextové menu pro přímé filtrování nebo barevné označení paketů. Kvůli hierarchické struktuře seznamu není možné třídit nebo přeuspořádávat záznamy.
Nicméně lze použít deduktivní strategii tím, že se filtrace záznamů, které nejsou přímo zajímavé, provádí přímo z pohledu hierarchie záznamů. Z filtrovaných výsledků lze uložit samostatný soubor s zachycenými daty.
Celkově je technika hierarchie protokolu škálovatelným způsobem, jak získat celkový přehled o souboru pcap. Hierarchie protokolu je často výchozím bodem pro další analýzy, protože zde vyplývají náznaky nečekaného provozu nebo chyb, jako jsou nečekané protokoly nebo nečekané poměry dat jednotlivých protokolů. 
Pro výše popsané aplikace a standardní situace na síti je vhodná zejména následující měřicí technika:
Kromě instruktáže k měření přímo v terénu na vaší síti, jsme schopni a připraveni vaši síť změřit a zpracovat výsledky dle platných norem a pravidel. To může být vhodné zejména u prvních nebo důležitých projektů, kde každá chyba a nekvalita může mít fatální následky. Expertní měření provádíme nejen jako referenční, přejímková/akceptační měření, ale zejména v případě sporů, reklamací, či jiných pochybnostech o kvalitě. Než získáte vlastní dostatečné zkušenosti, jsme připraveni vám poradit, dohlédnout na kvalitu dodávek a dodavatelů nejen sítě, jejích bloků a prvků, ale také služeb montáže a oprav. Při svých expertních činnostech se opíráme o metrologické zázemí a zkušenosti naší kalibrační laboratoře s mezinárodní akreditací dle normy ISO/IEC 17025.
Při kontrole a rozhodování o kvalitě služby nebo sítě je důležité vědět, co měřím, proč to měřím a s jakou přesností to měřím. Nestačí jenom znát teoretické základy, výklad technických norem a osvojit si praktickou stránku měření. Je nutné znát dobře měřicí metodu, parametry svých měřidel a určit si chybu měření, korektně označovanou jako nejistotu měření. K těmto podmínkám patří i platná kalibrace měřidel a metrologická návaznost měřené veličiny a měřených přenosových parametrů. Je nutné mít měřidlo v dobrém technickém stavu, aktuální firmware a kvalitní HW+SW doplňky a příslušenství. O to se starají naši servisní technici a pracovníci kalibrační laboratoře.
Kontakt CZ
PROFiber Networking CZ s.r.o.
Mezi Vodami 205/29
143 00 Praha 4
Tel.: + 420 225 152 050
info[zavinac]profiber.eu
www.profiber.eu
Kontakt SK
PROFiber Networking s.r.o.
Bernolákova 2
917 01 Trnava
Tel.: + 421 335 522 355
info[zavinac]profiber.eu
www.profiber.eu
Technická podpora 
linked in