|
| วิเคราะระบบเครื่อข่ายด้วย Wireshark. |
บทความนี้จะมาแนะนำการใช้งานโปรแกรม Wireshark เบื้องต้น สำหรับผู้ที่กำลังเขียนโปรแกรมติดต่อ ระหว่างไมโครคอนโทรลเลอร์ กับเครือข่ายอยู่ (หรือจะเอาไป hack ก็ได้ครับ อันนี้ไม่แนะนำนะครับ) ก่อนอื่นต้องดาวน์โหลด ตัวโปรแกรมมาติดตั้งบนคอมพิวเตอร์ก่อนครับ
wireshark-setup-0.99.5.exe หรือดาวน์โหลดจากเว็บไซต์ของ Wireshark :
www.wireshark.org
หลังจากที่ดาวน์โหลดโปรแกรมมาติดตั้งเรียบร้อยแล้ว ก็ให้เปิดโปรแกรม wireshark ขึ้นมา จะปรากฎหน้าต่างว่าง ดังรูปด้านล่างครับ
รูปหน้าต่างหลักของโปรแกรม Wireshark
หลังจากที่เปิดโปรแกรม Wireshark ขึ้นมาแล้ว ต่อไปก็จะเริ่มดักจับแพกเกจบนการ์ดแลนอขงเราครับ ให้คลิ๊กที่เมนู Capture แล้วก็เลือก Option หรือจะกดคีย์ลัด Ctrl+K เพื่อตั้งค่าการดักจับข้อมูล ดังรูป
เลือกเมนู Capture->Option
จะปรากฎหน้าต่าง Capture Option ขึ้นมา ตรงช่อง Interface ให้เลือกการ์ดแลนบนคอมของเรา ที่เชื่อมต่อกับเครือข่ายอยู่ ตรงช่อง Capture Filers ยังไม่ต้องใส่ filter อะไรลงไป หลังจากนั้นให้คลิ๊ก Start ดังรูปด้านล่าง
ตั้งค่าก่อนดักจับข้อมูล
หลังจากที่กด Start แล้ว จะปรากฎหน้าต่างแสดงสถานะ การดักจับข้อมูลขึ้นมาดังรูป
สถานะการดักจับข้อมูล
ต่อไปให้เปิด command line ขึ้นมา โดยคลิ๊กที่ Start->Run แล้วพิมพ์คำว่า cmd แล้วกด Enter จะปรากฎหน้าต่าง command line ขึ้นมา ให้พิมพ์ ping [ip address] -n 1 โดยในที่นี้ ip address ของบอร์ด Ethernet ผมเป็น 10.1.1.10 ก็จะต้องพิมพ์ ping 10.1.1.10 -n 1 แล้วกด Enter กลับไปที่หน้าต่างสถานะการดักจับ ก็จะแสดงออกมาว่าตอนนี้ดักจับข้อมูลได้กี่ packet แบ่งเป็น protocol อะไรมั่ง ดังรูป
สถานะการดักจับข้อมูล
หลังจากที่ดักจับข้อมูลที่เราทดสอบเรียบร้อยแล้ว ก็ให้กด Stop เพื่อหยุดการดักจับข้อมูล หลังจากนั้นโปรแกรมจะแสดงรายละเอียดของข้อมูลที่ดักจับได้ดังรูป โดยจะแบ่งรายระเอียดเป็นสามช่อง ช่องแรกเป็นข้อมูลคร่าวๆ ของแต่ละ packet ช่องที่สองเป็นรายละเอียดของแต่ packet ที่ดักจับได้ ส่วนช่องที่สามเป็นข้อมูลดิบฐานสิบหก ที่โปรแกรมจับได้
Pcaket ที่ 1
ต่อไปเรามาดูรายละเอียดของ packet ที่ 1 ที่โปรแกรมดักจับได้นะครับ ว่าประกอบด้วยอะไรบ้าง packet แรกจะประกอบด้วย protocol 2 protocol คือ Ethernet II และ ARP Address Resolution Protocol ภายใน Ethernet protocol ก็จะมี MAC address ต้นทางและปลายทาง MAC address ปลายทางเป็น 0xff,0xff,0xff,0xff,0xff,0xff เป็น broadcast ซึ่งทุกเครื่องที่อยู่ในวงแลนสามารถรับ packet นี้ได้ และ protocol type จะเป็น ARP, ส่วนภายใน Protocol ARP ก็จะมีข้อมูลต่างๆดังรูปด้านบนครับ ส่วนรายละเอียดของโปรโตคอล ARP ดูได้จากลิ้งค์นี้ครับ
http://www.networksorcery.com/enp/protocol/arp.htm
Pcaket ที่ 2
Packet ที่สอง เป็น packet ที่ส่งมาจากบอร์ด Ethernet ข้อมูลจะคล้ายกับ packet แรก แต่ตรง opcode จะเปลี่ยนจาก Request เป็น Reply แทน
Pcaket ที่ 3
Packet ที่สาม เป็น packet ที่ส่งจากคอมพิวเตอร์ ไปยังบอร์ด Ethernet โดยที่โปรโตคอลจะเปลี่ยนจาก ARP ไปเป็น ICMP (Internet Control Message Protocol) แทน รายละเอียดของโปรโตคอล ICMP ดูเพิ่มเติมจากลิ้งค์นี้ครับ http://www.networksorcery.com/enp/protocol/icmp.htm
Pcaket ที่ 4
Packet ที่สี่ เป็น packet ที่ตอบกลับมาจากบอร์ด Ethernet รายละเอียดของข้อมูลใน packet ดูจากรูปด้านบนครับ
เอาเป็นว่าบทความนี้ แนะนำการใช้งานโปรแกรม Wireshark แค่นี้ก่อนนะครับ
ดาวน์โหลด : wireshark-setup-0.99.7.exe
|
|
