- Binibigyang-daan ka ng Wireshark na makuha, salain, at suriin nang detalyado ang trapiko upang matukoy ang latency, packet loss, at mga problema sa TCP.
- Ang pagsasama ng Wireshark sa PingPlotter at pagkuha ng data sa iba't ibang punto sa network ay nakakatulong upang matukoy kung ang latency ay nasa mga server, load balancer, o switch.
- Ang mga TCP window, congestion, at mga dependency ng application ay may mahalagang impluwensya sa pinaghihinalaang latency, higit pa sa bandwidth lamang.
- Mahalagang igalang ang batas at ilapat ang mabubuting kasanayan sa segmentasyon, pagsala, at awtorisasyon kapag sinusubaybayan ang mga network gamit ang mga tool na ito.
Pagpapanatili ng kontrol sa latency sa pagitan ng mga server at application Hindi na ito basta "dagdag" lang para sa mga geeky network admin: puro negosyo na lang ito. Kapag nahuli sa pagtugon ang isang server, bumabagal ang website, nagka-crash ang mga app, at nagsisimula ang mga reklamo mula sa mga user at system. Sa mga virtualized na kapaligiran na may mga load balancer, firewall, Nexus, ESXi, at iba pa, ang pag-alam kung totoo ang problema at kung saan ito nangyayari ay mahalaga upang maiwasan ang pagiging baliw sa pakikialam sa mga maling bagay.
Wireshark at mga kagamitan tulad ng PingPlotter o Omnipeek Pinapayagan ka nitong lumampas nang higit pa sa karaniwang ping. Gamit ang mga ito, maaari mong tumpak na masukat ang mga oras ng round-trip, matukoy ang packet loss, makita kung ang isang load balancer ay nagpapakilala ng latency, kung ang VMware o ang switch ay nagdaragdag ng jitter, o kung ang application ang salarin. Sa artikulong ito, makikita mo, nang detalyado, kung paano i-optimize at subukan ang network latency sa pamamagitan ng pagsasama-sama ng packet capture at graphical analysis, at kung paano ilapat ang lahat ng ito sa mga totoong sitwasyon gamit ang mga virtual server at Nexus switch.
Ano ang latency ng network at bakit ito tumataas nang husto?
Ang latency ng network ay ang kabuuang oras na kinakailangan para maproseso ang isang kahilingan. Kailangan ng oras para umalis sa isang pinagmulan, makarating sa destinasyon, maproseso, at makabalik kasama ang tugon. Ito ang makikita mo sa maraming manwal bilang RTT (Round Trip Time). Ang bawat pag-click sa isang link, bawat query sa isang web server o isang database ay naglalakbay sa network at pabalik, na nagdaragdag ng maliliit na pagkaantala sa bawat hop.
Kapag pinag-uusapan natin ang mababang latency Tinutukoy natin ang napakaikling pagkaantala, na halos hindi mahahalata ng gumagamit. Sa kabaligtaran, ang labis na latency ay nagiging nakakadismayang karanasan sa pagbubukas ng mga web page, paglo-load ng mga ulat, o paglalaro ng mga online game. Kahit na may mataas na bandwidth, ang mahinang latency ay ganap na nagpapahina sa persepsyon ng bilis.
Sa pagsasagawa, kasama sa latency ang parehong paglalakbay sa buong network (mga router, switch, load balancer, WAN link…) tulad ng oras na kinakailangan upang maproseso ng destination server ang kahilingan. Kung ang iyong server ay overloaded o ang application ay gumagawa ng mga chained request sa iba pang mga serbisyo, maaari kang makaranas ng "mabagal na network" kahit na perpekto ang IP path.
Kabilang sa mga pinakakaraniwang sanhi ng mataas na latency Kabilang dito ang pagsisikip ng trapiko, pagkawala ng packet, mga pila sa mga intermediate device, hindi maayos na pagsasaayos ng mga laki ng TCP window, mga dependency ng application, at, siyempre, hindi maayos na na-optimize na hardware o mga configuration. Ang iyong misyon kapag nagmo-monitor gamit ang Wireshark at PingPlotter ay alisin, patong-patong, ang pinagmumulan ng bottleneck.
Wireshark: ang scalpel para makita kung ano ang nangyayari sa network
Ang Wireshark ang pinakamalawak na ginagamit na network protocol analyzer sa buong mundoIto ay libre at open-source. Maaari itong magsagawa ng malalimang pagsusuri sa daan-daang protocol sa lahat ng layer: pisikal, data link, network, transportasyon, at aplikasyon. Kinukuha nito ang trapiko nang real time at nagbibigay-daan sa iyong i-save ito para sa pagsusuri sa ibang pagkakataon, kahit na sa ibang computer.
Maaaring gamitin ang tool na may graphical user interface (GUI). o sa pamamagitan ng katumbas nitong console, ang TShark, na mainam kung gusto mong gumamit ng SSH o i-automate ang pagsusuri sa mga script. Binabasa at isinusulat ng Wireshark ang mga karaniwang format ng capture tulad ng libpcap (tcpdump), pcapng, at marami pang ibang extension, kaya akma ito sa mga external capture device mula sa mga router, firewall, o mga system tulad ng pfSense.
Isa sa mga pangunahing tampok ng Wireshark ay ang mga filter.Ang mga filter na ito, kapwa para sa pagkuha at pagpapakita, ay nagbibigay-daan sa iyong tumuon lamang sa trapikong interesado ka: isang partikular na IP address, isang pares ng pinagmulan/patutunguhan, isang port, isang protocol, mga indibidwal na daloy ng TCP, atbp. Kung walang mga filter, mababaon ka sa ilalim ng libu-libong hindi nauugnay na mga packet.
Sa mga tuntunin ng pagiging tugma, ang Wireshark ay cross-platform.Gumagana ito sa Windows, Linux, at macOS, at kasama bilang default sa maraming distribusyon na nakatuon sa cybersecurity. Sinusuportahan nito ang iba't ibang teknolohiya ng network (Ethernet, Wi-Fi IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI, atbp.) at, gamit ang mga naaangkop na key, maaari pang i-decrypt ang IPsec, TLS/SSL, Kerberos, SNMPv3, WEP, WPA/WPA2, at iba pang mga protocol ng pag-encrypt.
Pag-install, pagkuha, at pagpapasadya ng Wireshark
Para i-install ang Wireshark, pumunta lang sa opisyal na website nito.I-download ang bersyon para sa iyong operating system at sundin ang wizard. Sa Windows, naka-install din ang Npcap, ang driver na naglalagay ng card sa promiscuous mode upang makuha ang lahat ng papasok at palabas na trapiko. Ang Npcap ngayon ay isang maayos at tuluy-tuloy na kapalit para sa mas lumang WinPcap; malalaman mo kung paano. i-optimize ang prayoridad ng koneksyon.
Sa mga sistemang Linux, kadalasan ito ay nasa package managerSa Debian/Ubuntu, halimbawa, maaari kang gumamit ng isang simpleng sudo apt i-install ang wiresharkMainam na ideya na laging magkaroon ng pinakabagong bersyon para sa mga kadahilanang pangseguridad at mga bagong tampok.
Kapag binuksan mo ang Wireshark, makikita mo ang lahat ng network interface ng computer.Kabilang dito ang mga wired physical network card, Wi-Fi, at mga virtual interface (VMware, VirtualBox, tunnel, atbp.). Tukuyin lamang ang gusto mo (halimbawa, ang NIC ng ESXi host o ang apektadong server) at i-double click para simulan ang pagkuha.
Bago kumuha ng mga capture para masuri ang latency o mga bottleneck Lubos na inirerekomenda na isara ang lahat ng application na lumilikha ng hindi kinakailangang trapiko, at, kung pinahihintulutan ng konteksto, pansamantalang i-disable ang lokal na firewall upang hindi nito harangan o baguhin ang trapikong gusto mong subaybayan. Binabawasan nito ang ingay at pinapanatili lamang ang mga kaugnay na komunikasyon.
Nag-aalok ang Wireshark ng maraming opsyon sa pagpapasadya ng interfaceMaaari mong muling ayusin ang mga panel, baguhin ang mga scheme ng kulay, magdagdag o mag-alis ng mga column (halimbawa, pagpapakita ng delta time sa pagitan ng mga packet, port, bilang ng mga byte na lumilipad, atbp.), lumikha ng iba't ibang work profile ayon sa uri ng pagsusuri, at gumamit ng mga script sa Lua o Python upang i-automate ang mga kumplikadong gawain o mga partikular na pagsusuri.
Mga kalamangan at limitasyon ng Wireshark sa mga problema sa latency
Kabilang sa mga pangunahing bentahe ng Wireshark para sa pagsusuri ng latency Ang kagalingan nito sa paggamit ay isang mahalagang katangian: sinusuportahan nito ang mahigit 480 na protocol, nagbibigay-daan para sa muling pagbuo ng TCP session, pagsubaybay sa daloy, pagsusuri ng oras ng pagtugon, at pagsusuri ng mga istatistika ng pag-uusap at protocol. Ito ay isang makapangyarihang tool para sa mga administrador ng network, mga developer, at mga propesyonal sa cybersecurity.
Ito ay lalong kapaki-pakinabang para sa pagtukoy ng labis na trapikoSaklaw na lahat ang labis na pagkonsumo, pagkawala ng packet, muling pagpapadala, at mga kahinaan sa seguridad. Bukod pa rito, sa mga setting ng edukasyon, nakakatulong na maunawaan kung paano binubuo at ipinamamahagi ang mga packet, kung ano ang mga nilalaman nito, kung aling mga port ang ginagamit nito, kung aling mga protocol ang kasangkot, at ano, halimbawa, ang hitsura ng isang ICMP ping, isang DNS resolution, o isang raw TLS session.
Sa kabilang banda, kung nagsisimula ka pa lang sa social media Ang pagbibigay-kahulugan sa lahat ng field sa mga packet ay maaaring medyo nakakapagod. Mayroong kurba ng pagkatuto: sa una, mahirap matukoy kung ano ang mahalaga sa kung ano ang noise lamang. Mahalaga ring tandaan na ang pagkuha ng mga packet ay nangangailangan ng mas mataas na pribilehiyo sa karamihan ng mga sistema, na isang benepisyo sa seguridad, ngunit maaaring maging abala sa pagsasagawa.
Isa pang puntong dapat bantayan ay ang lokal na pagkuha ay hindi palaging sumasalamin Makikita mo lang ang aktwal na trapikong dumadaloy sa buong network: makikita mo lang kung ano ang dumadaan sa partikular na interface na iyon. Bukod pa rito, ang mga napakahabang capture o iyong may napakataas na trapiko ay maaaring kumonsumo ng maraming RAM at CPU, at makapagpabagal sa device na iyong ginagamit sa pagkuha ng litrato, lalo na kung maglalapat ka ng mga kumplikadong real-time filter.
Ang magandang balita ay patuloy na nakakatanggap ng mga update ang Wireshark. Madalas na mga update, kasama ang mga pagpapabuti sa pagganap, mga patch sa seguridad, at mga bagong protocol. Wala itong malinaw na katunggali, kahit man lang libre, na may parehong antas ng lalim at komunidad, kaya naman nananatili itong Swiss Army knife ng packet analysis.
Paano gamitin ang Wireshark upang sukatin at maunawaan ang latency
Hindi lang kumukuha ng mga packet ang Wireshark, sinusukat din nito ang mga timing.Maaari mong kalkulahin kung gaano katagal dumating ang isang tugon, kung gaano katagal naantala ang isang TCP ACK, o ang latency sa pagitan ng isang HTTP request at ng tugon ng server. Mahalaga ito kapag gusto mong suriin kung "down ang network" o kung ang problema ay talagang nasa server o sa application.
Ang isang direktang paraan upang makita ang latency ay ang TCP flow graph. (Mga Istatistika > TCP Stream Graph > Round Trip Time Graph). Doon mo makikita ang epektibong RTT ng isang koneksyon sa paglipas ng panahon, matutukoy ang mga pagtaas at pagbaba ng performance, at kung ang ruta ay may mataas na latency na nagbibigay-katwiran sa nakikitang kabagalan kapag nagda-download ng file o naglo-load ng pahina.
Bukod pa rito, ipinapakita ng Wireshark ang mga marker ng retransmissionMga duplikadong ACK, mga out-of-order na packet, at iba pang tipikal na sintomas ng pagkawala ng packet at pagsisikip ng data. Ang mga pahiwatig na ito, kasama ang oras sa pagitan ng mga segment, ay makakatulong sa iyo na matukoy kung ang latency ay dahil sa mismong ruta o ang pangangailangang ipadala muli ang mga nawalang packet.
Para sa mga web application, mahalaga ang HTTP/HTTPS analysis.Maaari mong gamitin ang mga istatistika ng pagkarga ng HTTP upang makita kung saang mga panlabas na domain kumokonekta ang isang pahina (advertising, CDN, tracker, third-party API, atbp.). Tulad ng sa halimbawa ng isang portal tulad ng ESPN, ang isang access ay maaaring mag-trigger ng mga kahilingan sa higit sa isang dosenang host, at kung ang isa o dalawa sa kanila ay mabagal na tumugon, maaari itong negatibong makaapekto sa buong karanasan ng gumagamit.
Sa madaling salita, tinutulungan ka ng Wireshark na suriin ang komunikasyon. Sa bawat yugto: pagtuklas ng DNS, pagtatatag ng koneksyon ng TCP (SYN, SYN/ACK, ACK), negosasyon ng TLS (kung mayroon man), kahilingan ng aplikasyon, tugon, at pagsasara ng sesyon. Sa pamamagitan ng pagsukat ng oras sa pagitan ng mga pangunahing puntong ito, matutukoy mo kung ang problema ay nasa network, server, load balancer, o logic ng aplikasyon.
Senaryo sa totoong mundo: latency sa pagitan ng dalawang server sa iisang data center
Isipin ang karaniwang kaso: dalawang virtual server sa iisang DCParehong server ay gumagamit ng VMware ESXi at nakakonekta sa mga Cisco Nexus switch. Ang isang server ay nakikipag-ugnayan sa isa pa sa likod ng isang load balancer na nagsisilbi ring router para sa segment na iyon (hindi perpekto, ngunit karaniwan). Nagrereklamo ang mga system na "masyadong maraming latency sa pagitan ng dalawang server na ito."
Ang unang dapat gawin ay tingnan kung talagang umiiral ang problemang latency na iyon.Para magawa ito, maaari mong pagsamahin ang ilang mga pamamaraan: mga tool sa command line (utos ng ping upang sukatin ang lag(traceroute), mga graph gamit ang PingPlotter, at detalyadong pagsusuri gamit ang Wireshark. Ang ideya ay upang ihiwalay kung saang bahagi ng ruta nadaragdagan ang pagkaantala.
Ang isang karaniwang pamamaraan ay ang pagkuha ng trapiko sa maraming puntoSa pinagmulang VM, sa ESXi host ng VM na iyon (kung mayroon kang access sa virtual interface), sa load balancer, at, kung maaari, sa destination server o sa ESXi host nito. Mas maraming points ang mayroon ka sa daan, mas madaling matukoy kung saan napapalaki ang oras ng round-trip.
Sa mga kapaligirang VMware, maaari mong gamitin ang port mirroring sa vSwitches o sa mga Nexus device para magpadala ng trapiko mula sa isang port o VLAN papunta sa isang interface kung saan mayroon kang sniffer (Wireshark, tcpdump, Omnipeek…) at suriin ang kumpletong gabay sa mga kable ng EthernetSa mga Nexus device, ang isang SPAN o ERSPAN sa isang centralized analyzer ay magbibigay-daan sa iyong makita ang parehong papasok at papalabas na trapiko para sa segment na iyong inaalala.
Hindi kayang "pagsamahin" ng Wireshark nang mag-isa ang iba't ibang port captures. Para awtomatikong mabigyan ka ng pagkakaiba sa oras sa pagitan ng isang punto at isa pa, ngunit maaari mong ihambing ang mga timestamp sa pagitan ng mga capture kung ang mga orasan ay maayos na naka-synchronize (NTP). Ang mga komersyal na tool tulad ng Omnipeek o mga sentralisadong kapaligiran sa pagsusuri ay nagpapadali sa multi-interface correlation na ito, na lubhang kapaki-pakinabang kapag gusto mong malaman kung ang problema ay nasa mismong input o output ng isang Nexus o isang load balancer.
Praktikal na pamamaraan para sa pagsusuri ng latency gamit ang Wireshark at PingPlotter
Ang isang makatwirang daloy ng trabaho para sa ganitong uri ng mga kaso ay maaaring Pinagsasama ng sumusunod ang mga karaniwang rekomendasyon sa mga kakayahan ng mga tool:
1. Malinaw na tukuyin ang pinagmulan at destinasyon ng trapiko na nagdudulot ng mga problema: IP address ng pinagmulang VM, virtual IP address ng load balancer (VIP), at totoong IP address ng patutunguhang VM. Tandaan din ang mga port na kasangkot (halimbawa, 443 para sa HTTPS o 1433 para sa SQL Server).
2. Patakbuhin ang PingPlotter mula sa source server sa IP address ng VIP at, kung maaari, sa IP address ng totoong server. Patuloy na ipapakita sa iyo ng PingPlotter ang latency at packet loss kada hop, na tutulong sa iyong mabilis na matukoy ang anumang spike o packet loss sa ruta.
3. Habang nangyayari ang problema, kunan ito gamit ang Wireshark. sa source server (o sa isang makina sa parehong segment na may SPAN). Salain ito ayon sa destination IP address at port, halimbawa: ip.addr == XXXX at tcp.port == 443Hayaang dumaloy ang trapiko habang "mabagal" ang app.
4. Itigil ang pagkuha at gamitin ang mga tool sa pagsusuri ng WiresharkSubaybayan ang daloy ng TCP ng may problemang koneksyon, tingnan ang RTT graph, suriin ang mga retransmission, pinababang window, oras ng kahilingan-tugon ng aplikasyon, atbp. Sasabihin nito sa iyo kung ang latency ay nasa IP path o sa mismong server (kapag matagal bago tumugon pagkatapos matanggap ang kahilingan).
5. Kung pinaghihinalaan mo ang balancer o ang NexusI-configure ang port mirroring sa mga pisikal o lohikal na port kung saan dumadaan ang trapiko. Pagkatapos ay ulitin ang pagsubok, na kumukuha ng data sa mga intermediate point na iyon. Sa pamamagitan ng paghahambing ng mga oras ng pagdating at pag-alis ng packet, makikita mo kung ang mga packet ay "naiipit" sa load balancer, kung may mga patakaran na inuuna ang ibang trapiko, o kung ang switch ay nagpapakilala ng mga congestion queues.
6. Kung mayroon kang access sa mga tool tulad ng Omnipeek ni SavviusMaaari mong samantalahin ang mga kakayahan nito sa multi-point analysis, na, ayon sa marketing nito (at sa karanasan ng ilang admin), ay nagbibigay-daan sa iyong i-correlate ang mga capture mula sa iba't ibang port at direktang makita ang pagkakaiba ng oras sa pagitan ng input at output. Ito ay lubhang kapaki-pakinabang para sa pag-ihiwalay ng mga problemang dulot ng mga partikular na kagamitan sa network.
Wireshark laban sa packet loss, congestion, at laki ng window
Isa sa mga elementong lubos na nakakaapekto sa pinaghihinalaang latency Ito ay packet loss. Sa tuwing nawawala ang isang TCP packet, nangyayari ang mga retransmission, at binabawasan ng congestion control algorithm ang transmission rate upang "protektahan" ang network. Malaki ang naitutulong nito upang pahabain nang malaki ang pag-download ng malalaking file o masinsinang paglilipat ng data.
Sa Wireshark, kitang-kita ang packet loss sa pamamagitan ng mga duplikadong ACK, mga retransmission na minarkahan ng pula o kahel, at mga puwang sa pagkakasunod-sunod ng numero ng segment. Kung makakita ka ng mga pagsabog ng mga duplikadong ACK at mga retransmission, ito ay isang malinaw na senyales na may humihila ng trapiko sa ruta o mayroong matinding antas ng pagsisikip.
Nakakatulong din ang tool na mailarawan ang epekto ng mga TCP windowsAng sliding window, receiver window, at congestion window ay pawang mga salik. Ang kombinasyon ng mga ito ang nagtatakda kung gaano karaming data ang maaaring "lumipad" nang hindi napapansin. Kung ang receiver window ay maging napakaliit (dahil sa hindi sapat na buffering o mabagal na aplikasyon), magaganap ang mga kondisyong "zero window", na magreresulta sa biglaang paghinto sa paglilipat.
Sa mga sitwasyong may mataas na RTT (mga long-distance link, satellite, atbp.)Ang isang labis na konserbatibong TCP window ay sumisira sa performance dahil ang dami ng data na nasa flight ay napakababa kumpara sa kapasidad ng link. Ipapakita sa iyo ng Wireshark kung ang window na ina-advertise ng receiver ay makatwiran para sa Bandwidth Delay Product (BDP) ng path, o kung dapat mong paganahin ang window scaling at isaayos ang mga parameter sa operating system. Paganahin ang mga jumbo frame.
Kung makakita ka ng patuloy na pagkawala ng packetSa isip, dapat mong ilipat ang capture point "upstream" hanggang sa mawala ang loss. Ang distansya sa pagitan ng huling punto na may loss at ng una na wala nito ay nagpapaliit sa problematikong device: isang overloaded na router, isang firewall na umabot na sa limitasyon nito, isang may sira na pisikal na link, o isang load balancer na may CPU nito sa 100%.
Mga dependency ng aplikasyon, mga intermediate device, at SSH gamit ang Wireshark
Hindi lahat ng problema sa latency ay purong may kaugnayan sa network.Maraming aplikasyon ang nakasalalay sa iba pang mga serbisyo (mga database, mga panlabas na API, mga microservice, pagpapatotoo, DNS) at anumang pagbagal sa mga dependency na iyon ay isinasalin sa napakababang oras ng pagtugon para sa end user.
Ang istatistika ng "Distribusyon ng HTTP load" sa Wireshark O kaya naman, ang mabilis na pagtingin sa mga pag-uusap ay nagpapakita sa iyo kung gaano karaming iba't ibang host ang kasangkot sa paglo-load ng isang pahina o isang partikular na proseso. Kung 16 na panlabas na server ang kokonsultahin upang i-render ang homepage ng iyong website, ang isang pagkabigo lamang ay magiging sanhi ng pagkasira ng buong grupo.
Mga aparatong pangkonekta (mga switch, router, firewall, load balancer) Maaari rin silang mag-inject ng latency kung mali ang sukat, saturated, o kung mag-apply sila mga pila ng pagbibigay-priyoridad sa trapiko (QoS) masyadong agresibo. Sa mga screenshot, lumalabas ito bilang karagdagang oras habang dumadaan ang signal sa mga device na iyon, nang walang packet loss ngunit may patuloy na pagkaantala.
Sa mundo ng SSH, ang Wireshark ay maaari ring maging isang mahusay na kakampi. Para sa tugon sa insidente. Bagama't naka-encrypt ang sesyon, makikita mo ang bilang ng mga pagtatangka sa koneksyon, ang tagal ng bawat daloy, laki ng packet, mga pattern ng pag-access mula sa mga panlabas na IP, atbp. Nagbibigay-daan ito sa iyong matukoy ang mga pag-atake ng credential stuffing, mga malawakang pag-scan ng mga bukas na SSH port, o lateral activity kapag ang isang tao ay nakakuha ng malayuang access.
Pag-filter ayon sa internal vs. external na trapiko ng SSH Sa pamamagitan ng pagsusuri ng mga pattern at volume ng pinagmulan/patutunguhan, posibleng matukoy ang mga nakompromisong makina na nagsisimulang mag-scan ng iba pang mga panloob na makina, o mga hindi pangkaraniwang pag-uugali tulad ng isang host na hindi kailanman nakipag-usap sa iba at biglang bumubuo ng isang napakataas na tuluy-tuloy na daloy.
Pinakamahusay na mga kasanayan, legalidad at pag-iingat kapag gumagamit ng Wireshark
Ang pagkuha ng mga packet ay katumbas ng pagtingin sa loob ng mga komunikasyon ng mga gumagamit. Bagama't karamihan dito ay naka-encrypt, nananatili itong isang napakasensitibong isyu sa mga tuntunin ng privacy at pagsunod sa batas. Sa Espanya, at sa pangkalahatan sa EU, ang pagpapakalat o maling paggamit ng impormasyong nakuha sa ganitong paraan ay maaaring maituring na mga krimen ng pagtuklas at pagsisiwalat ng mga lihim.
Ang ginintuang tuntunin ay napakasimple: suriin lamang ang sarili mong mga network o kung saan mayroon kang malinaw at dokumentadong pahintulot (halimbawa, isang pormal na pag-audit o pakikipag-ugnayan sa pag-troubleshoot). Ganap na iwasan ang pag-espiya sa mga third-party na bukas na Wi-Fi network, pagkuha ng trapiko sa mga pampublikong lugar, o paglalaro ng "tingnan natin kung ano ang mahuhuli ko rito," dahil ang legal na panganib ay totoo, kahit na sa tingin mo ay walang nakatingin.
Mula sa teknikal na pananaw, ipinapayong hatiin ang network Tinitiyak nito na ang iyong mga capture ay hindi magsasama ng mas maraming data kaysa sa kinakailangan. Kung mas kaunti ang mga hindi kaugnay na packet na iyong kinukuha, mas kaunti ang impormasyong iyong inilalantad, na ginagawang mas madali ang iyong pagsusuri. Ang pag-configure ng mga partikular na capture filter (ayon sa IP, port, VLAN) ay nakakatulong din na maiwasan ang pagkuha ng trapiko na hindi mo dapat hawakan.
Mahalagang tandaan na kumakalat ang mga panloloko at malware gamit ang Wireshark.tulad ng pekeng "Wireshark Antivirus" na sa totoo lang ay isang Trojan horse na humihingi ng pera. Malinaw ang rekomendasyon: i-download lamang ang Wireshark mula sa opisyal nitong website o mga mapagkakatiwalaang repository, at mag-ingat sa mga "miracle tool" na gumagamit ng pangalan nito.
Panghuli, palaging gumamit ng mga angkop na filter Para maiwasan ang pagtingin sa mas maraming datos kaysa sa talagang kinakailangan. Ang paggamit ng masyadong malawak na mga filter ay hindi lamang nagpapakomplikado sa mga bagay-bagay kundi maaari ka ring malantad sa impormasyong hindi ka awtorisadong i-access. Mas mainam kung kaunti lang ang kailangan, lalo na pagdating sa mga pakete.
Mga alternatibo at komplemento sa Wireshark sa pagsusuri ng latency
Bagama't natutugunan ng Wireshark ang karamihan sa mga pangangailanganSa ilang mga sitwasyon, kapaki-pakinabang ang paggamit ng mga komplementaryo o alternatibong kagamitan depende sa uri ng pagsusuri na gusto mong gawin o sa kapaligirang iyong pinagtatrabahuhan.
Cloudshark Ito ay isang serbisyo sa web na nagbibigay-daan sa iyong mag-upload ng mga pcap file at suriin ang mga ito mula sa iyong browser, ibahagi ang mga ito sa ibang mga technician, at samantalahin ang ilang mga tampok sa organisasyon at anotasyon. Napakaginhawa nito kapag mayroon kang mga capture na nabuo ng mga router, firewall, o appliances at gusto mong suriin ang mga ito nang hindi nag-i-install ng anumang lokal.
SmartSniff Ito ay isang magaan na utility ng Windows na kumukuha ng mga pag-uusap sa pagitan ng mga kliyente at server, na ipinapakita ang data sa isang medyo siksik na format. Mas simple ito kaysa sa Wireshark at maaaring maging kapaki-pakinabang para sa mabilis na pagsusuri, bagama't nangangailangan ito ng pag-install ng ilang mga bahagi upang makuha ito at hindi nag-aalok ng parehong antas ng detalye tulad ng Wireshark.
Ang Nmap at Tcpdump ay mahusay ding mga kaalyadoAng Nmap, bagama't pangunahing nakatuon sa pagtuklas ng mga host at bukas na port, ay perpekto para sa pag-unawa kung aling mga serbisyo ang nakikinig sa network at kung saan maaaring umiiral ang mga attack vector o bottleneck. Sa kabilang banda, ang Tcpdump ay katumbas ng command-line ng Wireshark: mainam para sa mga Unix/Linux server, magaan, at napakalakas para sa pagkuha at pag-filter, bagaman mas madali ang interpretasyon kung bubuksan mo ang pcap file sa Wireshark.
Kasama sa iba pang mga opsyon ang ColaSoft Capsa o Omnipeek Nag-aalok ang mga ito ng mga interface na mas nakatuon sa produktibidad ng negosyo, pinagsamang pagsusuri, at, sa kaso ng Omnipeek, ang mas advanced na kakayahang pangasiwaan ang mga multi-point capture at iugnay ang mga latency sa pagitan ng mga port. Kapaki-pakinabang din ang mga ito para sa isang pagsusuri ng kagamitan sa networkAng EtherApe, sa bahagi nito, ay nagbibigay ng napaka-biswal na pananaw ng trapiko, na nagpapakita ng mga node at link na may kapal at kulay ayon sa volume, na kapaki-pakinabang para sa paghahanap ng mga bottleneck sa isang sulyap.
Paggamit ng "Wireshark" sa Android at iOS: ano ang dapat gawin at ano ang hindi dapat gawin
Ang Wireshark mismo ay hindi tumatakbo nang natively sa mga mobile deviceHindi sa Android o sa iOS, ngunit may mga app na nagbibigay-daan sa iyong makuha o suriin ang trapiko mula sa telepono, na kapaki-pakinabang para sa mga partikular na pagsubok sa mga Wi-Fi network o mabilisang mga diagnostic.
Sa Android, ang mga app tulad ng tPacketCapture o Packet Capture Ginagamit nila ang lokal na VPN API upang maharang ang trapiko nang hindi nangangailangan ng root access. Gumagawa sila ng mga file na maaari mong buksan gamit ang Wireshark sa isang PC. Ang Shark for Root ay nangangailangan ng mga pribilehiyo ng administrator, ngunit bilang kapalit, nag-aalok ito ng mas komprehensibo at flexible na pagkuha.
Sa iOS, mas limitado ang mga bagay-bagay dahil sa disenyo.Walang katutubong Wireshark, at mas limitado ang pag-access sa trapiko. Gayunpaman, ang mga tool tulad ng iNetTools, Network Analyzer, at HTTPCatcher ay nagbibigay-daan sa iyong mag-scan ng mga network, mag-ping, tingnan ang mga ruta, at maharang at suriin ang mga koneksyon ng HTTP/HTTPS sa loob ng mga limitasyon ng system.
Hangga't maaari, mas mainam na magsagawa ng masusing pagsusuri sa isang desktop o laptop computer na may mahusay na network card at disenteng antenna. Ang kapasidad ng pagkuha, pagganap, at mga opsyon sa pag-filter ay higit na nakahihigit kaysa sa isang mobile device, at magagawa mong gumamit ng malalaking capture nang hindi nao-overload ang device.
Gamit ang buong arsenal na ito—Wireshark, PingPlotter, tcpdump, Nmap, at ilang komersyal na solusyon— Mayroon kang komprehensibong toolkit para sa pagtukoy, pagsukat, at pagwawasto ng mga isyu sa latency at performance ng network. Sa pamamagitan ng pag-unawa kung paano kumikilos ang TCP, kung saan nawawala ang mga packet, at kung ano talaga ang ginagawa ng iyong mga switch, load balancer, at server—habang palaging nirerespeto ang legalidad at privacy—maaari kang lumampas sa mga pangkalahatang reklamo ng "mabagal ang network" patungo sa mga tiyak at makatwirang diagnosis na may malinaw na mga hakbang upang mapabuti ang karanasan ng user at system.
