Главная Руководства Wireshark: Полное руководство по анализу сетевого трафика для начинающих и профи

Wireshark: Полное руководство по анализу сетевого трафика для начинающих и профи

08 Февраля 2026
5 мин чтения
NetFamily Expert
Wireshark: Полное руководство по анализу сетевого трафика для начинающих и профи

Представьте себе рентгеновский аппарат для вашей сети, который позволяет видеть каждый бит данных, проходящий через кабель или Wi-Fi. Это Wireshark — мощнейший инструмент анализа сетевого трафика, который превращает непонятный поток нулей и единиц в понятную картину происходящего в цифровом мире. Освоить его — значит получить суперспособность диагностировать проблемы, понимать работу интернета и обеспечивать безопасность.

Что такое Wireshark и зачем он нужен?

Wireshark — это бесплатный, открытый анализатор сетевых протоколов (сниффер). Он «прослушивает» сетевой интерфейс (например, вашу сетевую карту или Wi-Fi-адаптер) и захватывает все пакеты данных, которые через него проходят. Эти пакеты — основа любого сетевого общения: посещение сайта, отправка письма, звонок в Zoom.

Важно: Wireshark — инструмент анализа, а не атаки. Используйте его только на сетях, которыми вы управляете, или с явного разрешения. Захват чужого трафика без согласия может нарушать законодательство.

Первые шаги: Установка и начало захвата

Скачайте Wireshark с официального сайта (wireshark.org) и установите. При установке понадобится также установить драйвер Npcap (или WinPcap на старых системах), который и позволяет захватывать пакеты.

1. Выбор интерфейса

После запуска вы увидите список сетевых интерфейсов. Синие волны рядом с названием показывают активность. Чаще всего для анализа вашего трафика нужно выбрать:

  • Ethernet-адаптер (например, "Ethernet") для проводного подключения.
  • Беспроводной адаптер (например, "Wi-Fi") для Wi-Fi.
  • Loopback-интерфейс (например, "lo" или "Adapter for loopback traffic capture") для трафика внутри вашего компьютера.

2. Запуск захвата

Просто кликните дважды на нужном интерфейсе. Начнется захват трафика в реальном времени. Вы увидите растущий список пакетов. Чтобы остановить захват, нажмите красную кнопку «Стоп» в верхней панели.

Разбираемся в интерфейсе: три главные панели

Окно захвата разделено на три ключевые области:

  1. Панель списка пакетов (Packet List): Сверху. Таблица с краткой информацией о каждом захваченном пакете: номер, время, источник, назначение, протокол, длина и краткая информация.
  2. Панель деталей пакета (Packet Details): Посередине. Иерархическое дерево, раскрывающее структуру выбранного пакета. Здесь можно «развернуть» заголовки Ethernet, IP, TCP/UDP и увидеть сами данные (payload).
  3. Панель байтов пакета (Packet Bytes): Внизу. Шестнадцатеричное и символьное (ASCII) представление сырых данных пакета. То, что действительно передается по проводу.

Базовый анализ: фильтры — ваш лучший друг

Захватив даже минуту трафика, вы получите тысячи пакетов. Фильтры Wireshark помогают найти иголку в стоге сена.

Фильтры захвата (Capture Filters)

Задаются ДО начала захвата (в строке вверху главного окна). Они ограничивают то, что будет захвачено. Синтаксис — из библиотеки BPF (Berkeley Packet Filter).

  • host 192.168.1.1 — захватывать только трафик с/на этот IP-адрес.
  • port 80 — только трафик через порт 80 (обычно HTTP).
  • not arp — не захватывать ARP-пакеты (служебные пакеты локальной сети).

Фильтры отображения (Display Filters)

Применяются ПОСЛЕ захвата к уже захваченным данным. Это мощнейший инструмент анализа. Введите фильтр в строку над панелью списка пакетов.

  • ip.addr == 8.8.8.8 — показать все пакеты, где IP-адрес источника или получателя равен 8.8.8.8 (DNS Google).
  • http — показать только HTTP-трафик.
  • tcp.port == 443 — трафик через порт 443 (HTTPS).
  • dns — показать только DNS-запросы и ответы.
  • tcp.flags.syn == 1 — показать пакеты с установленным флагом SYN (начало TCP-соединения).

Можно комбинировать: http and ip.src == 192.168.1.10 — HTTP-трафик, исходящий с адреса 192.168.1.10.

Совет: Wireshark подсвечивает корректные фильтры зеленым, а некорректные — красным. Используйте автодополнение (начинайте вводить, например, «tcp.») — это лучший способ изучить синтаксис.

Практические сценарии использования

1. Диагностика проблем с сетью

Медленно открывается сайт? Запустите захват и попробуйте зайти на сайт. Затем примените фильтр http или dns. Вы можете увидеть:

  • Долгие DNS-запросы (между DNS-запросом и ответом большое время).
  • Повторные передачи TCP-пакетов (значит, пакеты теряются).
  • Ошибки (например, пакеты с флагом RST, обрывающие соединение).

2. Анализ безопасности

Можно искать подозрительную активность:

  • Неизвестные IP-адреса в вашем локальном трафике.
  • Попытки подключения к закрытым портам (фильтр tcp.flags.syn == 1 and tcp.flags.ack == 0 для новых подключений).
  • Явные данные в незашифрованных протоколах (например, в HTTP-запросах видны логины и пароли).

3. Изучение работы протоколов

Лучший способ понять, как работает TCP-рукопожатие, DNS-запрос или ARP — посмотреть на это в Wireshark. Выделите пакет и детально разберите каждое поле его заголовка.

Продвинутые возможности

Wireshark — это целая вселенная. Освоив основы, изучите:

  • Статистику (Statistics): Разнообразные графики, диаграммы, сводки по протоколам, разговорам (conversations), конечным точкам.
  • Следование потоку (Follow TCP/UDP Stream): ПКМ по пакету TCP → Follow → TCP Stream. Wireshark соберет весь диалог между клиентом и сервером (например, весь HTTP-запрос и ответ, включая HTML-код), даже если он разбит на множество пакетов.
  • Цветовые правила (Coloring Rules): Позволяют подсвечивать пакеты по своим правилам (например, все DNS — голубым, ошибки — красным).
  • Расшифровка трафика: При наличии ключей можно расшифровывать трафик TLS/SSL (например, HTTPS).

FAQ: Часто задаваемые вопросы

Wireshark сложен для новичка?

Да, интерфейс может показаться intimidating, но начинайте с малого: просто захватите трафик и посмотрите на него. Используйте фильтры для поиска знакомых вещей (например, http при посещении сайта). Основы осваиваются за несколько часов.

Можно ли анализировать чужой Wi-Fi трафик?

В современных защищенных сетях (WPA2/WPA3) перехватить трафик других устройств, просто находясь в сети, практически невозможно. Wireshark будет видеть только широковещательные пакеты и трафик вашего собственного устройства. Для анализа чужого трафика нужны специальные условия и, что критически важно, юридическое разрешение.

Почему я не вижу трафик других компьютеров в моей сети?

Скорее всего, вы подключены через коммутатор (switch), который отправляет пакеты только целевому устройству. Для захвата всего трафика в сети (режим promiscuous mode) может потребоваться специальная настройка сетевого оборудования (SPAN-порт или зеркалирование портов).

Как анализировать HTTPS трафик?

По умолчанию HTTPS (TLS/SSL) зашифрован, и вы увидите только «мусор» в данных. Для анализа нужно либо:

  1. Использовать функцию расшифровки TLS в Wireshark, предварительно скормив ему секретный ключ сессии (если вы контролируете клиент).
  2. Анализировать метаданные: IP-адреса, порты, время соединений, размеры пакетов.

Какие альтернативы Wireshark существуют?

Есть как коммерческие (Omnipeek, Microsoft Message Analyzer), так и консольные (tcpdump, tshark — консольная версия самого Wireshark). Но Wireshark остается золотым стандартом благодаря бесплатности, мощности и огромному сообществу.

В разделе «Руководства»

Ноутбук для кода: как не прогадать с выбором в 2025 и не сжечь бюджет

Руководства

Батарея смартфона: как продлить жизнь без стресса и мифов

Руководства

LocalStorage в JavaScript: Полное руководство по хранению данных прямо в браузере

Руководства