📡 Wireshark: Рентген вашей сети
Кратко: Wireshark — программа, которая показывает каждый пакет в сети: какие сайты открываете, какие данные передаются, куда стучится подозрительная программа. Сисадмины ловят проблемы с сетью, хакеры — пароли, инженеры отлаживают API. Бесплатно, с открытым кодом, работает на Windows, Linux, macOS.
▫️ Как дошли до жизни такой 1998 г. Джеральд Комбс пишет Ethereal, потому что коммерческие анализаторы стоили как машина и не работали на Linux. 2006 г. Комбс увольняется — торговая марка остаётся у бывшего работодателя. Проект переименовывают в Wireshark. Сегодня у Wireshark 2000+ контрибьюторов и 500 000+ загрузок в месяц.
▫️ Как устроен Wireshark перехватывает пакеты через libpcap (Linux/macOS) или Npcap (Windows). Главное окно: · Список пакетов — время, отправитель, получатель, протокол. · Детали пакета — кликните на пакет, увидите разбор по полочкам: Ethernet, IP, TCP/UDP, содержимое. · Шестнадцатеричный дамп — сырые данные в HEX и ASCII. Выбираете интерфейс (Wi-Fi, Ethernet), нажимаете «Захват» — пошёл поток. Чтобы не утонуть — используете фильтры.
▫️ Фильтры — главная магия Capture filter (до захвата): синтаксис tcpdump. · host 192.168.1.1 — только пакеты с этим IP. · port 80 — только HTTP. Display filter (после захвата): человеческий синтаксис. · ip.addr == 192.168.1.1 — пакеты с этим IP в любую сторону. · tcp.port == 443 — только HTTPS. · http.request — только HTTP-запросы. · tcp.flags.syn == 1 && tcp.flags.ack == 0 — только SYN-пакеты (первые пакеты соединения).
▫️ Что можно сделать Сайт тормозит. Фильтр ip.addr == IP_сервера. Много TCP Retransmission (пакеты пересылаются) — плохой канал. DNS-запросы долго висят — тормозит DNS-сервер. Подозрительная программа стучится в интернет. Фильтр !ip.addr == 192.168.1.0/24 (исключить локальную сеть). Гуглим незнакомые IP в базах угроз. Ловите пароли. На открытых сетях (без HTTPS) логин и пароль в открытую. Фильтр http.request.method == POST → смотрим содержимое → username=...&password=.... Статистика. Меню «Статистика» → «Иерархия протоколов» — какой протокол жрёт трафик. «Конечные точки» — список всех устройств в сети.
▫️ Wireshark vs tcpdump Wireshark — графика: удобно смотреть, кликать, фильтровать мышкой. tcpdump — консоль: работает на сервере без GUI. Лучшая практика: на сервере tcpdump -w file.pcap, потом файл тащите на компьютер и открываете в Wireshark.
▫️ Культурный феномен · «Открыть в Wireshark» — стандартный ответ сисадмина на вопрос «почему тормозит сеть». · Правильные фильтры — навык, который приходит с опытом. Новичок тонет в пакетах, профи одной строкой находит нужное. · «Всё шифруется» — HTTPS шифрует тело, но заголовки (кому, от кого, объём) остаются видны.
▫️ Современное положение (2026) Wireshark — золотой стандарт анализа трафика. Поддерживает сотни протоколов, умеет расшифровывать TLS (если есть ключи). Актуальная версия — 4.6.3, регулярные обновления. StratoShark — ответвление для анализа облачных логов и системных вызовов. Главный вывод: Wireshark — рентген для сети. Хотите понять, почему сайт не грузится, подозрительная программа стучится на незнакомый IP, или просто любопытно, как работает интернет — открывайте Wireshark, ставьте фильтр и смотрите.
