Prezentacja przedstawia zaawansowane narzędzia statystyczne Wireshark z menu Statistics, umożliwiające szybką analizę trendów i anomalii w ruchu sieciowym. Omówiono takie funkcje jak Protocol Hierarchy, Conversations, IO Graph, TCP Stream Graphs oraz Service Response Time. Przedstawiono również techniki rekonstrukcji sesji (Follow Stream), eksport obiektów, analizę ekspercką Expert Info oraz wykrywanie ataków sieciowych.
Wireshark oferuje rozbudowane narzędzia statystyczne dostępne z menu Statistics.
To nie tylko liczby – to wgląd w strukturę ruchu, wydajność protokołów i zachowanie sieci.
Dostępne opcje:
Okno Summary (Statistics → Summary) pokazuje podstawowe metryki pliku przechwycenia:
Przykład:
# Przykładowe dane z okna Summary
Packets: 125 430
Time span: 362.17 s
Average pps: 346.3
Average packet size: 742 B
Bytes: 93 456 112
Average bytes/s: 258 012
Protocol Hierarchy (Statistics → Protocol Hierarchy) przedstawia hierarchię protokołów w przechwyconym ruchu.
Dla każdego protokołu pokazuje:
Interpretacja procentów: procent w nawiasie oznacza udział w całkowitej liczbie pakietów. Protokoły niższe (np. Ethernet) mają 100%, ponieważ każdy pakiet je zawiera.
Normalny ruch HTTP:
Atak DDoS (SYN flood):
Protocol Hierarchy od razu pokazuje, że coś jest nie tak – HTTP powinno stanowić znaczną część ruchu.
Conversations (Statistics → Conversations) pokazuje wykaz rozmów między parami punktów końcowych.
Dostępne zakładki:
Każda rozmowa pokazuje: liczbę pakietów, bajtów, czas rozpoczęcia i trwania.
Sortowanie: kliknij w nagłówek kolumny – np. „Packets" malejąco, aby znaleźć najbardziej aktywną rozmowę.
Filtrowanie: kliknij prawym → „Apply as Filter" → „Selected" – natychmiastowy filtr wyświetlania dla tej rozmowy.
Eksport do CSV: przycisk „Copy" → „Copy as CSV" – dane gotowe do arkusza kalkulacyjnego.
Przykładowy eksport:
Address A,Address B,Packets,Bytes 192.168.1.10,10.0.0.1,4521,3.2 MB 192.168.1.20,10.0.0.2,1234,890 KB
Endpoints (Statistics → Endpoints) pokazuje wszystkie adresy wykryte w przechwyconym ruchu, pogrupowane według warstw:
Dla każdego punktu: liczba pakietów, bajtów, czas pierwszy/ostatni.
Posortuj kolumnę „Packets" malejąco – zobaczysz, które hosty są najbardziej aktywne.
Zastosowania:
Po znalezieniu podejrzanego hosta – kliknij prawym przyciskiem → „Apply as Filter" → „Selected" – zobaczysz tylko jego ruch.
IO Graph (Statistics → IO Graph) to jeden z najpotężniejszych wykresów w Wireshark.
Pokazuje liczbę pakietów lub bajtów na jednostkę czasu (interwał).
Oś X: czas (s). Oś Y: liczba pakietów/bajtów.
Domyślnie pokazuje wszystkie pakiety – możesz dodać filtry wyświetlania dla poszczególnych linii.
IO Graph oferuje wiele opcji konfiguracyjnych:
http, dns, tcp.analysis.retransmissionPrzykład konfiguracji 3 linii: http (niebieski), dns (zielony), tcp.analysis.retransmission (czerwony).
tcp.analysis.retransmission – jeśli rosną, sieć ma problemyIO Graph pozwala zobaczyć „kształt" ruchu – to pierwsze narzędzie do diagnozy.
Flow Graph (Statistics → Flow Graph) tworzy wizualną reprezentację sekwencji pakietów TCP między dwoma hostami.
Pokazuje:
Dostępne tryby: TCP (wszystkie pakiety), wybrana sesja TCP.
Flow Graph doskonale ilustruje trójetapowy handshake TCP:
1. SYN → (klient → serwer)
2. SYN-ACK ← (serwer → klient)
3. ACK → (klient → serwer)
Na diagramie widać też zamykanie połączenia:
1. FIN →
2. ACK ←
3. FIN ←
4. ACK →
Jeśli widzisz RST zamiast FIN – połączenie zostało przerwane (błąd, timeout, atak).
Menu Statistics → TCP Stream Graphs oferuje trzy rodzaje wykresów dla wybranej sesji TCP:
Wymagają wybranej sesji TCP – najpierw zaznacz pakiet w sesji, potem wybierz wykres.
Wykres Time-Sequence (Stevens) pokazuje numery sekwencyjne TCP w funkcji czasu.
Interpretacja:
Wykres Round Trip Time pokazuje zmierzone RTT dla każdego segmentu TCP w sesji.
Wireshark oblicza RTT jako czas między wysłaniem segmentu a otrzymaniem ACK dla niego.
Interpretacja:
Przykład odczytu: średnie RTT = 23 ms, odchylenie std = 5 ms – stabilne połączenie.
Service Response Time (SRT) mierzy czas między żądaniem a odpowiedzią dla wybranych protokołów.
Obsługiwane protokoły: SMB, DCERPC, NFS, Fibre Channel, H.225, SBCP.
Dla każdego wywołania pokazuje:
Przykład: SRT dla SMB – średni czas odpowiedzi 2 ms, max 150 ms (wolny plik).
Statistics → DHCP zbiera statystyki dotyczące ruchu DHCP w przechwyconym pliku.
Pokazuje:
Przydatne przy diagnozowaniu: „dlaczego klient nie dostał IP?" – widzisz, czy serwer odpowiedział NAK.
Statistics → DNS agreguje informacje o ruchu DNS.
Pokazuje:
Przydatne do: znajdowania wolno odpowiadających serwerów DNS, wykrywania zapytań do nieznanych domen (malware).
Statistics → HTTP oferuje kilka pod-opcji:
Przydatne przy analizie wydajności stron WWW – które zasoby są najczęściej żądane? Które serwery są najbardziej obciążone?
HTTP Packet Counter grupuje żądania według:
Przykład: wykrycie problemu – 15% odpowiedzi to 404 (brakujące zasoby).
Host z największą liczbą żądań to prawdopodobnie główny serwer aplikacji.
HTTP Requests pokazuje każde żądanie HTTP z następującymi informacjami:
Możesz sortować według czasu odpowiedzi – znajdziesz najwolniejsze żądania.
Przykład: żądanie GET /raport.php?date=2026 miało czas odpowiedzi 3.2 s – wolne.
Statistics → TLS pokazuje informacje o sesjach TLS/SSL w przechwyconym ruchu.
Dla każdej sesji:
Przydatne do: audytu bezpieczeństwa – czy serwer używa przestarzałych szyfrów? Czy wspiera TLS 1.3?
Follow → TCP Stream (kliknij prawym na pakiet → Follow → TCP Stream) rekonstruuje całą sesję TCP w jednym widoku.
Wireshark składa wszystkie pakiety z sesji w kolejności – usuwa nagłówki i pokazuje czystą treść.
Kolorowanie: ruch klienta → serwer (niebieski/czerwony), serwer → klient (zielony/szary).
Zastosowania:
Okno Follow TCP Stream oferuje kilka opcji wyświetlania:
Opcja „Show and save data as" pozwala wybrać kierunek (całość, klient→serwer, serwer→klient).
Przycisk „Save As..." zapisuje strumień do pliku.
HTTP: widzisz pełne żądanie i odpowiedź:
GET /index.html HTTP/1.1 Host: example.com User-Agent: Mozilla/5.0 (pusta linia) HTTP/1.1 200 OK Content-Type: text/html <html>...</html>
SMTP: widzisz komendy MAIL FROM, RCPT TO, DATA i treść maila.
FTP: widzisz LOGIN, PASS, LIST, RETR i odpowiedzi serwera.
Follow → UDP Stream działa podobnie jak dla TCP, ale dla protokołów bezpołączeniowych.
UDP nie ma sesji w rozumieniu TCP (brak handshake) – Wireshark grupuje pakiety według pary IP:port.
Zastosowania:
Opcje wyświetlania: ASCII, Hex Dump, C Arrays, Raw – jak dla TCP.
Follow → TLS Stream pozwala podejrzeć odszyfrowaną treść ruchu TLS – pod warunkiem dostarczenia klucza prywatnego lub klucza sesji.
Wymagane:
Konfiguracja: Wireshark → Preferences → Protocols → TLS → (Pre-)-Master-Secret log filename.
Po skonfigurowaniu – Follow TLS Stream pokazuje odszyfrowaną treść (np. HTTP/2, HTTP/3).
Follow → HTTP Stream to skrót do Follow TCP Stream z automatycznie zastosowanym filtrem HTTP.
W praktyce: gdy klikniesz prawym na pakiet HTTP → Follow → HTTP Stream, Wireshark:
Różnica od zwykłego Follow TCP Stream: minimalna – wygoda i szybszy dostęp.
File → Export Objects → HTTP wyodrębnia wszystkie pliki przesłane przez HTTP z przechwyconego ruchu.
Wireshark skanuje przechwycone dane i znajduje obiekty MIME (obrazy, skrypty, dokumenty).
Okno Export pokazuje listę obiektów:
Możesz zapisać wybrane pliki na dysk.
Export Objects HTTP pozwala odzyskać:
Zastosowania forensyczne: odzyskaj plik, który podejrzany pobrał z serwera.
Wskazówka: jeśli widzisz nieznany Content-Type – to może być malware.
File → Export Objects → SMB wyodrębnia pliki przesyłane przez protokół SMB (udziały sieciowe Windows).
Wireshark rekonstruuje pliki z przechwyconego ruchu SMB – zarówno w wersji SMBv1, jak i SMBv2/3.
Okno pokazuje:
Przydatne przy: odzyskiwaniu plików z nieautoryzowanego dostępu do udziałów.
File → Export Objects → TFTP wyodrębnia pliki przesyłane przez Trivial File Transfer Protocol.
TFTP jest używany głównie do:
Okno Export pokazuje pliki z możliwością zapisu na dysk.
Uwaga: TFTP nie ma uwierzytelniania – każdy plik może być odczytany/zapisany.
Export Objects to kluczowe narzędzie w analizie śledczej:
Wskazówka: zawsze eksportuj wszystkie obiekty przed zamknięciem pliku pcap – możesz znaleźć dowody.
Analyze → Expert Info (lub ikona diamentu w lewym dolnym rogu) pokazuje automatycznie wykryte zdarzenia sieciowe.
Expert Info analizuje przechwycony ruch i oznacza potencjalne problemy:
| Grupa | Znaczenie | Przykłady |
|---|---|---|
| Errors (czerwony) | Błędy krytyczne – problem z pakietem | TCP checksum error, malformed packet |
| Warnings (żółty) | Potencjalne problemy | TCP Retransmission, Duplicate ACK, Zero Window |
| Notes (niebieski) | Uwagi diagnostyczne | Time Delta, Window Update, TCP Fast Retransmission |
| Chats (fioletowy) | Informacje standardowe | SYN, SYN-ACK, FIN, ACK, HTTP request |
Kliknięcie w komunikat przenosi do odpowiedniego pakietu.
Po otwarciu pliku pcap – pierwsze kroki:
Przykład: widzisz 500 „TCP Retransmission" na 10 000 pakietów (5%).
Przyczyny: przeciążenie sieci, uszkodzone łącze, zbyt małe okno TCP.
Wireshark umożliwia porównanie dwóch plików przechwycenia:
Metoda 1: Otwórz dwa pliki w osobnych instancjach i porównaj ręcznie.
Metoda 2: Użyj narzędzia editcap (część Wireshark) do manipulacji plikami, a potem porównaj statystyki.
Metoda 3: Zewnętrzne narzędzia:
Zastosowanie: przed/po zmianie konfiguracji, porównanie ruchu w różnych porach dnia.
Wireshark jest powszechnie używany w analizie bezpieczeństwa sieciowego:
Wiele narzędzi bezpieczeństwa (Snort, Suricata, Zeek) opiera się na tej samej bibliotece (libpcap).
SYN scan: pakiety SYN na wiele portów z jednego źródła. Wykrycie: Statistics → Conversations → TCP – jedna IP ma wiele połączeń do różnych portów.
FIN scan: pakiety z flagą FIN do zamkniętych portów. Wykrycie: filtr tcp.flags.fin == 1 and tcp.flags.ack == 0.
Xmas scan: pakiety z flagami FIN+URG+PSH. Wykrycie: filtr tcp.flags == 0x029.
Zastosuj display filter tcp.flags.syn == 1 and tcp.flags.ack == 0 – jeśli te pakiety idą do wielu portów z tego samego IP w krótkim czasie, to skanowanie.
ARP spoofing – atakujący wysyła fałszywe odpowiedzi ARP, aby przechwycić ruch.
Objawy w Wireshark:
Wbudowane narzędzie: Wireshark → Analyze → Expert Info → ARP: duplicate IP address detected.
Display filter: arp.duplicate-address-detected – od razu pokazuje podejrzane pakiety.
Objawy ataku DDoS w statystykach Wireshark:
Przykład: 50 000 pakietów do portu 80 z 500 różnych IP w ciągu 10 sekund.
Beaconing – malware regularnie łączy się z serwerem C&C (Command & Control).
Objawy w Wireshark:
Display filter: http.request.method == POST – zobacz, które hosty regularnie wysyłają POST.
Narzędzie: IO Graph z interwałem 1 s i filtrem http.request – szukaj regularnych pików.
Packet Comments (kliknij prawym na pakiet → Packet Comment) pozwala dodać adnotację do pakietu.
Zastosowania:
Komentarze są zapisywane w pliku pcapng (nie w pcap) – używaj formatu pcapng do zachowania komentarzy.
Widok wszystkich komentarzy: Statistics → Capture File Properties → Comments.
Display Filter Macros (Analyze → Display Filter Macros) umożliwia definiowanie własnych skrótów dla często używanych filtrów.
Przykład: zdefiniuj makro scan jako tcp.flags.syn == 1 and tcp.flags.ack == 0.
Potem wystarczy wpisać ${scan} w polu display filtra.
Zastosowania:
Makra są zapisywane w konfiguracji Wireshark (preferences).
Firewall ACL Rules (Tools → Firewall ACL Rules) generuje reguły firewalla na podstawie wybranego pakietu.
Obsługiwane formaty:
Przykład: zaznacz pakiet → Tools → Firewall ACL Rules → Cisco IOS → skopiuj regułę.
Wygenerowana reguła:
access-list 100 deny ip 192.168.1.100 any
Telephony → VoIP Calls pokazuje listę wykrytych połączeń VoIP w przechwyconym ruchu.
Wireshark wykrywa połączenia na podstawie protokołów sygnalizacyjnych:
Dla każdego połączenia:
Po wybraniu połączenia VoIP możesz przejść do Telephony → RTP → Stream Analysis.
Narzędzie pokazuje kluczowe parametry jakości:
Próg: jitter < 30 ms, packet loss < 1%, MOS > 4.0 – dobra jakość.
Możesz też odtworzyć audio (Play Streams) – jeśli ruch nie jest szyfrowany.
Wireshark można rozszerzać i automatyzować za pomocą Pythona:
Przykład pyshark:
import pyshark cap = pyshark.FileCapture('ruch.pcap') for pkt in cap: if hasattr(pkt, 'http'): print(pkt.http.request_uri)
Przykład scapy:
from scapy.all import * pkts = rdpcap('ruch.pcap') pkts[0].show()
Problem: strona WWW ładuje się 15 sekund.
Kroki analizy w Wireshark:
Wniosek: obrazek 5 MB z wolnego serwera CDN – czas odpowiedzi 12 s.
Objawy w Wireshark:
Display filter: tcp.port == 22 and tcp.flags.syn == 1 and tcp.flags.ack == 0 – zlicz liczbę SYN do SSH.
Jeśli >100 SYN na minutę z jednego IP – to prawdopodobnie brute-force.
Zabezpieczenie: blokada IP po N próbach (fail2ban, denyhosts).
Odpowiedź: Statistics → Protocol Hierarchy. Pokazuje hierarchię protokołów z liczbą pakietów, bajtów i procentami.
Odpowiedź: Conversations pokazuje pary adresów (rozmowy A↔B), Endpoints pokazuje pojedyncze adresy.
Odpowiedź: Rekonstruuje całą sesję TCP – składa pakiety w kolejności i pokazuje treść bez nagłówków.
Odpowiedź: File → Export Objects → HTTP. Wireshark znajduje wszystkie obiekty MIME przesyłane przez HTTP.
Odpowiedź: Errors (błędy), Warnings (ostrzeżenia), Notes (uwagi), Chats (informacje).
Odpowiedź: Użyj filtra tcp.flags.syn == 1 and tcp.flags.ack == 0 i sortuj według adresu źródłowego – jeśli jeden IP wysyła SYN do wielu portów, to skanowanie.
Odpowiedź: Jitter to zmienność opóźnienia pakietów RTP. Akceptowalny: < 30 ms.
Dziękujemy za uwagę. W następnej części poznamy protokół TCP w praktyce – analizę okna TCP, retransmisje, SACK, opóźnienia, wykrywanie problemów z wydajnością połączeń.
Praca własna:
