Analyzér Wireshark - PCAP/PCAPNG Viewer

Čo je analyzér Wireshark ? Nahráš .pcap alebo .pcapng a okamžite vidíš prehľad, minihistogramy PPS/BPS, top IP/porty, DNS/HTTP/TLS náznaky aplikácií a pokročilé TCP diagnostiky (RTT, retransmisie, DupACK, out‑of‑order, zero‑window, handshake failures). Ideálne na rýchlu forenznú orientáciu – offline a súkromne.

Prečo vznikol tento nástroj

Potreboval som rýchly offline náhľad do capov bez štartovania ťažkého GUI.
Chcel som, aby nič neodchádzalo na internet – skript beží lokálne, súbory neopúšťajú stroj.
Potreboval som rýchlo nájsť potrebné informácie bez toho, aby som použil Wireshark.
Cieľ: štart za pár sekúnd – skopírujem .php, otvorím v prehliadači, nahrám cap a mám odpovede.

Čo analyzér wireshark dokáže

Prehľad & minihistogramy

Počty paketov/bytov, trvanie, PPS/BPS, veľkosti rámcov (min/avg/max).
Minihistogramy PPS a BPS po sekundách (ľahké SVG stĺpce priamo na stránke).

Top talkers a porty

Najaktívnejšie IP (aj podľa počtu bytov), top porty s odhadom služby (HTTP/HTTPS/DNS…)
Prehľad L4 protokolov (TCP/UDP a ďalšie), top flows (5‑tuple) podľa paketov.

DNS/HTTP/TLS indície aplikačnej vrstvy

DNS: extrakcia názvov v otázkach (qname).
HTTP: pokusy o zistenie Host a Path pri typických portoch.
TLS: SNI z ClientHello (ak je prítomné).

TCP analytika (jadro nástroja)

RTT zo SYN/SYN‑ACK: striktne aj „relaxed“ (tolerancia cez NAT/asymetriu). Štatistiky: min / medián (p50) / 95. percentil (p95) / priemer / max a globálny SRTT (exponenciálne vyhladzovanie, α = 1/8).
Retransmisie: rozlíšenie na dup‑segment (pred potvrdením) a retrans po ACK (po potvrdení peerom – zbytočné).
DupACK counter a odhad Fast Retransmit (≥3 dupACKy v rade).
Out‑of‑order: segmenty s SEQ mimo očakávanej fronty.
Zero‑window a window‑probe heuristika.
Handshake failures: SYN bez SYN‑ACK a RST po SYN.

Flows a SRTT

Koalescované TCP toky podľa 5‑tuple s časovým timeoutom.
Per‑flow SRTT – ak je k dispozícii handshake RTT.

Praktická práca s tabuľkami

Mini filter: fulltext vyhľadávanie naprieč tabuľkami (IP, porty, hosty, cesty…).

Ako nástroj používať

Nahraj .pcap alebo .pcapng (pracuj len s dôveryhodnými súbormi).
Zobrazia sa:
- resumé súboru (trvanie, PPS/BPS, veľkosti, formát, linktype),
- histogramy prevádzky po sekundách,
- top IP/porty/protokoly a konverzácie,
- TCP diagnózy (RTT, retrans, DupACK, out‑of‑order, zero‑window, handshake failures),
- per‑flow tabuľka so SRTT a trvaním.
Filtruj riadky cez mini filter – rýchle dohľadanie IP/portu/hostu.

Typické scenáre použitia

Rýchla orientácia v dumpoch z firewallu alebo mirror portu.
Overenie latencie linky (RTT zo SYN/SYN‑ACK) a výkyvov (p50 vs. p95).
Indície strát/preťaženia: vysoké počty DupACK, retrans po ACK, out‑of‑order.
Identifikácia aplikácie: DNS dotazy, HTTP host/path, TLS SNI.
Forenzná stopa: handshake failures, neštandardné porty a „hlučné“ toky.

Bezpečnosť a súkromie

Súbor sa spracuje na serveri DigitalnyPriestor.sk a neukladá sa trvalo (spracovanie prebieha v RAM; po ukončení analýzy sa dáta odstránia).
Nič sa neposiela tretím stranám.
Odporúčanie: nahrávaj len dôveryhodné capy a nezdielaj citlivú prevádzku mimo autorizované prostredie.

Limity nástroja analyzér wireshark

Zameranie na Ethernet → IPv4 → TCP/UDP. IPv6 je len rozpoznaný, bez hĺbkovej analýzy.
Analyzér Wireshark nevykonáva reassembly streamov ani dešifrovanie TLS.
Tabuľka zobrazuje prvých N paketov (predvolene 500); agregované štatistiky bežia nad celým súborom v rámci dostupnej pamäte.
Presnosť RTT závisí od prítomnosti kompletného páru SYN/SYN‑ACK a korektných časových značiek v capture.