Wireshark analýza siete: ako čítať domácu aj firemnú sieť ako otvorenú knihu

Wireshark je open-source analyzátor sieťových protokolov, ktorý ti dovolí vidieť sieť „na kostru“ – od fyzickej vrstvy až po aplikácie. Každý balík, ktorý ide cez tvoju sieť, vieš rozkliknúť a pozrieť si:

• MAC adresy, VLAN tagy a ARP

• IP adresy, TTL, fragmentáciu

• TCP handshaky, retransmisie, window size, flagy

• HTTP, DNS, TLS, SMB, VoIP, Wi-Fi management rámce a stovky ďalších protokolov

Kľúčové body:

• Vie zachytávať priamo z rozhraní (Ethernet, Wi-Fi, VPN, tunely).

• Vie otvárať PCAP/PCAPNG súbory z iných nástrojov (tcpdump, firewall, IDS/IPS, proxy).

• Každý paket rozloží do prehľadných vrstiev (L2–L7), ktoré vieš študovať ako učebnicu s reálnymi dátami.

Tam, kde logy povedia: „timeout“, Wireshark ti povie kto, kedy a prečo prestal odpovedať. A presne tam začína skutočná Wireshark analýza siete.

Wireshark si môžeš stiahnuť s oficiálnych stránok : STIAHNUŤ

Príprava na Wireshark analýza siete (doma vs. firma)

Skôr, než stlačíš „Start capturing“, priprav si pár vecí. Inak skončíš s 10 GB PCAP, v ktorom nenájdeš ani to, čo si sám poslal. 😄

1. Jasný cieľ

Polož si otázku:

• Čo riešim?

  • „Pomalé weby?“

  • „Výpadky VPN?“

  • „Podivné spojenia z jedného PC?“

• Kde sa problém prejavuje?

  • len na jednom PC,

  • v celej sieti,

  • iba cez Wi-Fi,

  • iba pri konkrétnej aplikácii?

Cieľ ti povie, kde a čo snímať. Wireshark analýza siete bez cieľa je len pekný záznam bordelu. 🙂

2. Miesto odchytu

• Domáca sieť

  • Najčastejšie snímaš priamo na problematicom PC.

  • Alebo na zariadení, cez ktoré všetko tečie (router s mirror portom, smart switch).

• Firemná sieť

  • Ideálne zrkadlený port na switche (SPAN/mirror port).

  • Na kritických bodoch – napr. medzi firewallom a core switchom, medzi VLANami, pri serveroch.

3. Časové okno

Nesnímaj 2 hodiny „pre istotu“.
Lepšia stratégia:

• Pusti capture tesne pred tým, ako používateľ spustí problémovú akciu (otvorí ERP, pripojí sa na VPN, odošle e-mail).

• Keď sa problém prejaví, nechaj bežať ešte pár sekúnd a capture zastav.

Takto spravíš Wireshark analýza siete presná, krátka a ľahko analyzovateľná.

Wireshark analýza siete doma: kto ti zožiera internet

Doma riešiš väčšinou tieto situácie:

• Netflix seká, YouTube padá do 144p, ale niekto vedľa tvrdí, že „nič nesťahuje“.

• Smart TV sa správa divne.

• Wi-Fi „padá“, ale router sa tvári, že je všetko OK.

1. Zisti, kto je v sieti

Začni na svojom routeri (alebo PC v rovnakej sieti):

• V prehľade DHCP klientov zistíš IP a MAC zariadení.

• V Wiresharku môžeš použiť jednoduchý filter:

Zamysli sa: Máš tam zariadenia, ktoré nepoznáš? Starý tablet, IoT žiarovku, susedov mobil pripojený na tvoju Wi-Fi?

2. Kto ti vyťahuje upload/download

Spusti capture na PC, ktoré trpí, a filtruj podľa IP:

• Statistics → Conversations – zistíš, s kým komunikuje daný stroj najviac.

• Statistics → Protocol Hierarchy – uvidíš, ktoré protokoly dominujú (HTTP(S), QUIC, DNS, SMB…).

Tu sa Wireshark analýza siete vie krásne ukázať:
Zistíš, že problém nie je Netflix, ale záloha fotiek do cloudu, ktorá ti saturuje upload.

3. Pomalé Wi-Fi

Ak máš možnosť zachytiť 802.11 rámce:

• Sleduj Management a Control rámce (authentication, association, deauth, disassoc).

• Nečakané série deauth môžu znamenať rušenie, zlý signál alebo pokus o Wi-Fi útok.

Vo Wiresharku použiješ filter:

Wireshark analýza siete vo firme: od symptómu k koreňovej príčine

Vo firme už riešiš zložitejšie scenáre:

• VPN laguje len niektorým používateľom.

• ERP/CRM je pomalé „iba v piatok“ alebo „iba keď účtovníctvo robí uzávierku“.

• Občas „vypadnú“ e-maily alebo sa doručia neskoro.

Tu Wireshark analýza siete získa ďalší rozmer – už neriešiš len „kto žerie internet“, ale kde presne v reťazci vzniká problém.

1. Aplikácia je pomalá – je na vine sieť alebo server?

Typický postup:

1. Zachytíš komunikáciu medzi klientom a serverom.

2. Pozrieš sa na TCP:

   • veľa retransmisions → packet loss, nekvalitná linka, rušenie

   • vysoký RTT → latencia, vzdialená lokalita, problém na trase

   • zero window → klient/server nestíha spracovať dáta

Filter napr.:

3. • server odpovedá neskoro, ale TCP je v poriadku → problém aplikácie, nie siete

Takto dokážeš pri meetingu s vývojármi ukázať:
„Sieť je v poriadku, tu je dôkaz. Server začal odpovedať až po 5 sekundách.“

2. VPN lag a odpojovanie

Pri VPN (IPsec, SSL VPN) sleduješ:

• fragmentáciu (MTU problém),

• ICMP fragmentation needed,

• MSS klikanie v TCP.

Display filter pre ICMP:

Zmeň MTU/MSS na VPN gateway alebo na clientoch.

Wireshark v kyberbezpečnosti: keď pakety prezradia útok

Wireshark síce nie je IDS/IPS, ale v rukách človeka, ktorý vie, čo hľadá, je to precízny skalpel.

Čo vieš s Wiresharkom odhaliť:

1. MitM a ARP spoofing

Sleduj:

• nezvyčajné ARP odpovede, kde rovnaká IP má viac MAC adries,

• veľa gratuitous ARP, ktoré menia MAC pre tú istú IP.

Filter:

2. Podozrivé outbound spojenia

Pri Wireshark analýza siete vo firme si skús zobraziť:

• Statistics → Endpoints → IPv4 – kto komunikuje najviac von.

• Vyfiltruj konkrétneho klienta:

• časté, pravidelné spojenia na IP, ktoré nepoznáš,

• dlhé udržiavané spojenia s veľmi malým množstvom dát (C2 komunikácia).

3. DNS tunelovanie a exfiltrácia dát

Wireshark ti umožní sledovať aj to, ako niekto prepašuje dáta cez DNS:

• extrémne dlhé DNS mená,

• vysoký počet DNS requestov za sekundu z jedného klienta,

• podivné domény (random stringy).

Filter:

Wireshark analýza siete : Najpraktickejšie filtre

Bez filtrov je Wireshark len blikajúci chaos. S filtrami je to chirurgický nástroj.

Capture filtre (pred záznamom)

Používaš ich, aby si znížil objem dát ešte počas zachytávania (BPF syntax):

• iba komunikácia s konkrétnym hostom:

Display filtre (po zázname)

Tu robíš detailnú Wireshark analýza siete:

• IP konkrétneho zariadenia:

Ako výstupy z Wiresharku premeniť na report, ktorému ľudia uveria

V praxi nestačí, že ty už vieš, kde je problém. Musíš to odkomunikovať:

1. Vizualizácia problému

Použi:

• Statistics → I/O Graphs – ukážeš dropy, skoky v trafikách, latenciu.

• Statistics → Flow Graph – nádherne vysvetlíš handshake a retransmisie.

Do blogu alebo reportu vlož:

• screenshot grafu s komentárom,

• šípky a zvýraznenie momentu, kde nastal problém.

2. Preklad z „Wireshark jazyka“ do ľudskej reči

Namiesto:

„Vidím zvýšený počet TCP retransmisí a zero window eventov.“

povieš:

„Server nestíha odpovedať a klient mu to opakovane pripomína. Sieť funguje, problém je v serveri/aplikácii.“

Alebo:

„Linka medzi pobočkou a centrálou stráca pakety, preto sa dáta musia posielať znova. Preto máš pocit, že je všetko spomalené.“

3. Stručné odporúčania

Na konci svojej Wireshark analýza siete vždy pridaj:

• 3–5 konkrétnych bodov:

  • zmeniť MTU/MSS na VPN,

  • presunúť server bližšie k používateľom,

  • obmedziť cloud backup v čase špičky,

  • izolovať hlučné IoT do samostatnej VLAN.

Bonus: checklist pred každou analýzou

Toto si môžeš dať ako PDF na stiahnutie na blogu – „Wireshark checklist: 10 krokov pred capturom“.

1. Mám jasne definovaný problém (čo, kedy, kde)?

2. Viem, ktoré zariadenie je najbližšie k problému?

3. Viem, kde budem snímať (PC, server, mirror port, firewall)?

4. Mám nastavený rozumný capture filter?

5. Mám dostatok miesta na disku pre PCAP?

6. Poznám IP adresy kľúčových zariadení (klient, server, brána)?

7. Viem, kedy presne problém nastáva (čas, akcia)?

8. Mám nachystané display filtre pre protokoly, ktoré očakávam (HTTP, DNS, SMB, TLS)?

9. Počítam s tým, že capture nemusí vyjsť na prvýkrát (a mám plán B)?

10. Po captri si hneď poznačím čas a kontext (čo používateľ skúšal, čo mu nešlo)?

Toto je ideálny „bonus obsah“ – môžeš to zabaliť do PDF a ponúknuť ako stiahnuteľný checklist pre čitateľov.

Záver a súvisiace články

Wireshark analýza siete ti otvára úplne nový pohľad na to, čo sa v tvojej domácej aj firemnej sieti deje.
Nie je to len nástroj „pre sieťarov“, ale pre každého, kto:

• rieši pomalé aplikácie a nechce počúvať večné „u nás je všetko v poriadku“,

• chce overiť, či je problém v sieti, serveri alebo aplikácii,

• zaujíma sa o kyberbezpečnosť a chce vidieť útoky na úrovni paketov.

Krátke zhrnutie v bodoch

• Wireshark je skalpel, nie kladivo – funguje najlepšie, keď máš jasný cieľ.

• Doma s ním nájdeš zariadenia, ktoré ti kradnú výkon alebo internet.

• Vo firme pomôže odlíšiť, či je na vine sieť, server alebo aplikácia.

• V bezpečnosti odhalí podozrivé ARP, DNS, TLS komunikácie a netypické správanie klientov.

• Dobrá Wireshark analýza siete nekončí PCAPom, ale zrozumiteľným reportom a odporúčaniami.

Súvisiace články

• Analyzér Wireshark – PCAP/PCAPNG Viewer (online nástroj)
• CrowdInspect – bezpečnostný nástroj pre správcu siete
• Čo je internetový protokol ?