🔍 Wireshark - World's Most Popular Network Protocol Analyzer

📡 Packet Analyzer 🔍 Network Sniffer 🛡️ Traffic Analysis

Category: 7️⃣ Sniffing & Spoofing

📝 Description

Wireshark दुनिया का सबसे लोकप्रिय नेटवर्क प्रोटोकॉल एनालाइज़र है। यह आपको नेटवर्क से गुजरने वाले सभी पैकेट्स को कैप्चर और डिटेल से देखने की सुविधा देता है। Wireshark का उपयोग नेटवर्क ट्रबलशूटिंग, सिक्योरिटी एनालिसिस, प्रोटोकॉल डेवलपमेंट, और फॉरेंसिक जांच के लिए किया जाता है। यह 1000+ नेटवर्क प्रोटोकॉल्स को समझता है और रियल-टाइम में पैकेट्स को डिकोड करता है।

विशेषता: Wireshark की सबसे बड़ी खासियत है इसका शक्तिशाली फिल्टर सिस्टम। आप सिर्फ वही ट्रैफिक देख सकते हैं जो आप चाहते हैं (जैसे सिर्फ HTTP, सिर्फ किसी IP से, सिर्फ किसी पोर्ट पर)। यह ग्राफिकल इंटरफेस के साथ आता है और क्रॉस-प्लेटफॉर्म है।

📦 Installation

Kali Linux (पहले से इंस्टॉल):

wireshark

Ubuntu/Debian:

sudo apt update
sudo apt install wireshark -y

Windows / macOS:

https://www.wireshark.org/download.html से डाउनलोड करें और इंस्टॉल करें।

Command Line Version (tshark):

sudo apt install tshark -y

💻 Common Commands & Filters (उदाहरण सहित)

📌 Wireshark GUI शुरू करना:

sudo wireshark

👉 उदाहरण: सबसे पहले कैप्चर करने के लिए इंटरफेस चुनें (eth0, wlan0, etc.)।

🎯 Wireshark के महत्वपूर्ण फिल्टर्स:

🔹 1. IP फिल्टर - किसी स्पेसिफिक IP से ट्रैफिक:

ip.addr == 192.168.1.100

ip.src == 192.168.1.100
ip.dst == 192.168.1.100

👉 उदाहरण: ip.addr == 192.168.1.100 - इस IP से आने वाला और जाने वाला सारा ट्रैफिक दिखाता है।

🔹 2. प्रोटोकॉल फिल्टर:

http
https
dns
ftp
ssh
tcp
udp
icmp
arp

👉 उदाहरण: http - सिर्फ HTTP ट्रैफिक दिखाता है।

🔹 3. पोर्ट फिल्टर:

tcp.port == 80
tcp.port == 443
udp.port == 53
tcp.port == 22

👉 उदाहरण: tcp.port == 80 - सिर्फ पोर्ट 80 (HTTP) का ट्रैफिक दिखाता है।

🔹 4. HTTP फिल्टर - URL और डोमेन:

http.request.uri contains "admin"
http.host == "example.com"
http.request.method == "POST"

👉 उदाहरण: http.request.uri contains "admin" - URL में "admin" वाली रिक्वेस्ट दिखाता है।

🔹 5. DNS फिल्टर:

dns.qry.name contains "google"
dns.flags.response == 1

👉 उदाहरण: dns.qry.name contains "google" - google से जुड़े DNS क्वेरी दिखाता है।

🔹 6. क्रेडेंशियल्स ढूँढना:

http.request.method == "POST" and (http contains "password" or http contains "user")

👉 उदाहरण: POST रिक्वेस्ट में password या user वाले पैरामीटर ढूँढता है।

🔹 7. सोर्स और डेस्टिनेशन पोर्ट:

tcp.srcport == 443
tcp.dstport == 80

🔹 8. पैकेट साइज फिल्टर:

frame.len > 1000
frame.len < 100

🔹 9. टाइम फिल्टर:

frame.time >= "2024-01-01 10:00:00" and frame.time <= "2024-01-01 11:00:00"

🔹 10. कॉम्बिनेशन फिल्टर:

ip.src == 192.168.1.100 and tcp.port == 80
(http or dns) and ip.dst == 8.8.8.8

💻 Command Line (tshark) उदाहरण:

🔹 11. कैप्चर शुरू करना:

sudo tshark -i eth0

👉 उदाहरण: eth0 इंटरफेस पर लाइव कैप्चर शुरू करता है।

🔹 12. कैप्चर को फाइल में सेव करना:

sudo tshark -i eth0 -w capture.pcap

👉 उदाहरण: कैप्चर को capture.pcap फाइल में सेव करता है।

🔹 13. पहले से सेव फाइल पढ़ना:

tshark -r capture.pcap

🔹 14. फिल्टर के साथ कैप्चर:

sudo tshark -i eth0 -f "port 80"

👉 उदाहरण: सिर्फ पोर्ट 80 का ट्रैफिक कैप्चर करता है।

🔹 15. डिस्प्ले फिल्टर के साथ:

tshark -r capture.pcap -Y "http.request.uri contains admin"

🎯 Wireshark के मुख्य विंडोज:

Packet List: सभी कैप्चर किए गए पैकेट्स की लिस्ट (नंबर, टाइम, सोर्स, डेस्टिनेशन, प्रोटोकॉल, लेंथ)
Packet Details: चुने हुए पैकेट की डिटेल्ड जानकारी (एथरनेट, IP, TCP, HTTP लेयर्स)
Packet Bytes: पैकेट का रॉ डेटा (हेक्स और ASCII)
Filter Toolbar: डिस्प्ले फिल्टर लगाने के लिए
Statistics Menu: प्रोटोकॉल हायरार्की, कन्वर्सेशन, एंडपॉइंट्स, आईओ ग्राफ

🎯 Use Cases (उपयोग के तरीके)

नेटवर्क ट्रबलशूटिंग: धीमे नेटवर्क, लॉस्ट पैकेट्स, लेटेंसी की समस्या ढूँढना।
सिक्योरिटी एनालिसिस: सस्पेक्टस ट्रैफिक, मालवेयर कम्युनिकेशन, DDoS अटैक डिटेक्ट करना।
फॉरेंसिक जांच: नेटवर्क अटैक के बाद पैकेट कैप्चर का एनालिसिस करना।
प्रोटोकॉल लर्निंग: TCP, HTTP, DNS, ARP जैसे प्रोटोकॉल्स को रियल-टाइम में समझना।
पासवर्ड रिकवरी: HTTP बेसिक ऑथेंटिकेशन, FTP, Telnet से पासवर्ड निकालना।

⚙️ Key Features (मुख्य विशेषताएँ)

✔️ 1000+ नेटवर्क प्रोटोकॉल्स सपोर्ट
✔️ रियल-टाइम पैकेट कैप्चर और डिकोडिंग
✔️ शक्तिशाली डिस्प्ले फिल्टर सिस्टम
✔️ कैप्चर फिल्टर (BPF - Berkeley Packet Filter)
✔️ ग्राफिकल इंटरफेस (GUI) और कमांड लाइन (tshark)
✔️ स्टैटिस्टिक्स और ग्राफ्स (IO Graph, Flow Graph)
✔️ फॉलो स्ट्रीम (TCP, UDP, HTTP, TLS)
✔️ कलराइजेशन रूल्स (ट्रैफिक को रंग से पहचानना)
✔️ वॉयस और वीडियो एनालिसिस (RTP, SIP)
✔️ क्रॉस-प्लेटफॉर्म (Linux, Windows, macOS)
✔️ ओपन-सोर्स और फ्री

📌 Wireshark में फॉलो स्ट्रीम:

पैकेट पर Right Click → Follow → TCP Stream

👉 उदाहरण: पूरी TCP कन्वर्सेशन को री-असेंबल करके दिखाता है (HTTP रिक्वेस्ट/रिस्पॉन्स, FTP ट्रांसफर, आदि)।

📌 Wireshark में स्टैटिस्टिक्स:

Statistics → Protocol Hierarchy: प्रोटोकॉल्स का ब्रेकडाउन
Statistics → Conversations: IPs के बीच कितना डेटा ट्रांसफर हुआ
Statistics → Endpoints: सभी IPs की लिस्ट और डेटा वॉल्यूम
Statistics → IO Graph: टाइम के हिसाब से ट्रैफिक का ग्राफ

📌 Wireshark के लिए सुझाव:

हमेशा कैप्चर फिल्टर का उपयोग करें अगर सिर्फ कुछ ट्रैफिक चाहिए (जैसे "port 80")
डिस्प्ले फिल्टर सीखना सबसे जरूरी है (ip.addr, tcp.port, http.request)
HTTP और DNS ट्रैफिक का एनालिसिस करना शुरू करें
"Follow TCP Stream" से पूरी कन्वर्सेशन देखें
स्टैटिस्टिक्स से पूरे ट्रैफिक का ओवरव्यू लें

🔗 Official Resources

Official Website: https://www.wireshark.org
Documentation: Wireshark User Guide
Display Filters Reference: Filter Reference
Sample Captures: Sample PCAP Files

🔧 Related Tools (समान उपकरण)

tshark: Wireshark का कमांड लाइन वर्शन
tcpdump: कमांड लाइन पैकेट एनालाइज़र
Ettercap: MITM अटैक और स्निफिंग टूल
Bettercap: एडवांस्ड MITM फ्रेमवर्क
Nmap: पोर्ट स्कैनिंग और नेटवर्क डिस्कवरी

⚠️ Important Note (सावधानी)

Wireshark एक शक्तिशाली नेटवर्क स्निफर है। इसका उपयोग केवल उन्हीं नेटवर्क पर करें जिनकी आपको अनुमति हो। बिना अनुमति के नेटवर्क ट्रैफिक कैप्चर करना कानूनी अपराध है और यह प्राइवेसी का उल्लंघन है। हमेशा अपने खुद के नेटवर्क या बग बाउंटी प्रोग्राम पर ही प्रैक्टिस करें। कैप्चर किए गए पैकेट्स में संवेदनशील डेटा (पासवर्ड, कुकीज़, व्यक्तिगत जानकारी) हो सकता है, इसलिए इन्हें सुरक्षित रखें।