Software สำหรับ Monitor การติดต่อ TCP/IP ของเครื่องที่ลง Ethernet port (LAN หรือ Wifi ,ขึ้นอยู่กับการเลือกว่า Monitor Portอะไร) ใช้งาน
สามารถ Download software ได้จาก https://www.wireshark.org/download.html
หรือ
Download for Win32 V1.6.4 // V2.2.24
Installation
- ติดตั้งลงเครื่องให้เรียบร้อย
การใช้งาน
- dเปิดโปรแกรม เรียบร้อย หน้าแรกจะขึ้นมา ให้เลือกว่าจะให้ wireshark ดูข้อความของ port Ethernet port ไหน (เลือกให้ถูกต้องด้วย ไม่เช่นนั้นจะไม่เห็นข้อความที่ต้องการตรวจสอบ) และกด start wireshark ก็จะเริ่ม Monitor ข้อมูล (จำไว้ว่ากด start แล้ว wireshark ไม่ได้save file ให้อัตโนมัติ ถ้าปิดแล้วไม่ save ก็จะดูย้อนไม่ได้)
- ถ้าต้องการ save ให้ไปที่ file\save และระบุชื่อ [Site]_Wireshark_YYYYMMDDHHmm_[description] เพื่อเป็นมาตรฐานในการนำมาใช้ตรวจสอบ เช่น กำลังตรวจสอบ file ของสถานีป่าตอง [site = PAT] วันที่ 06 Feb 2017 เวลา 10:11 [YYYYMMDDHHmm = 201702061011] ,และกำลังตรวจสอบ SCADA command ก็ให้ ใส่ [description = TestScadaCmd] เป็นต้น
- การsave อีกวิธีคือ กด stop wireshark และ start ใหม่ โปรแกรมจะถามว่าจะ save ของเดิมไหมให้เลือก save แล้ว Program ก็จะ saveของเดิมไว้ และ start การ track ใหม่อีกรอบ
- การจับ wireshare สามารถเก็บได้นาน แต่เราก็ไม่ควร ปล่อยให้ fileใหญ่มาก แล้วค่อย save เพราะเอามาตรวจสอบไม่ได้ เพราะข้อมูลเยอะมากเสียเวลา ควรsave เป็น file ย่อยๆ และใส่ description ตามกิจกรรมที่ทำเพื่อเวลามาดูย้อยจะได้รู้ว่าเป็นfile ของเรื่องอะไร
- เนื่องจาก wireshark ไม่ได้ระบุเวลาใน file ดังนั้นถ้าเห็น message ที่ต้องการไว้ตรวจสอบในอนาคตควรถ่ายรูปไว้ด้วยเพื่อจะได้นำมา search ย้อนที่ข้อความนั้นได้
tips :
- ถ้าต้องการดู ข้อมูล dnp3 (lan) ที่คุยให้ใส่ apply display filter = dnp3 สามารถใช้ทดแทน ase2000 ได้ระดับหนึ่งเพราะสามารถมองดูว่ามีการคุยอยู่หรือไม่ และรับหรือส่ง Point index address อะไรได้
- หากติดตั้งและมี error ขึ้น “The program can’t start because MSVCR120.dll is missing from your computer. Try reinstalling the program to fix this problem.” ตามรูป ล่างให้ทำการติดตั้ง Library ของ VC++Redistributable Packages for VS2013 เพิ่มเติมก่อนลงwireshark ใหม่อีกรอบ
