13Sep
Wireshark je švýcarský nůž síťových analytických nástrojů.Ať už hledáte síťovou komunikaci ve vaší síti, nebo chcete vidět, na které webové stránky přistupuje určitá IP adresa, Wireshark může pracovat pro vás.
Před úvodem jsme se seznámili s Wiresharkem.a tento příspěvek vychází z našich předchozích příspěvků.Mějte na paměti, že musíte být zachyceni v místě v síti, kde vidíte dostatek síťového provozu. Pokud provádíte zachycení na místní pracovní stanici, pravděpodobně nebudete vidět většinu provozu v síti. Wireshark dokáže zachytávat ze vzdáleného místa - prohlédněte si náš příspěvek na triky Wireshark, kde získáte další informace.
Identifikace provozu peer-to-peer
Sloupec protokolu protokolu Wireshark zobrazuje typ protokolu pro každý paket. Pokud se díváte na zachycení Wireshark, může se v něm objevit BitTorrent nebo jiný přenos peer-to-peer.
V nástroji Hierarchy protokolu , který se nachází pod nabídkou Statistics , můžete vidět, jaké protokoly se používají v síti.
Toto okno obsahuje rozpis využití sítě podle protokolu. Odtud můžeme vidět, že téměř 5 procent paketů v síti jsou pakety BitTorrent. To nezní jako moc, ale BitTorrent také používá pakety UDP.Téměř 25 procent paketů klasifikovaných jako UDP datové pakety je také BitTorrent provoz zde.
Můžeme zobrazit pouze pakety BitTorrent klepnutím pravým tlačítkem na protokol a aplikací jako filtr. Stejně můžete učinit i pro jiné typy přenosů peer-to-peer, které mohou být přítomny, například Gnutella, eDonkey nebo Soulseek.
Pomocí volby Použít filtr se použije filtr " bittorrent. "Přeskočit nabídku pravým tlačítkem myši a zobrazovat provoz protokolů zadáním jeho názvu přímo do pole Filtr.
Z filtrovaného provozu vidíme, že lokální IP adresa 192.168.1.64 používá BitTorrent.
Chcete-li zobrazit všechny adresy IP pomocí BitTorrentu, můžeme vybrat Koncové body v nabídce Statistics .
Klepněte na záložku IPv4 a povolte zaškrtávací políčko " Limit to display filter ".Zobrazí se vzdálená i lokální IP adresa spojená s přenosem BitTorrent. Místní adresy IP by se měly zobrazit v horní části seznamu.
Chcete-li vidět různé typy protokolů podporovaných serverem Wireshark a jejich názvy filtrů, vyberte v nabídce Analyze protokoly Enabled .
Do protokolu Enabled Protocols můžete spustit zadání protokolu, který chcete vyhledat.
Monitorování přístupu k webovým stránkám
Nyní, když víme, jak přerušit provoz podle protokolu, můžeme do pole Filtr zadat " http " a zobrazit pouze provoz HTTP.Je-li zaškrtnuto políčko Povolit rozlišení síťového názvu, uvidíme jména webů, které jsou v síti přístupné.
Opět můžeme použít možnost Endpoints v nabídce Statistics .
Klepněte na kartu IPv4 a zaškrtněte políčko " Limit to display filter ".Měli byste také zajistit, aby bylo zaškrtnuto políčko " Rozlišení názvu " nebo uvidíte pouze adresy IP.
Odtud můžeme vidět webové stránky, které jsou přístupné.V seznamu se také zobrazí reklamní sítě a webové stránky třetích stran, které obsahují skripty používané na jiných webech.
Pokud chceme toto rozbití určitou IP adresou, abychom zjistili, co prochází jen jedna IP adresa, můžeme to udělat i my. Použijte kombinovaný filtr http a ip.addr == [IP adresa] , abyste viděli provoz HTTP spojený s konkrétní IP adresou.
Otevřete znovu dialogové okno Koncové body a uvidíte seznam webových stránek, které jsou přístupné touto konkrétní IP adresou.
To vše je jen škrábání povrchu toho, co můžete dělat s Wireshark. Mohli byste vytvořit mnohem pokročilejší filtry nebo dokonce použít nástroj Pravidla ACL pro firewall z našeho triku Wireshark, abyste snadno zablokovali typy provozu, které najdete zde.