13Sep
Wireshark ist das Schweizer Taschenmesser für Netzwerkanalyse-Tools. Ob Sie in Ihrem Netzwerk nach Peer-to-Peer-Verkehr suchen oder nur sehen möchten, auf welche Websites eine bestimmte IP-Adresse zugreift, Wireshark kann für Sie arbeiten.
Wir haben zuvor eine Einführung in Wireshark gegeben.und dieser Post baut auf unseren vorherigen Posts auf. Denken Sie daran, dass Sie an einem Ort im Netzwerk erfassen müssen, an dem Sie genügend Netzwerkverkehr sehen können. Wenn Sie eine Erfassung auf Ihrer lokalen Arbeitsstation vornehmen, wird der Großteil des Datenverkehrs im Netzwerk wahrscheinlich nicht angezeigt. Wireshark kann Aufnahmen von einem entfernten Ort aus machen - schaut euch unsere Wireshark-Tricks an, um mehr darüber zu erfahren.
Identifizieren von Peer-to-Peer-Datenverkehr
Wiresharks Protokollspalte zeigt den Protokolltyp jedes Pakets an. Wenn Sie sich ein Wireshark-Capture ansehen, sehen Sie möglicherweise BitTorrent oder anderen Peer-to-Peer-Verkehr darin lauern.
Sie können anhand des Tools Protocol Hierarchy , das sich unter dem Menü Statistics befindet, sehen, welche Protokolle in Ihrem Netzwerk gerade verwendet werden.
Dieses Fenster zeigt eine Aufschlüsselung der Netzwerknutzung nach Protokoll. Von hier aus können wir sehen, dass fast 5 Prozent der Pakete im Netzwerk BitTorrent-Pakete sind. Das hört sich nicht nach viel an, aber BitTorrent verwendet auch UDP-Pakete. Die knapp 25 Prozent der als UDP-Datenpakete klassifizierten Pakete sind hier auch BitTorrent-Verkehr.
Wir können nur die BitTorrent-Pakete anzeigen, indem Sie mit der rechten Maustaste auf das Protokoll klicken und es als Filter anwenden. Sie können das gleiche für andere Arten von Peer-to-Peer-Verkehr tun, die vorhanden sein können, wie Gnutella, eDonkey oder Soulseek.
Mit der Option Filter anwenden wird der Filter " bittorrent" angewendet. "Sie können das Kontextmenü überspringen und den Verkehr eines Protokolls anzeigen, indem Sie seinen Namen direkt in das Feld Filter eingeben.
Aus dem gefilterten Datenverkehr können wir sehen, dass die lokale IP-Adresse 192.168.1.64 BitTorrent verwendet.
Um alle IP-Adressen mit BitTorrent anzuzeigen, können Sie Endpoints im Menü Statistics auswählen.
Klicken Sie auf die Registerkarte IPv4 , und aktivieren Sie das Kontrollkästchen " Limit to display filter ".Sie sehen sowohl die Remote- als auch die lokale IP-Adresse, die dem BitTorrent-Verkehr zugeordnet sind. Die lokalen IP-Adressen sollten am Anfang der Liste angezeigt werden.
Wenn Sie die verschiedenen von Wireshark unterstützten Protokolle und ihre Filternamen anzeigen möchten, wählen Sie Enabled Protocols im Menü Analyze .
Sie können ein Protokoll eingeben, um im Fenster "Enabled Protocols" nach einem Protokoll zu suchen.
Überwachung des Website-Zugriffs
Jetzt, wo wir wissen, wie man den Verkehr nach Protokoll aufteilt, können wir " http " in das Feld Filter eingeben, um nur HTTP-Verkehr zu sehen. Wenn die Option "Netzwerknamenauflösung aktivieren" aktiviert ist, werden die Namen der Websites angezeigt, auf die im Netzwerk zugegriffen wird.
Auch hier können wir die Option Endpoints im Menü Statistics verwenden.
Klicken Sie auf die Registerkarte IPv4 , und aktivieren Sie das Kontrollkästchen Limit erneut, um den Filter anzuzeigen. Sie sollten außerdem sicherstellen, dass das Kontrollkästchen " Namensauflösung " aktiviert ist oder nur IP-Adressen angezeigt werden.
Von hier aus können wir die Webseiten sehen, auf die zugegriffen wird. Werbenetzwerke und Websites von Drittanbietern, die auf anderen Websites verwendete Skripts hosten, werden ebenfalls in der Liste angezeigt.
Wenn wir dies durch eine bestimmte IP-Adresse aufschlüsseln wollen, um zu sehen, was eine einzelne IP-Adresse durchsucht, können wir das auch tun. Verwenden Sie den kombinierten Filter http und ip.addr == [IP-Adresse] , um den mit einer bestimmten IP-Adresse verknüpften HTTP-Verkehr anzuzeigen.
Öffnen Sie das Dialogfeld "Endpoints" erneut und Sie sehen eine Liste der Websites, auf die von dieser spezifischen IP-Adresse zugegriffen wird.
Dies ist alles nur die Oberfläche von dem, was Sie mit Wireshark tun können. Sie könnten wesentlich komplexere Filter erstellen oder sogar das Tool "Firewall-ACL-Regeln" aus unserem Wireshark-Tricks-Post verwenden, um die Arten von Zugriffen, die Sie hier finden, einfach zu blockieren.