13Sep
Wireshark est le couteau suisse des outils d'analyse de réseau. Que vous recherchiez un trafic peer-to-peer sur votre réseau ou que vous vouliez simplement savoir à quels sites Web une adresse IP spécifique accède, Wireshark peut travailler pour vous.
Nous avons déjà donné une introduction à Wireshark.et ce post s'appuie sur nos messages précédents. Gardez à l'esprit que vous devez effectuer une capture à un emplacement du réseau où vous pouvez voir un trafic réseau suffisant. Si vous effectuez une capture sur votre poste de travail local, vous risquez de ne pas voir la majorité du trafic sur le réseau. Wireshark peut effectuer des captures à partir d'un emplacement distant - consultez notre article sur les astuces Wireshark pour plus d'informations à ce sujet.
Identification du trafic d'égal à égal
La colonne de protocole de Wireshark affiche le type de protocole de chaque paquet. Si vous regardez une capture Wireshark, vous pouvez voir BitTorrent ou un autre trafic peer-to-peer qui s'y cache.
Vous pouvez voir exactement quels protocoles sont utilisés sur votre réseau à partir de l'outil Hiérarchie de protocole , situé dans le menu Statistics .
Cette fenêtre montre une répartition de l'utilisation du réseau par protocole. D'ici, nous pouvons voir que près de 5% des paquets sur le réseau sont des paquets BitTorrent. Cela ne ressemble pas beaucoup, mais BitTorrent utilise également des paquets UDP.Près de 25% des paquets classés en tant que paquets de données UDP sont également du trafic BitTorrent ici.
Nous pouvons afficher uniquement les paquets BitTorrent en cliquant avec le bouton droit sur le protocole et en l'appliquant comme filtre. Vous pouvez faire de même pour les autres types de trafic peer-to-peer qui peuvent être présents, tels que Gnutella, eDonkey ou Soulseek.
L'utilisation de l'option Appliquer le filtre applique le filtre " bittorrent. "Vous pouvez ignorer le menu contextuel et afficher le trafic d'un protocole en saisissant son nom directement dans la zone Filtre.
Du trafic filtré, nous pouvons voir que l'adresse IP locale de 192.168.1.64 utilise BitTorrent.
Pour afficher toutes les adresses IP à l'aide de BitTorrent, nous pouvons sélectionner Endpoints dans le menu Statistics .
Cliquez sur l'onglet IPv4 et cochez la case " Limit pour afficher le filtre ".Vous verrez à la fois les adresses IP distantes et locales associées au trafic BitTorrent. Les adresses IP locales doivent apparaître en haut de la liste.
Si vous souhaitez voir les différents types de protocoles pris en charge par Wireshark et leurs noms de filtre, sélectionnez Protocoles activés dans le menu Analyse .
Vous pouvez commencer à taper un protocole pour le rechercher dans la fenêtre Protocoles activés.
Surveillance de l'accès au site Web
Maintenant que nous savons comment réduire le trafic par protocole, nous pouvons taper " http " dans la zone Filtre pour voir uniquement le trafic HTTP.Avec l'option "Activer la résolution du nom de réseau" cochée, nous verrons les noms des sites Web accédés sur le réseau.
Une fois encore, nous pouvons utiliser l'option Endpoints dans le menu Statistics .
Cliquez sur l'onglet IPv4 et cochez à nouveau la case " Limit pour afficher le filtre ".Vous devez également vérifier que la case à cocher " Name resolution " est activée ou que vous ne verrez que les adresses IP.
De là, nous pouvons voir les sites Web en cours d'accès. Les réseaux publicitaires et les sites Web de tiers hébergeant des scripts utilisés sur d'autres sites Web apparaîtront également dans la liste.
Si nous voulons décomposer ceci par une adresse IP spécifique pour voir ce qu'une seule adresse IP est en train de parcourir, nous pouvons le faire aussi. Utilisez le filtre combiné http et ip.addr == [adresse IP] pour voir le trafic HTTP associé à une adresse IP spécifique.
Ouvrez à nouveau la boîte de dialogue Points de terminaison et vous verrez une liste de sites Web accessibles par cette adresse IP spécifique.
Tout cela ne fait que gratter la surface de ce que vous pouvez faire avec Wireshark. Vous pouvez créer des filtres beaucoup plus avancés, ou même utiliser l'outil Firewall ACL Rules de notre article Trucs Wireshark pour bloquer facilement les types de trafic que vous trouverez ici.