13Sep
Wireshark je švicarski vojni nož alata za analizu mreže. Bez obzira tražite li međusobno prometa na mreži ili samo želite vidjeti koje web stranice pristupaju određena IP adresa, Wireshark može raditi za vas.
Prije smo dali uvod u Wireshark.i ovaj se post temelji na našim prethodnim postovima. Imajte na umu da morate snimiti na lokaciji na mreži gdje možete vidjeti dovoljan mrežni promet. Ako snimate na lokalnoj radnoj stanici, vjerojatno nećete vidjeti većinu prometa na mreži. Wireshark može snimati s udaljenog mjesta - provjerite naše Wireshark trikove za više informacija o tome.
Prepoznavanje međusobnog prometa
Wiresharkov stupac protokola prikazuje vrstu protokola svakog paketa. Ako ste u potrazi za snimanjem Wireshark, možda biste vidjeli BitTorrent ili drugi međusobni promet koji vreba u njemu.
Možete vidjeti samo koji protokoli se koriste na vašoj mreži iz protokol hijerarhije alat, koji se nalazi pod Statistika izbornika.
Ovaj prozor prikazuje analizu korištenja mreže po protokolu. Odavde možemo vidjeti da je gotovo 5 posto paketa na mreži BitTorrent paketi. To ne zvuči kao puno, ali BitTorrent također koristi UDP pakete. Gotovo 25 posto paketa koji su klasificirani kao UDP podatkovni paketi također su ovdje BitTorrent.
Možemo vidjeti samo BitTorrent pakete tako da desnom tipkom miša kliknemo protokol i primijemo ga kao filter. To možete učiniti isto za ostale vrste prometa ravnopravnih korisnika koji mogu biti prisutni, kao što su Gnutella, eDonkey ili Soulseek.
Koristeći opciju Filter Apply primjenjuje se filtar " bittorrent. "Možete preskočiti izbornik desnom tipkom miša i pregledati promet protokola upisivanjem njegovog imena izravno u okvir Filter.
Iz filtriranog prometa vidimo da lokalna IP adresa 192.168.1.64 koristi BitTorrent.
Za pregled svih IP adresa koristeći BitTorrent, možemo odabrati krajnje točke u Statistici izborniku.
Kliknite na IPv4 karticu i omogućite potvrdni okvir " Ograničenje za prikaz filtra ".Vidjet ćete i udaljene i lokalne IP adrese povezane s BitTorrent prometa. Lokalne IP adrese trebale bi se pojaviti pri vrhu popisa.
Ako želite vidjeti različite vrste protokola Wireshark podržava i njihova imena filtra, odaberite Omogućeni protokoli pod Analizirati izbornik.
Možete započeti upisivati protokol za pretraživanje u prozoru Omogućeni protokoli.
Praćenje web stranica
Sada kad znamo kako prekinuti promet prema protokolu, možemo upisati " http " u okvir Filter( Filter) da bismo vidjeli samo HTTP promet. Ako je uključena opcija "Omogući razlučivanje naziva mreže", vidjet ćemo nazive web stranica kojima se pristupa na mreži.
Još jednom možemo koristiti krajnju točku opciju u Statistici izborniku.
Kliknite na IPv4 karticu i omogućite potvrdni okvir " Ograničenje za prikaz filtra ".Također biste trebali provjeriti je li omogućen potvrdni okvir " Name resolution " ili ćete vidjeti samo IP adrese.
Odavde možemo vidjeti web stranice kojima se pristupa. Na popisu će se pojaviti i mreže za oglašavanje i web stranice trećih strana koje domaćin skripti koriste na drugim web stranicama.
Ako to želimo razbiti specifičnom IP adresom da bismo vidjeli što pregledava jedna IP adresa, to možemo i učiniti. Koristite kombinirani filtar http i ip.addr == [IP adresa] da biste vidjeli HTTP promet povezan s određenom IP adresom.
Ponovno otvorite dijaloški okvir Endpoints i vidjet ćete popis web stranica kojima se pristupa određenom IP adresom.
To je sve samo grebanje površine onoga što možete učiniti s Wiresharkom. Možete izraditi naprednije filtre ili čak upotrijebiti alat Firewall ACL pravila s našeg Wireshark trikova da biste lako blokirali vrste prometa koje ćete ovdje pronaći.