13Sep

כיצד לזהות התעללות ברשת עם Wireshark

click fraud protection

Wireshark הוא סכין הצבא השוויצרי של כלי ניתוח רשת.בין אם אתה מחפש תנועה peer-to-peer ברשת שלך או רק רוצה לראות מה אתרי אינטרנט ספציפיים כתובת ה- IP הוא גישה, Wireshark יכול לעבוד בשבילך.

בעבר נתנו הקדמה ל- Wireshark.ו פוסט זה בונה על ההודעות הקודמות שלנו.זכור כי אתה חייב להיות לכידת במיקום ברשת שבו אתה יכול לראות מספיק תעבורת הרשת.אם אתה מבצע לכידה בתחנת העבודה המקומית שלך, סביר להניח שלא תראה את רוב התנועה ברשת.Wireshark יכול לוכדת ממיקום מרוחק - לבדוק את הטריקים Wireshark שלנו לקבלת מידע נוסף על זה.

זיהוי עמית לעמית תנועה

טור פרוטוקול של Wireshark מציג את סוג הפרוטוקול של כל מנה.אם אתה מסתכל על Wireshark ללכוד, אתה עשוי לראות BitTorrent או אחר peer-to-peer תנועה אורב בו.

אתה יכול לראות רק מה פרוטוקולים נמצאים בשימוש ברשת שלך מ פרוטוקול היררכיה כלי, הממוקם תחת תפריט הסטטיסטיקה .

חלון זה מציג פירוט של שימוש ברשת לפי פרוטוקול.מכאן, אנו יכולים לראות כי כמעט 5 אחוזים של מנות ברשת הן מנות BitTorrent.זה לא נשמע כמו הרבה, אבל BitTorrent גם משתמש מנות UDP.כמעט 25 אחוזים של מנות מסווגות כמו מנות נתונים UDP הם גם תנועה ביטורנט כאן.

instagram viewer

אנו יכולים להציג רק את מנות BitTorrent על ידי לחיצה ימנית על פרוטוקול וליישם אותו כמסנן.אתה יכול לעשות את אותו הדבר עבור סוגים אחרים של peer-to-peer התנועה שעשויים להיות נוכחים, כגון Gnutella, eDonkey, או Soulseek.השתמש באפשרות 'החל מסנן' חלה על המסנן " bittorrent. "אתה יכול לדלג על התפריט לחץ לחיצה ימנית ולהציג תנועה של פרוטוקול על ידי הקלדת שמו ישירות לתוך תיבת מסנן.

מהתנועה המסוננת, אנו יכולים לראות שכתובת ה- IP המקומית של 192.168.1.64 משתמשת ב- BitTorrent.

כדי להציג את כל כתובות ה- IP באמצעות BitTorrent, אנו יכולים לבחור את Endpoints בתפריט לסטטיסטיקה .

לחץ על הכרטיסיה IPv4 והפעל את תיבת הסימון " להגבלת להציג מסנן ".תראה את כתובות ה- IP המרוחקות והמקומיות המשויכות לתעבורת BitTorrent.כתובות ה- IP המקומיות צריכות להופיע בראש הרשימה.

אם ברצונכם לראות את סוגי הפרוטוקולים השונים של Wireshark ואת שמות המסננים שלהם, בחרו פרוטוקולים מאופשרים תחת התפריט Analyse .

באפשרותך להתחיל להקליד פרוטוקול כדי לחפש אותו בחלון 'פרוטוקולים מאופשרים'.

ניטור אתר גישה

עכשיו שאנחנו יודעים איך לשבור את התנועה על ידי פרוטוקול, אנחנו יכולים להקליד " http " לתוך תיבת מסנן כדי לראות רק תעבורת HTTP.כאשר האפשרות "אפשר רזולוציית שם רשת" מסומנת, נציג את השמות של האתרים שבהם ניתן לגשת לרשת.

שוב, אנו יכולים להשתמש באפשרות Endpoints בתפריט 'סטטיסטיקה ' .

לחץ על הכרטיסיה IPv4 והפעל שוב את תיבת הסימון " כדי להציג מסנן ".כמו כן, עליך לוודא שתיבת הסימון " שם רזולוציה " מופעלת או שתראה רק כתובות IP.

מכאן, אנחנו יכולים לראות את אתרי האינטרנט להיות גישה.רשתות פרסום ואתרים של צד שלישי המארחים סקריפטים המשמשים באתרים אחרים יופיעו גם ברשימה.

אם אנחנו רוצים לשבור את זה על ידי כתובת IP ספציפית כדי לראות מה כתובת IP אחת היא גלישה, אנחנו יכולים לעשות את זה גם.השתמש במסנן המשולב http ו- ip.addr == [כתובת IP] כדי לראות את תעבורת ה- HTTP המשויכת לכתובת IP ספציפית.

פתח שוב את תיבת הדו-שיח 'נקודות קצה' ותראה רשימה של אתרים שאליהם מתבצעת גישה באמצעות כתובת IP ספציפית זו.

כל זה רק מגרד את פני השטח של מה שאתה יכול לעשות עם Wireshark.אתה יכול לבנות הרבה יותר מתקדמים מסננים, או אפילו להשתמש בחומת האש ACL כללים מ Wireshark שלנו טריקים לכתוב בקלות לחסום את סוגי התנועה תמצא כאן.