13Sep

Kaip nustatyti piktnaudžiavimą tinklu "Wireshark"

Wireshark yra Šveicarijos armijos tinklo analizės įrankių peilis. Nesvarbu, ar jūsų tinklas ieško peer-to-peer srauto arba tiesiog norite pamatyti, kokios svetainės turi konkretų IP adresą, "Wireshark" gali jums padėti.

Mes anksčiau pristatėme "Wireshark" versiją.ir šis įrašas remiasi mūsų ankstesniais pranešimais. Turėkite omenyje, kad turite būti fiksuojami toje tinklo vietoje, kur galite pamatyti pakankamai tinklo srauto. Jei užfiksuosite savo vietinę darbo vietą, greičiausiai nematysite daugumos tinklo srauto."Wireshark" gali užfiksuoti nuotolinę vietą - peržiūrėkite Wireshark gudrybės įrašą, kad gautumėte daugiau informacijos apie tai.

Identifikavimas lygiavertės eismo

Wireshark protokolo stulpelis rodo kiekvieno paketo tipo protokolą.Jei žiūrite į "Wireshark" užfiksuotą vaizdą, galite pamatyti "BitTorrent" arba kitą "peer-to-peer" srautą, kuris jame pasislėpė.

Jūs galite pamatyti, kokie protokolai naudojami jūsų tinkle iš protokolo hierarchijos įrankio, esančio Statistics meniu.

Šiame lange rodomas tinklo naudojimas pagal protokolą.Iš čia matome, kad beveik 5 procentai paketų tinkle yra "BitTorrent" paketai. Tai ne taip gerai, bet "BitTorrent" taip pat naudoja UDP paketus. Beveik 25 procentai paketų, priskiriamų UDP duomenų paketams, taip pat yra "BitTorrent" srautas.

Mes galime peržiūrėti tik "BitTorrent" paketus, dešiniuoju pelės klavišu spustelėdami protokolą ir pritaikydami jį kaip filtrą.Tą patį galite atlikti ir kitų rūšių tarpusavio ryšiui, kuris gali būti naudojamas, pvz., "Gnutella", "eDonkey" arba "Soulseek".

Naudojant "Taikyti filtrą" parinktį taikomas filtras " bittorrent". "Galite praleisti meniu dešiniuoju pelės klavišu ir peržiūrėti protokolo srautą, įvesdami jo pavadinimą tiesiai į lauką" Filtras ".

Iš filtruoto srauto matome, kad vietinis 192.168.1.64 IP adresas naudoja "BitTorrent".

Norėdami peržiūrėti visus IP adresus naudodamiesi "BitTorrent", mes galime pasirinkti galutinius taškus statistikos meniu.

Paspauskite ant skirtuko IPv4 ir įjunkite žymės langelį " Limit, kad būtų rodomas filtras ".Pamatysite nuotolinius ir vietinius IP adresus, susietus su "BitTorrent" srautu. Vietiniai IP adresai turėtų būti rodomi sąrašo viršuje.

Jei norite matyti įvairius Wireshark palaikomų protokolų tipus ir jų filtrų pavadinimus, pasirinkite įgalintus protokolus pagal Analyze meniu.

Galite pradėti rašyti protokolą, kad jį ieškotumėte lange "Įgalintų protokolų".

Tinklo prieigos stebėjimas

Dabar, kai mes žinome, kaip pertvarkyti srautą pagal protokolą, mes galime įvesti " http " į lauką Filtras, kad pamatytume tik HTTP srautą.Pažymėjus parinktį "Įgalinti tinklo vardo skiriamąją gebą", matysime tinklalapių, prie kurių prisijungia prie tinklo, pavadinimus.

Dar kartą mes galime naudoti parametrų parinktį Statistics meniu.

Paspauskite ant skirtuko IPv4 ir vėl įjunkite " ribą, kad būtų rodomas filtras ".Taip pat turėtumėte įsitikinti, kad žymės langelis " vardų skiriamoji geba " yra įjungtas arba matysite tik IP adresus.

Iš čia mes galime pamatyti, kokios svetainės pasiekiamos. Sąraše taip pat bus rodomi reklamavimo tinklai ir trečiųjų šalių tinklalapiai, kuriuose naudojami kitose svetainėse naudojami scenarijai.

Jei mes norime ištrinti šį parametrą pagal konkretų IP adresą, norėdami sužinoti, koks yra vienas IP adresas, mes galime tai padaryti. Naudokite kombinuotą filtrą http ir ip.addr == [IP address] , norėdami pamatyti HTTP srautą, susijusį su konkrečiu IP adresu.

Atidarykite langą "Galutiniai taškai" dar kartą ir pamatysite svetainių, prie kurių pasiekiamas tas konkretus IP adresas, sąrašą.

Tai viskas, nesvarbu, kokį paviršių galite daryti su Wireshark. Galėtumėte sukurti daug daugiau išplėstinių filtrų arba net naudoti "Firewall ACL Rules" įrankį iš mūsų "Wireshark" gudrybių įrašo, kad lengvai blokuotumėte eismo tipus, kuriuos rasite čia.