13Sep

Hoe netwerkmisbruik met Wireshark te identificeren

Wireshark is het Zwitserse zakmes van netwerkanalysetools. Of u nu op zoek bent naar peer-to-peer-verkeer op uw netwerk of wilt weten welke websites een specifiek IP-adres gebruikt, Wireshark kan voor u werken.

We hebben eerder een inleiding gegeven tot Wireshark.en dit bericht bouwt voort op onze vorige berichten. Houd er rekening mee dat u moet vastleggen op een locatie op het netwerk waar u voldoende netwerkverkeer kunt zien. Als u een vastlegging op uw lokale werkstation uitvoert, ziet u waarschijnlijk niet het grootste deel van het verkeer op het netwerk. Wireshark kan opnames maken vanaf een externe locatie - bekijk onze Wireshark tricks-post voor meer informatie daarover.

Identificatie van peer-to-peer-verkeer

De protocolkolom van Wireshark geeft het protocoltype van elk pakket weer. Als u een Wireshark-opname bekijkt, ziet u mogelijk BitTorrent of ander peer-to-peer-verkeer op de loer liggen.

U kunt precies zien welke protocollen op uw netwerk worden gebruikt vanuit de -protocolhiërarchie -tool, die zich bevindt onder het Statistics -menu.

Dit venster toont een uitsplitsing van het netwerkgebruik per protocol. Vanaf hier kunnen we zien dat bijna 5 procent van de pakketten in het netwerk BitTorrent-pakketten zijn. Dat klinkt niet veel, maar BitTorrent gebruikt ook UDP-pakketten. De bijna 25 procent van de pakketten geclassificeerd als UDP-datapakketten zijn ook BitTorrent-verkeer hier.

We kunnen alleen de BitTorrent-pakketten bekijken door met de rechtermuisknop op het protocol te klikken en het toe te passen als een filter. U kunt hetzelfde doen voor andere soorten peer-to-peer verkeer dat aanwezig kan zijn, zoals Gnutella, eDonkey of Soulseek.

Als u de optie Filter toepassen gebruikt, wordt het filter " bittorrent" toegepast. "U kunt het snelmenu overslaan en het verkeer van een protocol bekijken door de naam ervan rechtstreeks in het filtervak ​​te typen.

Uit het gefilterde verkeer kunnen we zien dat het lokale IP-adres van 192.168.1.64 BitTorrent gebruikt.

Als u alle IP-adressen wilt weergeven met BitTorrent, kunnen -eindpunten worden geselecteerd in het Statistieken -menu.

Klik om naar het tabblad IPv4 te gaan en schakel het selectievakje " Beperking filter filter " in. U ziet zowel het externe als het lokale IP-adres dat is gekoppeld aan het BitTorrent-verkeer. De lokale IP-adressen moeten bovenaan de lijst verschijnen.

Als u de verschillende typen protocollen die Wireshark ondersteunt en hun filternamen wilt zien, selecteert u ingeschakelde protocollen onder het -analyse -menu.

U kunt beginnen met het typen van een protocol om ernaar te zoeken in het venster Ingeschakelde protocollen.

Websitetoegang bewaken

Nu we weten hoe we het verkeer per protocol kunnen verlagen, kunnen we ' http ' typen in het filtervak ​​om alleen HTTP-verkeer te zien. Met de optie "Enable network name resolution" aangevinkt, zullen we de namen zien van de websites die op het netwerk worden benaderd.

Nogmaals, we kunnen de -eindpunten -optie gebruiken in het Statistics -menu.

Klik om naar het IPv4 tabblad te gaan en schakel het selectievakje " Limiet om filter " weer in te schakelen. Zorg er ook voor dat het selectievakje " naamomzetting " is ingeschakeld of dat u alleen IP-adressen ziet.

Van hieruit kunnen we zien welke websites worden geopend. Advertentienetwerken en websites van derden die scripts hosten die op andere websites worden gebruikt, worden ook in de lijst weergegeven.

Als we dit willen doorbreken met een specifiek IP-adres om te zien wat een enkel IP-adres doorbladert, kunnen we dat ook doen. Gebruik het gecombineerde filter http en ip.addr == [IP-adres] om HTTP-verkeer te zien dat is gekoppeld aan een specifiek IP-adres.

Open het dialoogvenster Eindpunten opnieuw en u ziet een lijst met websites die door dat specifieke IP-adres worden geopend.

Dit is allemaal een kras op het oppervlak van wat je kunt doen met Wireshark. Je zou veel geavanceerdere filters kunnen bouwen, of zelfs de ACL-regels van Firewall kunnen gebruiken in onze Wireshark-tricks-post om het soort verkeer dat je hier zult vinden eenvoudig te blokkeren.