13Sep
Wireshark to szwajcarski scyzoryk narzędzi do analizy sieci. Niezależnie od tego, czy szukasz sieci typu peer-to-peer w swojej sieci, czy chcesz po prostu zobaczyć, do jakich witryn dociera dany adres IP, Wireshark może pracować dla Ciebie.
Wcześniej przedstawiliśmy wprowadzenie do Wiresharka.a ten post opiera się na naszych poprzednich postach. Pamiętaj, że musisz przechwytywać dane w lokalizacji w sieci, w której widać wystarczający ruch sieciowy. Jeśli zrobisz przechwycenie na lokalnej stacji roboczej, prawdopodobnie nie zobaczysz większości ruchu w sieci. Wireshark może robić przechwytywania ze zdalnej lokalizacji - sprawdź nasz post w grze Wireshark, aby uzyskać więcej informacji na ten temat.
Identyfikacja ruchu Peer-to-Peer
Kolumna protokołu Wireshark wyświetla typ protokołu dla każdego pakietu. Jeśli patrzysz na przechwytywanie Wireshark, możesz zobaczyć w nim BitTorrenta lub inny ruch peer-to-peer.
Możesz zobaczyć, jakie protokoły są używane w twojej sieci z narzędzia Hierarchia protokołu , dostępnego w menu Statistics .
To okno pokazuje rozkład użycia sieci według protokołu. Z tego widać, że prawie 5 procent pakietów w sieci to pakiety BitTorrent. To nie brzmi jak bardzo, ale BitTorrent również używa pakietów UDP.Prawie 25 procent pakietów sklasyfikowanych jako pakiety danych UDP to także ruch BitTorrent.
Możemy wyświetlić tylko pakiety BitTorrent, klikając prawym przyciskiem myszy protokół i stosując go jako filtr. Możesz zrobić to samo dla innych typów połączeń peer-to-peer, które mogą być obecne, takich jak Gnutella, eDonkey lub Soulseek.
Użycie opcji Zastosuj filtr powoduje zastosowanie filtru " bittorrent. "Można pominąć menu z prawym przyciskiem myszy i wyświetlić ruch protokołu, wpisując jego nazwę bezpośrednio w polu Filtr.
Z przefiltrowanego ruchu widzimy, że lokalny adres IP 192.168.1.64 używa BitTorrenta.
Aby wyświetlić wszystkie adresy IP za pomocą BitTorrenta, możemy wybrać Punkty końcowe w menu Statistics .
Kliknij na zakładkę IPv4 i zaznacz pole wyboru " Limit, aby wyświetlić filtr ".Zobaczysz zarówno zdalny, jak i lokalny adres IP powiązany z ruchem BitTorrent. Lokalne adresy IP powinny pojawić się na górze listy.
Jeśli chcesz zobaczyć różne typy protokołów obsługiwanych przez Wireshark i ich nazwy filtrów, wybierz Enabled Protocols w menu Analyze .
Możesz rozpocząć wpisywanie protokołu, aby go wyszukać w oknie Enabled Protocols.
Monitorowanie dostępu do witryny
Teraz, gdy wiemy, jak przełamać ruch przez protokół, możemy wpisać " http " w polu Filtr, aby zobaczyć tylko ruch HTTP.Po zaznaczeniu opcji "Włącz rozpoznawanie nazw sieci" zobaczysz nazwy witryn, do których uzyskujesz dostęp w sieci.
Po raz kolejny możemy użyć opcji Punkty końcowe w menu Statystyka .
Kliknij na zakładkę IPv4 i ponownie zaznacz pole " Limit, aby wyświetlić filtr ".Należy również upewnić się, że pole wyboru " Rozpoznawanie nazw " jest włączone lub zobaczysz tylko adresy IP.
Z tego miejsca widzimy dostęp do stron internetowych. Na liście pojawią się również sieci reklamowe i witryny innych firm obsługujące skrypty używane w innych witrynach.
Jeśli chcemy to zepsuć o konkretny adres IP, aby zobaczyć, co przegląda pojedynczy adres IP, możemy to zrobić.Użyj połączonego filtra http i ip.addr == [adres IP] , aby wyświetlić ruch HTTP powiązany z określonym adresem IP.
Ponownie otwórz okno dialogowe Punkty końcowe, a zobaczysz listę stron internetowych, do których ma dostęp ten konkretny adres IP.
To wszystko tylko zarysowanie powierzchni tego, co możesz zrobić z Wireshark. Możesz zbudować znacznie bardziej zaawansowane filtry, a nawet użyć narzędzia Reguły ACL Zapory z naszego posta Wireshark, aby łatwo zablokować typy ruchu, które znajdziesz tutaj.
