13Sep
Wireshark é a faca do Exército Suíço de ferramentas de análise de rede. Se você está procurando por tráfego peer-to-peer na sua rede ou simplesmente quer ver quais sites um endereço IP específico está acessando, o Wireshark pode trabalhar para você.
Já apresentamos uma introdução ao Wireshark.e esta publicação se baseia em nossas postagens anteriores. Tenha em mente que você deve estar capturando em um local na rede onde você pode ver o tráfego de rede suficiente. Se você fizer uma captura em sua estação de trabalho local, é provável que não veja a maioria do tráfego na rede. O Wireshark pode fazer capturas a partir de um local remoto - confira nossa publicação de truques Wireshark para obter mais informações sobre isso.
Identificando tráfego peer-to-peer
A coluna do protocolo Wireshark exibe o tipo de protocolo de cada pacote. Se você estiver olhando para uma captura do Wireshark, você poderá ver o BitTorrent ou outro tráfego peer-to-peer que espreita nela.
Você pode ver exatamente quais protocolos estão sendo usados em sua rede a partir da ferramenta
Protocol Hierarchy , localizado no menu Statistics .Esta janela mostra uma quebra do uso da rede por protocolo. A partir daqui, podemos ver que quase 5% dos pacotes na rede são pacotes BitTorrent. Isso não parece muito, mas o BitTorrent também usa pacotes UDP.Os quase 25% dos pacotes classificados como pacotes de dados UDP também são tráfego BitTorrent aqui.
Podemos visualizar apenas os pacotes BitTorrent ao clicar com o botão direito do mouse no protocolo e aplicá-lo como um filtro. Você pode fazer o mesmo por outros tipos de tráfego peer-to-peer que podem estar presentes, como Gnutella, eDonkey ou Soulseek.
Usando a opção Aplicar filtro aplica o filtro " bittorrent. "Você pode ignorar o menu do botão direito do mouse e ver o tráfego de um protocolo digitando seu nome diretamente na caixa Filtro.
Do tráfego filtrado, podemos ver que o endereço IP local do 192.168.1.64 está usando o BitTorrent.
Para visualizar todos os endereços IP usando BitTorrent, podemos selecionar Endpoints no Statistics menu.
Clique na aba IPv4 e ative a caixa de seleção " Limit para exibir filtro ".Você verá os endereços IP remotos e locais associados ao tráfego BitTorrent. Os endereços IP locais devem aparecer no topo da lista.
Se você quiser ver os diferentes tipos de protocolos suportados pelo Wireshark e seus nomes de filtros, selecione Ativado Protocolos no Analise o menu .
Você pode começar a digitar um protocolo para procurá-lo na janela Protocolos habilitados.
Monitoramento do acesso ao site
Agora que sabemos como quebrar o tráfego por protocolo, podemos digitar " http " na caixa Filtro para ver apenas o tráfego HTTP.Com a opção "Ativar resolução de nome de rede" marcada, veremos os nomes dos sites acessados na rede.
Mais uma vez, podemos usar Endpoints no menu Statistics .
Clique na aba IPv4 e active a caixa de seleção " Limite para exibir filtro " novamente. Você também deve garantir que a caixa de seleção " Name resolution " esteja ativada ou você só verá endereços IP.
A partir daqui, podemos ver os sites acessados. As redes de publicidade e os sites de terceiros que hospedam scripts usados em outros sites também aparecerão na lista.
Se queremos quebrar isso por um endereço IP específico para ver o que um único endereço IP está navegando, também podemos fazer isso. Use o filtro combinado http e ip.addr == [Endereço IP] para ver o tráfego HTTP associado a um endereço IP específico.
Abra a caixa de diálogo Endpoints novamente e você verá uma lista de sites acessados por esse endereço IP específico.
Isto é tudo apenas arranhando a superfície do que você pode fazer com o Wireshark. Você poderia criar filtros muito mais avançados, ou até mesmo usar a ferramenta Regras do ACL do Firewall da nossa publicação de truques do Wireshark para bloquear facilmente os tipos de tráfego que você encontrará aqui.
