13Sep
Wireshark este cuțitul armatei elvețiene de instrumente de analiză a rețelei. Indiferent că sunteți în căutarea unui trafic peer-to-peer în rețeaua dvs. sau doriți doar să vedeți ce site-uri web accesează o adresă IP specifică, Wireshark poate lucra pentru dvs.
Am oferit anterior o introducere la Wireshark.și acest post se bazează pe postările noastre anterioare. Rețineți că trebuie să capturați dintr-o locație din rețea unde puteți vedea suficient trafic de rețea. Dacă efectuați o captură pe stația dvs. de lucru locală, este posibil să nu vedeți majoritatea traficului din rețea. Wireshark poate face capturi dintr-o locație îndepărtată - verificați postarea trucurilor Wireshark pentru mai multe informații despre asta.
Identificarea traficului peer-to-peer
Coloana protocolului Wireshark afișează tipul de protocol al fiecărui pachet. Dacă vă uitați la o captură Wireshark, este posibil să vedeți BitTorrent sau alt trafic de tip peer-to-peer care se află în el.
Puteți vedea exact ce protocoale sunt utilizate în rețeaua dvs. din instrumentul
Ierarhia Protocol , aflat sub meniul Statistics .Această fereastră arată o defalcare a utilizării rețelei prin protocol. De aici, putem vedea că aproape 5% din pachetele din rețea sunt pachete BitTorrent. Acest lucru nu pare prea mult, dar BitTorrent folosește de asemenea pachete UDP.Aproape 25% din pachetele clasificate ca pachete de date UDP sunt, de asemenea, trafic BitTorrent aici.
Putem vizualiza numai pachetele BitTorrent făcând clic cu butonul din dreapta al protocolului și aplicându-l ca filtru. Puteți face același lucru și pentru alte tipuri de trafic peer-to-peer care pot fi prezente, cum ar fi Gnutella, eDonkey sau Soulseek.
Folosind opțiunea Aplicare filtru se aplică filtrul " bittorrent. "Puteți sări peste meniul cu clic dreapta și vizualizați traficul unui protocol introducând numele acestuia direct în caseta Filtru.
Din traficul filtrat putem vedea că adresa IP locală a lui 192.168.1.64 utilizează BitTorrent.
Pentru a vizualiza toate adresele IP folosind BitTorrent, putem selecta Endpoints din meniul Statistics .
Faceți clic pe fila IPv4 și activați caseta de selectare " Limit to display filter ".Veți vedea atât adresa IP la distanță cât și cea locală asociată cu traficul BitTorrent. Adresele IP locale ar trebui să apară în partea de sus a listei.
Dacă doriți să vedeți diferitele tipuri de suporturi Wireshark protocoale și numele lor de filtrare, selectați Protocoale activate sub meniul Analyze .
Puteți începe să tastați un protocol pentru al căuta în fereastra Protocoale activate.
Monitorizarea accesului la site-ul
Acum, când știm cum să rupem traficul prin protocol, putem introduce " http " în caseta Filter pentru a vedea doar traficul HTTP.Cu ajutorul opțiunii "Activați rezoluția numelui rețelei", vom vedea numele site-urilor accesate în rețea.
Încă o dată, putem folosi opțiunea Endpoints din meniul Statistics .
Faceți clic pe fila IPv4 și activați din nou caseta de selectare " Limit to display filter ".De asemenea, trebuie să vă asigurați că caseta de selectare " Nume " este activată sau veți vedea numai adresele IP.
De aici putem vedea site-urile accesate. Rețelele de publicitate și site-urile web ale unor terțe părți care găzduiesc scripturile utilizate pe alte site-uri Web vor apărea, de asemenea, în listă.
Dacă vrem să o rupem de o anumită adresă IP pentru a vedea ce navighează o singură adresă IP, putem face și asta. Utilizați filtrul combinat http și ip.addr == [adresa IP] pentru a vedea traficul HTTP asociat cu o anumită adresă IP.
Deschideți din nou dialogul Endpoints și veți vedea o listă de site-uri web accesate de acea adresă IP specifică.
Aceasta este doar zgârierea suprafeței a ceea ce puteți face cu Wireshark. Ați putea construi filtre mult mai avansate sau chiar utilizați instrumentul Reguli ACL din Firewall din postul nostru de trucuri Wireshark pentru a bloca cu ușurință tipurile de trafic pe care le veți găsi aici.
