13Sep

Kako prepoznati zlorabo omrežja z omrežjem Wireshark

Wireshark je švicarski vojaški nož orodij za analizo omrežja.Če iščete promet med vrstniki v vašem omrežju ali želite samo, da dostopate do spletnih mest, do katerih dostopate do določenega naslova IP, lahko Wireshark dela za vas.

Prejeli smo uvod v Wireshark.ta objava temelji na prejšnjih objavah. Upoštevajte, da morate biti zajeti na lokaciji v omrežju, kjer lahko vidite dovolj prometnega omrežja.Če posnamete lokalno delovno postajo, verjetno ne boste videli večine prometa v omrežju. Wireshark lahko posname iz oddaljene lokacije - za več informacij o tem preberite našo objavo trikov Wireshark.

Prepoznavanje enakopravnega prometa

stolpec protokola Wireshark prikazuje vrsto protokola vsakega paketa.Če iščete ujetje Wiresharka, boste v njem morda videli BitTorrent ali drug enakovreden promet.

Vidite lahko, kateri protokoli se uporabljajo v vašem omrežju iz orodja protokol hierarhija , ki se nahaja v meniju Statistics .

To okno prikazuje razčlenitev uporabe omrežja s protokolom. Od tu vidimo, da je skoraj 5 odstotkov paketov v omrežju paketov BitTorrent. To ne zveni veliko, vendar BitTorrent uporablja tudi UDP pakete. Skoraj 25 odstotkov paketov, ki so razvrščeni kot paketi podatkov UDP, so tukaj tudi BitTorrent prometa.

Pregledamo lahko samo pakete BitTorrent z desnim klikom na protokol in ga uporabimo kot filter. Enako lahko storite tudi za druge vrste prometa med vrstniki, ki so lahko prisotni, kot so Gnutella, eDonkey ali Soulseek.

Uporaba možnosti Uporabi filter uporablja filter " bittorrent. "Preskočite meni z desno miškino tipko in si oglejte promet protokola, tako da vnesete njegovo ime neposredno v polje Filter.

Iz filtriranega prometa lahko vidimo, da lokalni IP-naslov 192.168.1.64 uporablja BitTorrent.

Če si želite ogledati vse naslove IP z uporabo BitTorrent, lahko v meniju Statistics izberemo Endpoints .

Kliknite na jeziček IPv4 in omogočite potrditveno polje » Limit to display filter «.Videli boste tako oddaljene in lokalne naslove IP, povezane z prometom BitTorrent. Lokalni naslovi IP morajo biti prikazani na vrhu seznama.

Če želite videti različne vrste protokolov Wireshark podpira in njihova imena filtrov, izberite Enabled Protocols v meniju Analyze .

Začnete lahko s tipkanjem protokola, da ga poiščete v oknu Omogočeni protokoli.

Spremljanje dostopa do spletnega mesta

Zdaj, ko vemo, kako prekiniti promet po protokolu, lahko v polju Filtri vnesemo » http «, da vidimo samo promet HTTP.Z možnostjo »Omogoči ločljivost imena omrežja« je prikazana imena spletnih mest, ki so dostopna v omrežju.

Ponovno lahko uporabimo možnost Endpoints v meniju Statistics .

Kliknite na zavihek IPv4 in znova omogočite potrditveno polje » Limit to display filter «.Zagotoviti morate tudi, da je potrditveno polje » Name « omogočeno ali pa boste videli le naslove IP.

Od tu lahko vidimo dostop do spletnih mest. Na seznamu bodo prikazana tudi oglaševalska omrežja in spletne strani tretjih oseb, ki uporabljajo skripte gostiteljev, ki se uporabljajo na drugih spletnih mestih.

Če želimo, da to določimo z določenim naslovom IP, da bi videli, kateri brskalnik brska en sam naslov, lahko to storimo tudi. Uporabite kombinirani filter http in ip.addr == [IP naslov] , da si ogledate promet HTTP, povezan s posebnim naslovom IP.

Znova odprite pogovorno okno »Končne točke« in prikažete seznam spletnih mest, s katerimi dostopate do določenega IP-naslova.

To je vse samo praskanje površine, kar lahko storite z Wiresharkom. Lahko zgradite veliko naprednejše filtre ali celo uporabite orodje za pravilnike ACL požarnega zidu iz naše objave Wiresharka, da bi preprosto blokirali vrste prometa, ki jih najdete tukaj.