13Sep
Wireshark är den schweiziska armékniven av nätverksanalysverktyg. Oavsett om du letar efter peer-to-peer-trafik på ditt nätverk eller bara vill se vilka webbplatser en specifik IP-adress kommer åt, kan Wireshark fungera för dig.
Vi har tidigare gett en introduktion till Wireshark.och det här inlägget bygger på våra tidigare inlägg. Tänk på att du måste fånga plats på nätverket där du kan se noggrann nätverkstrafik. Om du gör en fångst på din lokala arbetsstation ser du sannolikt inte majoriteten av trafiken på nätverket. Wireshark kan göra fångar från en avlägsen plats - kolla in vårt Wireshark-trickpost för mer information om det.
Identifiera Peer-to-Peer-trafik
Wiresharks protokollkolumn visar protokolltypen för varje paket. Om du tittar på en Wireshark-fånga kan du se att BitTorrent eller annan peer-to-peer-trafik lurar i den.
Du kan bara se vilka protokoll som används på ditt nätverk från -protokollhierarkin -verktyget, som ligger under -statistiken -menyn.
Detta fönster visar en fördelning av nätverksanvändning enligt protokoll. Härifrån kan vi se att nästan 5 procent av paket på nätverket är BitTorrent-paket. Det låter inte så mycket, men BitTorrent använder också UDP-paket. De nästan 25 procenten av paket som klassificeras som UDP Data-paket är också BitTorrent-trafik här.
Vi kan endast visa BitTorrent-paketen genom att högerklicka på protokollet och tillämpa det som ett filter. Du kan göra detsamma för andra typer av peer-to-peer-trafik som kan vara närvarande, till exempel Gnutella, eDonkey eller Soulseek.
Med alternativet Apply Filter tillämpas filtret " bittorrent. "Du kan hoppa över högreklikkmenyn och visa ett protokolls trafik genom att skriva namnet direkt i filterrutan.
Från den filtrerade trafiken ser vi att den lokala IP-adressen till 192.168.1.64 använder BitTorrent.
För att visa alla IP-adresser med hjälp av BitTorrent kan vi välja Endpoints i Statistics -menyn.
Klicka på IPv4 -fliken och aktivera kryssrutan " Limit to display filter ".Du får se både fjärr- och lokala IP-adresser som är associerade med BitTorrent-trafiken. De lokala IP-adresserna ska visas högst upp i listan.
Om du vill se de olika typerna av protokoll stödjer Wireshark och deras filternamn, välj Enabled Protocols under Analysera -menyn.
Du kan börja skriva ett protokoll för att söka efter det i fönstret Aktiverade protokoll.
Övervakning av webbplatsens tillgång
Nu när vi vet hur man bryter ner trafik genom protokoll kan vi skriva " http " i filterrutan för att bara se HTTP-trafik. Med alternativet "Aktivera nätverksnamnupplösning" kan du se namnen på de webbplatser som nås på nätverket.
Återigen kan vi använda alternativet Endpoints i Statistics -menyn.
Klicka över till IPv4 fliken och markera kryssrutan " Limit to display filter " igen. Du bör också se till att kryssrutan " Namnupplösning " är aktiverad eller så får du bara se IP-adresser.
Härifrån kan vi se vilka webbplatser som nås. Annonsnätverk och tredjepartswebbplatser som värdskript som används på andra webbplatser kommer också att visas i listan.
Om vi vill bryta ner det här med en viss IP-adress för att se vad en enda IP-adress bläddrar kan vi också göra det. Använd det kombinerade filtret http och ip.addr == [IP-adress] för att se HTTP-trafik associerad med en specifik IP-adress.
Öppna dialogrutan Endpoints igen och du får se en lista över webbplatser som nås av den specifika IP-adressen.
Det här är bara att skrapa ytan på vad du kan göra med Wireshark. Du kan bygga mycket mer avancerade filter, eller till och med använda Firewall ACL Rules-verktyget från vårt Wireshark-trickpost för att enkelt blockera de typer av trafik du hittar här.
