Wireshark je švýcarský armádní nůž nástrojů pro síťovou analýzu. Ať už hledáte přenos typu peer-to-peer ve vaší síti, nebo jen chcete zjistit, na jaké weby konkrétní IP adresa přistupuje, Wireshark pro vás může pracovat.
Dříve jsme dostali úvod do Wireshark . a tento příspěvek navazuje na naše předchozí příspěvky. Mějte na paměti, že musíte pořizovat snímky v místě v síti, kde vidíte dostatečný síťový provoz. Pokud zachytíte na místní pracovní stanici, pravděpodobně neuvidíte většinu provozu v síti. Wireshark může pořizovat snímky ze vzdáleného místa - podívejte se na naše Wireshark triky post pro více informací o tom.
Identifikace provozu typu peer-to-peer
Sloupec protokolu Wireshark zobrazuje typ protokolu každého paketu. Pokud se díváte na zachycení Wireshark, možná v něm číhá BitTorrent nebo jiný provoz typu peer-to-peer.
Z protokolu můžete zjistit, jaké protokoly se ve vaší síti používají Hierarchie protokolu nástroj, umístěný pod Statistika Jídelní lístek.
Toto okno ukazuje rozpis využití sítě podle protokolu. Odtud vidíme, že téměř 5 procent paketů v síti jsou pakety BitTorrent. To moc nezní, ale BitTorrent také používá UDP pakety. Téměř 25 procent paketů klasifikovaných jako datové pakety UDP je zde také provozem BitTorrent.
Můžeme zobrazit pouze pakety BitTorrent kliknutím pravým tlačítkem na protokol a jeho použitím jako filtru. Totéž můžete udělat pro jiné typy provozu typu peer-to-peer, které mohou být přítomny, například Gnutella, eDonkey nebo Soulseek.
Pomocí možnosti Použít filtr se použije filtr „ bittorrent. „Můžete přeskočit nabídku pravého tlačítka myši a zobrazit přenos protokolu zadáním jeho názvu přímo do pole Filtr.
Z filtrovaného provozu vidíme, že místní IP adresa 192.168.1.64 používá BitTorrent.
Chcete-li zobrazit všechny adresy IP pomocí BitTorrentu, můžeme vybrat Koncové body v Statistika Jídelní lístek.
Klikněte na ikonu IPv4 kartu a povolte „ Omezit na zobrazení filtru ”Zaškrtávací políčko. Uvidíte vzdálenou i místní IP adresu spojenou s provozem BitTorrent. Místní adresy IP by se měly objevit v horní části seznamu.
Pokud chcete zobrazit různé typy protokolů, které Wireshark podporuje, a jejich názvy filtrů, vyberte Povolené protokoly pod Analyzovat Jídelní lístek.
Můžete začít psát protokol a hledat jej v okně Povolené protokoly.
Monitorování přístupu na web
Nyní, když víme, jak rozdělit provoz podle protokolu, můžeme zadat „ http ”Do pole Filtr, abyste viděli pouze přenos HTTP. S možnost „Povolit rozlišení názvu sítě“ zaškrtnuto, uvidíme názvy webů, ke kterým se v síti přistupuje.
Opět můžeme použít Koncové body možnost v Statistika Jídelní lístek.
Klikněte na ikonu IPv4 kartu a povolte „ Omezit na zobrazení filtru ”Zaškrtávací políčko znovu. Měli byste také zajistit, aby „ Rozlišení jmen ”Je zaškrtávací políčko aktivní, nebo uvidíte pouze IP adresy.
Odtud můžeme vidět přístupné webové stránky. V seznamu se také zobrazí reklamní sítě a weby třetích stran, které hostují skripty používané na jiných webech.
Pokud to chceme rozdělit podle konkrétní adresy IP, abychom zjistili, co prochází jedna adresa IP, můžeme to udělat také. Použijte kombinovaný filtr http a ip.addr == [IP address] zobrazit přenos HTTP spojený s konkrétní adresou IP.
Znovu otevřete dialogové okno Koncové body a zobrazí se seznam webů, na které tato konkrétní IP adresa přistupuje.
To vše jen škrábe povrch toho, co můžete dělat s Wireshark. Můžete vytvořit mnohem pokročilejší filtry nebo dokonce použít nástroj Firewall ACL Rules z našeho Wireshark triky post snadno blokovat typy provozu, které zde najdete.
