Wireshark er den schweiziske hærkniv af netværksanalyseværktøjer. Uanset om du leder efter peer-to-peer-trafik på dit netværk eller bare vil se, hvilke websteder en bestemt IP-adresse har adgang til, kan Wireshark arbejde for dig.
Vi har tidligere givet en introduktion til Wireshark . og dette indlæg bygger på vores tidligere indlæg. Husk, at du skal fange et sted på netværket, hvor du kan se nok netværkstrafik. Hvis du foretager en optagelse på din lokale arbejdsstation, vil du sandsynligvis ikke se størstedelen af trafikken på netværket. Wireshark kan tage billeder fra et fjerntliggende sted - se vores Wireshark tricks post for mere information om det.
Identificering af peer-to-peer-trafik
Kolonnen Wireshark-protokol viser protokoltypen for hver pakke. Hvis du kigger på en Wireshark-capture, ser du muligvis BitTorrent eller anden peer-to-peer-trafik, der lurer i den.
Du kan se, hvilke protokoller der bruges på dit netværk fra Protokolhierarki værktøj, der er placeret under Statistikker menu.
Dette vindue viser en opdeling af netværksbrug efter protokol. Herfra kan vi se, at næsten 5 procent af pakkerne på netværket er BitTorrent-pakker. Det lyder ikke meget, men BitTorrent bruger også UDP-pakker. De næsten 25 procent af pakker, der er klassificeret som UDP-datapakker, er også BitTorrent-trafik her.
Vi kan kun se BitTorrent-pakkerne ved at højreklikke på protokollen og anvende den som et filter. Du kan gøre det samme for andre typer peer-to-peer-trafik, der kan være til stede, såsom Gnutella, eDonkey eller Soulseek.
Brug af indstillingen Anvend filter anvender filteret “ bittorrent. ”Du kan springe højreklikmenuen over og se en protokols trafik ved at skrive navnet direkte i filterboksen.
Fra den filtrerede trafik kan vi se, at den lokale IP-adresse 192.168.1.64 bruger BitTorrent.
For at se alle IP-adresser ved hjælp af BitTorrent kan vi vælge Slutpunkter i Statistikker menu.
Klik over til IPv4 fanen og aktivér “ Begræns til visningsfilter ”Afkrydsningsfelt. Du ser både de eksterne og lokale IP-adresser, der er knyttet til BitTorrent-trafikken. De lokale IP-adresser skal vises øverst på listen.
Hvis du vil se de forskellige typer protokoller, som Wireshark understøtter og deres filternavne, skal du vælge Aktiverede protokoller under Analysere menu.
Du kan begynde at skrive en protokol for at søge efter den i vinduet Aktiverede protokoller.
Overvågning af webstedsadgang
Nu hvor vi ved, hvordan man nedbryder trafikken efter protokol, kan vi skrive “ http ”I filterboksen for kun at se HTTP-trafik. Med "Aktiver opløsning af netværksnavn" markeret, ser vi navnene på de websteder, der er adgang til på netværket.
Endnu en gang kan vi bruge Slutpunkter indstilling i Statistikker menu.
Klik over til IPv4 fanen og aktivér “ Begræns til visningsfilter ”Afkrydsningsfeltet igen. Du bør også sikre, at “ Navneopløsning ”Afkrydsningsfeltet er aktiveret, ellers ser du kun IP-adresser.
Herfra kan vi se de websteder, der er adgang til. Annoncenetværk og tredjepartswebsteder, der er vært for scripts, der bruges på andre websteder, vises også på listen.
Hvis vi vil opdele dette efter en bestemt IP-adresse for at se, hvad en enkelt IP-adresse gennemser, kan vi også gøre det. Brug det kombinerede filter http og ip.addr == [IP address] for at se HTTP-trafik tilknyttet en bestemt IP-adresse.
Åbn dialogboksen Slutpunkter igen, og du vil se en liste over websteder, som den specifikke IP-adresse har adgang til.
Alt dette skraber bare overfladen af, hvad du kan gøre med Wireshark. Du kan oprette meget mere avancerede filtre eller endda bruge Firewall ACL Rules-værktøjet fra vores Wireshark tricks post for nemt at blokere de typer trafik, du finder her.
