Το Wireshark έχει αρκετά κόλπα στο μανίκι του, από τη σύλληψη απομακρυσμένης κίνησης έως τη δημιουργία κανόνων τείχους προστασίας που βασίζονται σε πακέτα που συλλαμβάνονται. Διαβάστε παρακάτω για μερικές πιο προηγμένες συμβουλές εάν θέλετε να χρησιμοποιήσετε το Wireshark σαν επαγγελματίας.
Έχουμε ήδη καλύψει βασική χρήση του Wireshark , οπότε φροντίστε να διαβάσετε το αρχικό μας άρθρο για μια εισαγωγή σε αυτό το ισχυρό εργαλείο ανάλυσης δικτύου.
Ανάλυση ονόματος δικτύου
Κατά τη λήψη πακέτων, μπορεί να ενοχλείτε ότι το Wireshark εμφανίζει μόνο διευθύνσεις IP. Μπορείτε να μετατρέψετε τις διευθύνσεις IP σε ονόματα τομέα μόνοι σας, αλλά αυτό δεν είναι πολύ βολικό.
Το Wireshark μπορεί να επιλύσει αυτόματα αυτές τις διευθύνσεις IP σε ονόματα τομέα, αν και αυτή η λειτουργία δεν είναι ενεργοποιημένη από προεπιλογή. Όταν ενεργοποιήσετε αυτήν την επιλογή, θα βλέπετε ονόματα τομέα αντί για διευθύνσεις IP όποτε είναι δυνατόν. Το μειονέκτημα είναι ότι το Wireshark θα πρέπει να αναζητήσει κάθε όνομα τομέα, μολύνοντας την καταγεγραμμένη κίνηση με πρόσθετα αιτήματα DNS.
Μπορείτε να ενεργοποιήσετε αυτήν τη ρύθμιση ανοίγοντας το παράθυρο προτιμήσεων από Επεξεργασία -> Προτιμήσεις , κάνοντας κλικ στο Ανάλυση ονόματος και κάνοντας κλικ στο " Ενεργοποίηση ανάλυσης ονόματος δικτύου Πλαίσιο ελέγχου.
Ξεκινήστε τη λήψη αυτόματα
Μπορείτε να δημιουργήσετε μια ειδική συντόμευση χρησιμοποιώντας τα ορίσματα της γραμμής εντολών του Wirshark εάν θέλετε να ξεκινήσετε τη λήψη πακέτων χωρίς καθυστέρηση. Θα πρέπει να γνωρίζετε τον αριθμό της διεπαφής δικτύου που θέλετε να χρησιμοποιήσετε, με βάση τη σειρά που το Wireshark εμφανίζει τις διεπαφές.
Δημιουργήστε ένα αντίγραφο της συντόμευσης του Wireshark, κάντε δεξί κλικ, μεταβείτε στο παράθυρο Ιδιότητες και αλλάξτε τα ορίσματα της γραμμής εντολών. Προσθήκη -ε # -κ στο τέλος της συντόμευσης, αντικαθιστώντας # με τον αριθμό της διεπαφής που θέλετε να χρησιμοποιήσετε. Η επιλογή -i καθορίζει τη διεπαφή, ενώ η επιλογή -k λέει στο Wireshark να αρχίσει αμέσως τη λήψη.
Εάν χρησιμοποιείτε Linux ή άλλο λειτουργικό σύστημα εκτός Windows, απλώς δημιουργήστε μια συντόμευση με την ακόλουθη εντολή ή εκτελέστε την από ένα τερματικό για να ξεκινήσετε τη λήψη αμέσως:
wireshark -i # -k
Για περισσότερες συντομεύσεις γραμμής εντολών, ρίξτε μια ματιά Εγχειρίδιο Wireshark .
Σύλληψη επισκεψιμότητας από απομακρυσμένους υπολογιστές
Το Wireshark συλλαμβάνει την επισκεψιμότητα από τις τοπικές διεπαφές του συστήματός σας από προεπιλογή, αλλά δεν είναι πάντα η τοποθεσία από την οποία θέλετε να καταγράψετε. Για παράδειγμα, μπορεί να θέλετε να καταγράψετε κίνηση από δρομολογητή, διακομιστή ή άλλον υπολογιστή σε διαφορετική τοποθεσία στο δίκτυο. Εδώ έρχεται η δυνατότητα απομακρυσμένης λήψης του Wireshark. Αυτή η δυνατότητα είναι διαθέσιμη μόνο στα Windows αυτήν τη στιγμή - η επίσημη τεκμηρίωση του Wireshark συνιστά στους χρήστες Linux να χρησιμοποιούν Σήραγγα SSH .
Πρώτα, θα πρέπει να εγκαταστήσετε WinPcap στο απομακρυσμένο σύστημα. Το WinPcap έρχεται με το Wireshark, επομένως δεν χρειάζεται να εγκαταστήσετε το WinPCap εάν έχετε ήδη εγκαταστήσει το Wireshark στο απομακρυσμένο σύστημα.
Αφού εγκατασταθεί, ανοίξτε το παράθυρο Υπηρεσίες στον απομακρυσμένο υπολογιστή - κάντε κλικ στο κουμπί Έναρξη, πληκτρολογήστε services.msc στο πλαίσιο αναζήτησης στο μενού Έναρξη και πατήστε Enter. Εντοπίστε το Απομακρυσμένο πρωτόκολλο καταγραφής πακέτων υπηρεσία στη λίστα και ξεκινήστε την. Αυτή η υπηρεσία είναι απενεργοποιημένη από προεπιλογή.
Κάντε κλικ στο Επιλογή καταγραφής s σύνδεσμος στο Wireshark και μετά επιλέξτε Μακρινός από το πλαίσιο διασύνδεσης.
Εισαγάγετε τη διεύθυνση του απομακρυσμένου συστήματος και 2002 ως το λιμάνι. Πρέπει να έχετε πρόσβαση στη θύρα 2002 στο απομακρυσμένο σύστημα για σύνδεση, επομένως ίσως χρειαστεί να ανοίξετε αυτήν τη θύρα σε τείχος προστασίας.
Μετά τη σύνδεση, μπορείτε να επιλέξετε μια διεπαφή στο απομακρυσμένο σύστημα από το αναπτυσσόμενο πλαίσιο Διεπαφή. Κάντε κλικ Αρχή αφού επιλέξετε τη διεπαφή για να ξεκινήσετε την απομακρυσμένη λήψη.
Wireshark σε τερματικό (TShark)
Εάν δεν έχετε γραφική διεπαφή στο σύστημά σας, μπορείτε να χρησιμοποιήσετε το Wireshark από ένα τερματικό με την εντολή TShark.
Πρώτα, εκδώστε το tshark -D εντολή. Αυτή η εντολή θα σας δώσει τους αριθμούς των διεπαφών δικτύου σας.
Μόλις το κάνετε, εκτελέστε το tshark -i # εντολή, αντικαθιστώντας το # με τον αριθμό της διεπαφής στην οποία θέλετε να καταγράψετε.
Το TShark ενεργεί όπως το Wireshark, εκτυπώνοντας την κίνηση που καταγράφει στο τερματικό. Χρήση Ctrl-C όταν θέλετε να σταματήσετε τη λήψη.
Η εκτύπωση των πακέτων στο τερματικό δεν είναι η πιο χρήσιμη συμπεριφορά. Εάν θέλουμε να ελέγξουμε την κυκλοφορία με μεγαλύτερη λεπτομέρεια, μπορούμε να κάνουμε το TShark να το ρίξει σε ένα αρχείο που μπορούμε να το ελέγξουμε αργότερα. Χρησιμοποιήστε αυτήν την εντολή αντί για να απορρίψετε την κυκλοφορία σε ένα αρχείο:
tshark -i # -w όνομα αρχείου
Το TShark δεν θα σας δείξει τα πακέτα καθώς συλλαμβάνονται, αλλά θα τα μετρήσει καθώς τα συλλαμβάνει. Μπορείτε να χρησιμοποιήσετε το Αρχείο -> Ανοιξε επιλογή στο Wireshark για να ανοίξετε το αρχείο καταγραφής αργότερα.
Για περισσότερες πληροφορίες σχετικά με τις επιλογές γραμμής εντολών του TShark, ρίξτε μια ματιά η σελίδα του εγχειριδίου .
Δημιουργία κανόνων ACL τείχους προστασίας
Εάν είστε διαχειριστής δικτύου που είναι υπεύθυνος για ένα τείχος προστασίας και χρησιμοποιείτε το Wireshark για να στριφογυρίσετε, ίσως θελήσετε να λάβετε μέτρα βάσει της επισκεψιμότητας που βλέπετε - ίσως για να αποκλείσετε κάποια ύποπτη κίνηση. Το Wireshark's Κανόνες τείχους προστασίας ACL Το εργαλείο δημιουργεί τις εντολές που θα χρειαστείτε για να δημιουργήσετε κανόνες τείχους προστασίας στο τείχος προστασίας.
Αρχικά, επιλέξτε ένα πακέτο στο οποίο θέλετε να δημιουργήσετε έναν κανόνα τείχους προστασίας με βάση το κάνοντας κλικ σε αυτό. Μετά από αυτό, κάντε κλικ στο Εργαλεία μενού και επιλέξτε Κανόνες τείχους προστασίας ACL .
Χρησιμοποιήστε το Προϊόν μενού για να επιλέξετε τον τύπο τείχους προστασίας. Το Wireshark υποστηρίζει το Cisco IOS, διαφορετικούς τύπους τείχους προστασίας Linux, συμπεριλαμβανομένων των iptables και του τείχους προστασίας των Windows.
Μπορείτε να χρησιμοποιήσετε το Φίλτρο πλαίσιο για να δημιουργήσετε έναν κανόνα που βασίζεται είτε στη διεύθυνση MAC του συστήματος, στη διεύθυνση IP, στη θύρα είτε στη διεύθυνση IP και στη θύρα. Ενδέχεται να δείτε λιγότερες επιλογές φίλτρου, ανάλογα με το προϊόν τείχους προστασίας.
Από προεπιλογή, το εργαλείο δημιουργεί έναν κανόνα που αρνείται την εισερχόμενη κίνηση. Μπορείτε να τροποποιήσετε τη συμπεριφορά του κανόνα καταργώντας την επιλογή του Εισερχόμενος ή Αρνούμαι πλαίσια ελέγχου. Αφού δημιουργήσετε έναν κανόνα, χρησιμοποιήστε το αντίγραφο για να το αντιγράψετε και, στη συνέχεια, εκτελέστε το στο τείχος προστασίας για να εφαρμόσετε τον κανόνα.
Θέλετε να γράψουμε κάτι συγκεκριμένο για το Wireshark στο μέλλον; Ενημερώστε μας στα σχόλια εάν έχετε οποιεσδήποτε αιτήσεις ή ιδέες.
