ל- Wireshark לא מעט טריקים בשרוול, החל מלכידת תנועה מרוחקת וכלה ביצירת כללי חומת אש המבוססים על חבילות שנתפסו. המשך לקרוא לקבלת טיפים מתקדמים יותר אם ברצונך להשתמש ב- Wireshark כמו מקצוען.
כבר כיסינו שימוש בסיסי ב- Wireshark , אז הקפד לקרוא את המאמר המקורי שלנו להקדמה לכלי ניתוח רשת זה רב עוצמה.
פתרון שם רשת
בעת לכידת מנות, אתה עלול להיות מוטרד מכך ש- Wireshark מציג רק כתובות IP. אתה יכול להמיר את כתובות ה- IP לשמות דומיין בעצמך, אבל זה לא נוח מדי.
Wireshark יכולה לפתור באופן אוטומטי את כתובת ה- IP הזו לשמות דומיינים, אם כי תכונה זו אינה מופעלת כברירת מחדל. כאשר תפעיל אפשרות זו, תראה שמות דומיינים במקום כתובות IP במידת האפשר. החיסרון הוא ש- Wireshark יצטרך לחפש כל שם תחום, ולזהם את התעבורה שנלכדה בבקשות DNS נוספות.
באפשרותך להפעיל הגדרה זו על ידי פתיחת חלון ההעדפות מ- לַעֲרוֹך -> העדפות , לחיצה על רזולוציית שם לוח ולחיצה על " אפשר רזולוציה של שם רשת תיבת הסימון.
התחל ללכוד באופן אוטומטי
אתה יכול ליצור קיצור דרך מיוחד באמצעות טיעוני שורת הפקודה של Wirshark אם ברצונך להתחיל ללכוד מנות ללא דיחוי. יהיה עליך לדעת את מספר ממשק הרשת שבו ברצונך להשתמש, על פי ההזמנה ש- Wireshark מציג את הממשקים.
צור עותק של קיצור הדרך של Wireshark, לחץ עליו לחיצה ימנית, היכנס לחלון המאפיינים שלו ושנה את טיעוני שורת הפקודה. לְהוֹסִיף -אי # -ק עד סוף קיצור הדרך, החלפה # עם מספר הממשק שבו ברצונך להשתמש. האפשרות -i מציינת את הממשק, ואילו האפשרות -k אומרת ל- Wireshark להתחיל לצלם באופן מיידי.
אם אתה משתמש בלינוקס או במערכת הפעלה אחרת שאינה Windows, פשוט צור קיצור דרך עם הפקודה הבאה, או הפעל אותו ממסוף כדי להתחיל לצלם מיד:
wireshark -i # -k
לקבלת קיצורי דרך נוספים בשורת הפקודה, עיין ב הדף המדריך של Wireshark .
לכידת תנועה ממחשבים מרוחקים
Wireshark לוכד תנועה ממשקים מקומיים של המערכת שלך כברירת מחדל, אך לא תמיד זה המיקום שתרצה לתפוס ממנו. לדוגמה, ייתכן שתרצה לתפוס תעבורה מנתב, שרת או מחשב אחר במיקום אחר ברשת. כאן נכנסת תכונת הלכידה מרחוק של Wireshark. תכונה זו זמינה רק ב- Windows כרגע - התיעוד הרשמי של Wireshark ממליץ למשתמשי לינוקס להשתמש ב מנהרת SSH .
ראשית, יהיה עליך להתקין WinPcap במערכת המרוחקת. WinPcap מגיע עם Wireshark, כך שאינך צריך להתקין את WinPCap אם כבר התקנת Wireshark במערכת המרוחקת.
לאחר התקנתו, פתח את חלון השירותים במחשב המרוחק - לחץ על התחל, הקלד services.msc בתיבת החיפוש בתפריט התחל ולחץ על Enter. אתר את פרוטוקול לכידת מנות מרחוק שירות ברשימה והפעל אותו. שירות זה מושבת כברירת מחדל.
לחץ על אפשרות לכידה קישור ב- Wireshark, ואז בחר מְרוּחָק מתיבת הממשק.
הזן את כתובת המערכת המרוחקת ו 2002 כנמל. אתה חייב להיות בעל גישה ליציאה 2002 במערכת המרוחקת כדי להתחבר, כך שתצטרך לפתוח יציאה זו בחומת אש.
לאחר החיבור, תוכלו לבחור ממשק במערכת המרוחקת מהתיבה הנפתחת ממשק. נְקִישָׁה הַתחָלָה לאחר בחירת הממשק להפעלת הלכידה מרחוק.
Wireshark בטרמינל (TShark)
אם אין לך ממשק גרפי במערכת שלך, אתה יכול להשתמש ב- Wireshark ממסוף עם הפקודה TShark.
ראשית, הוציאו את כריש -ד פקודה. פקודה זו תתן לך את המספרים של ממשקי הרשת שלך.
ברגע שיש לך, הפעל את כריש -אי # פקודה, והחלפת # במספר הממשק עליו ברצונך ללכוד.
TShark מתנהג כמו Wireshark, ומדפיס את התנועה שהיא לוכדת לטרמינל. להשתמש Ctrl-C כשרוצים לעצור את הלכידה.
הדפסת החבילות למסוף אינה ההתנהגות השימושית ביותר. אם אנו רוצים לבדוק את התנועה ביתר פירוט, אנו יכולים ש- TShark יזרוק אותה לקובץ שנוכל לבדוק מאוחר יותר. השתמש במקום זאת בפקודה זו כדי להשליך תנועה לקובץ:
tshark -i # -w שם קובץ
TShark לא יראה לכם את החבילות בזמן שהם נלכדים, אך הוא יספור אותם כשהוא לוכד אותם. אתה יכול להשתמש ב- קוֹבֶץ -> לִפְתוֹחַ אפשרות ב- Wireshark לפתיחת קובץ הלכידה מאוחר יותר.
למידע נוסף על אפשרויות שורת הפקודה של TShark, עיין ב העמוד הידני שלה .
יצירת כללי ACL של חומת האש
אם אתה מנהל רשת שאחראי על חומת אש ואתה משתמש ב- Wireshark כדי להתעסק, ייתכן שתרצה לנקוט פעולה על סמך התנועה שאתה רואה - אולי כדי לחסום תנועה חשודה. Wireshark's כללי ACL של חומת האש הכלי מייצר את הפקודות שתצטרך ליצור כללי חומת אש בחומת האש שלך.
ראשית, בחר חבילה שברצונך ליצור כלל חומת אש על סמך לחיצה עליה. לאחר מכן לחץ על כלים בתפריט ובחר כללי ACL של חומת האש .
להשתמש ב מוצר בתפריט לבחירת סוג חומת האש שלך. Wireshark תומך ב- IOS של סיסקו, סוגים שונים של חומות אש של לינוקס, כולל iptables, וחומת האש של Windows.
אתה יכול להשתמש ב- לְסַנֵן תיבה ליצירת כלל המבוסס על כתובת ה- MAC של המערכת, כתובת ה- IP, היציאה או גם כתובת ה- IP והיציאה. ייתכן שתראה פחות אפשרויות סינון, תלוי במוצר חומת האש שלך.
כברירת מחדל, הכלי יוצר כלל השולל תנועה נכנסת. תוכל לשנות את התנהגות הכלל על ידי ביטול הסימון של נכנס אוֹ לְהַכּחִישׁ תיבות סימון. לאחר שיצרת כלל, השתמש ב- עותק כדי להעתיק אותו, ואז להפעיל אותו על חומת האש שלך כדי להחיל את הכלל.
האם אתה רוצה שנכתוב משהו ספציפי על Wireshark בעתיד? ספר לנו בתגובות אם יש לך בקשות או רעיונות.
