A Wiresharknak jó néhány trükk van a hüvelyében, a távoli forgalom elfogadásától kezdve a rögzített csomagokon alapuló tűzfalszabályok létrehozásáig. Olvasson tovább néhány fejlettebb tippért, ha profi módon szeretné használni a Wiresharkot.
Már kitértünk rá a Wireshark alapvető használata , ezért feltétlenül olvassa el eredeti cikkünket ennek a hatékony hálózati elemző eszköznek a bemutatásához.
Hálózatnév-felbontás
Csomagok rögzítése közben bosszankodhat, hogy a Wireshark csak az IP-címeket jeleníti meg. Az IP-címeket maga is átalakíthatja domain névvé, de ez nem túl kényelmes.
A Wireshark automatikusan fel tudja oldani ezeket az IP-címeket domainnevekre, bár ez a szolgáltatás alapértelmezés szerint nincs engedélyezve. Ha engedélyezi ezt az opciót, lehetőség szerint IP-címek helyett domainneveket fog látni. Hátránya, hogy a Wiresharknak meg kell keresnie az egyes tartományneveket, további DNS-kérelmekkel szennyezve a rögzített forgalmat.
Ezt a beállítást úgy engedélyezheti, hogy megnyitja a beállítási ablakot Szerkesztés -> preferenciák gombra kattintva Névfeloldás panelre kattintva Engedélyezze a hálózati névfeloldást ”Jelölőnégyzetet.
Indítsa el az automatikus rögzítést
Létrehozhat egy speciális parancsikont a Wirshark parancssori argumentumaival, ha késedelem nélkül el akarja kezdeni a csomagok rögzítését. Tudnia kell a használni kívánt hálózati interfész számát, annak alapján, hogy a Wireshark megjeleníti-e az interfészeket.
Hozzon létre egy példányt a Wireshark parancsikonjáról, kattintson rá a jobb gombbal, lépjen be a Tulajdonságok ablakába, és változtassa meg a parancssori argumentumokat. Hozzáadás -i # -k a parancsikon végéig, helyettesítve # a használni kívánt felület számával. Az -i opció határozza meg az interfészt, míg a -k opció megmondja a Wiresharknak, hogy azonnal kezdje el a rögzítést.
Ha Linuxot vagy más, nem Windows operációs rendszert használ, egyszerűen hozzon létre egy parancsikont a következő paranccsal, vagy futtassa azt egy terminálról, hogy azonnal megkezdje a rögzítést:
wireshark -i # -k
További parancssori parancsikonokért nézze meg A Wireshark kézikönyv oldala .
Forgalom rögzítése távoli számítógépekről
A Wireshark alapértelmezés szerint rögzíti a forgalmat a rendszer helyi felületeiről, de nem mindig ez az a hely, ahonnan rögzíteni szeretne. Érdemes lehet például forgalmat lefoglalnia egy útválasztóról, szerverről vagy egy másik számítógépről, a hálózat másik helyén. Itt jön be a Wireshark távoli rögzítési funkciója. Ez a szolgáltatás jelenleg csak Windows rendszeren érhető el - a Wireshark hivatalos dokumentációja azt javasolja, hogy a Linux felhasználók SSH alagút .
Először telepítenie kell WinPcap a távoli rendszeren. A WinPcap a Wiresharkhoz tartozik, így nem kell telepítenie a WinPCap alkalmazást, ha a távoli rendszerre már telepítve van a Wireshark.
A telepítés után nyissa meg a Szolgáltatások ablakot a távoli számítógépen - kattintson a Start gombra, írja be szolgáltatások.msc a Start menü keresőmezőjébe, és nyomja meg az Enter billentyűt. Keresse meg a Távoli csomagkapcsolt protokoll szolgáltatást a listában, és indítsa el. Ez a szolgáltatás alapértelmezés szerint le van tiltva.
Kattints a Rögzítési lehetőség s linket a Wiresharkban, majd válassza a lehetőséget Távoli az Interface dobozból.
Írja be a távoli rendszer címét és 2002 mint a kikötő. A csatlakozáshoz hozzáféréssel kell rendelkeznie a távoli rendszer 2002-es portjához, ezért lehet, hogy ezt a portot tűzfalon kell megnyitnia.
Csatlakozás után kiválaszthat egy interfészt a távoli rendszerről az Interface legördülő menüből. Kattintson a gombra Rajt miután kiválasztotta az interfészt a távoli rögzítés elindításához.
Wireshark egy terminálban (TShark)
Ha nincs grafikus interfész a rendszerén, akkor a terminálból származó Wiresharkot használhatja a TShark paranccsal.
Először adja ki a tshark -D parancs. Ez a parancs megadja a hálózati csatolók számát.
Ha megvan, futtassa a tshark -i # parancsot, a # helyébe a rögzíteni kívánt felület számát kell cserélni.
A TShark úgy viselkedik, mint a Wireshark, és kinyomtatja a forgalmat, amelyet elfog a terminál. Használat Ctrl-C amikor le akarja állítani a rögzítést.
A csomagok nyomtatása a terminálra nem a leghasznosabb viselkedés. Ha részletesebben szeretnénk megvizsgálni a forgalmat, akkor a TShark-ot megadhatjuk egy fájlnak, amelyet később ellenőrizhetünk. Használja ezt a parancsot, ha forgalmat szeretne bocsátani egy fájlba:
tshark -i # -w fájlnév
A TShark nem fogja megmutatni a csomagokat, mivel azokat rögzítik, de meg fogja számolni őket, miközben rögzíti őket. Használhatja a File -> Nyisd ki opció a Wireshark alkalmazásban a rögzítési fájl későbbi megnyitásához.
További információ a TShark parancssori opcióiról: annak kézi oldala .
Tűzfal ACL-szabályok létrehozása
Ha a tűzfalért felelős hálózati rendszergazda vagy, és a Wireshark segítségével piszkálod magad, érdemes a látott forgalom alapján intézkedni - esetleg blokkolni a gyanús forgalmat. Wireshark's A tűzfal ACL-szabályai eszköz létrehozza azokat a parancsokat, amelyekre tűzfalszabályok létrehozásához van szükség.
Először válassza ki azt a csomagot, amely alapján tűzfalszabályt szeretne létrehozni, rákattintva. Ezt követően kattintson a gombra Eszközök menüt, és válassza a lehetőséget A tűzfal ACL-szabályai .
Használja a Termék menüben válassza ki a tűzfal típusát. A Wireshark támogatja a Cisco IOS-t, a Linux típusú különféle típusokat, beleértve az iptable-eket, és a Windows tűzfalat.
Használhatja a Szűrő négyzetet, hogy szabályt hozzon létre a rendszer MAC-címe, IP-címe, portja, vagy mind az IP-cím, mind a port alapján. A tűzfal termékétől függően kevesebb szűrési lehetőséget láthat.
Alapértelmezés szerint az eszköz létrehoz egy szabályt, amely tagadja a bejövő forgalmat. A szabály viselkedését módosíthatja a Bejövő vagy Tagadni jelölőnégyzeteket. Miután létrehozott egy szabályt, használja a Másolat gombot a másoláshoz, majd futtassa a tűzfalon a szabály alkalmazásához.
Szeretné, ha a jövőben írnánk valami konkrétat a Wiresharkról? Ha bármilyen kérése vagy ötlete van, ossza meg velünk a megjegyzéseket.
