Wiresharkは、ネットワーク分析ツールのスイスアーミーナイフです。ネットワーク上でピアツーピアトラフィックを探している場合でも、特定のIPアドレスがアクセスしているWebサイトを確認したい場合でも、Wiresharkが役立ちます。
以前に Wiresharkの概要 。この投稿は、以前の投稿に基づいています。十分なネットワークトラフィックを確認できるネットワーク上の場所でキャプチャする必要があることに注意してください。ローカルワークステーションでキャプチャを実行すると、ネットワーク上のトラフィックの大部分が表示されない可能性があります。 Wiresharkは離れた場所からキャプチャを実行できます— Wiresharkのトリックの投稿 詳細については。
ピアツーピアトラフィックの識別
Wiresharkプロトコル列には、各パケットのプロトコルタイプが表示されます。 Wiresharkのキャプチャを見ている場合、BitTorrentまたは他のピアツーピアトラフィックが潜んでいるのが見えるかもしれません。
ネットワークで使用されているプロトコルを確認できます。 プロトコル階層 の下にあるツール 統計学 メニュー。
このウィンドウには、プロトコルごとのネットワーク使用状況の内訳が表示されます。ここから、ネットワーク上のパケットの5%近くがBitTorrentパケットであることがわかります。それほど多くはないように聞こえますが、BitTorrentもUDPパケットを使用しています。 UDPデータパケットとして分類されたパケットの約25%も、ここではBitTorrentトラフィックです。
プロトコルを右クリックしてフィルターとして適用すると、BitTorrentパケットのみを表示できます。 Gnutella、eDonkey、Soulseekなど、存在する可能性のある他のタイプのピアツーピアトラフィックに対しても同じことができます。
[フィルターの適用]オプションを使用すると、フィルターが適用されます。 bittorrent。 」右クリックメニューをスキップして、プロトコルの名前を[フィルタ]ボックスに直接入力することで、プロトコルのトラフィックを表示できます。
フィルタリングされたトラフィックから、192.168.1.64のローカルIPアドレスがBitTorrentを使用していることがわかります。
BitTorrentを使用してすべてのIPアドレスを表示するには、 エンドポイント の中に 統計学 メニュー。
クリックして IPv4 タブをクリックして、「 表示フィルターの制限 」チェックボックス。 BitTorrentトラフィックに関連付けられているリモートIPアドレスとローカルIPアドレスの両方が表示されます。ローカルIPアドレスがリストの一番上に表示されます。
Wiresharkがサポートするさまざまなタイプのプロトコルとそのフィルター名を確認する場合は、[ 有効なプロトコル 下 分析する メニュー。
[有効なプロトコル]ウィンドウで、プロトコルの入力を開始して検索できます。
Webサイトアクセスの監視
プロトコルごとにトラフィックを分類する方法がわかったので、「 http 」を[フィルタ]ボックスに入力して、HTTPトラフィックのみを表示します。と 「ネットワーク名解決を有効にする」オプション チェックすると、ネットワーク上でアクセスされているウェブサイトの名前が表示されます。
もう一度、私たちは使用することができます エンドポイント のオプション 統計学 メニュー。
クリックして IPv4 タブをクリックして、「 表示フィルターの制限 」チェックボックスをもう一度オンにします。また、「 名前解決 」チェックボックスが有効になっていないと、IPアドレスのみが表示されます。
ここから、アクセスされているWebサイトを確認できます。他のウェブサイトで使用されているスクリプトをホストする広告ネットワークやサードパーティのウェブサイトもリストに表示されます。
これを特定のIPアドレスで分類して、単一のIPアドレスが何を参照しているかを確認したい場合は、それも実行できます。組み合わせたフィルターを使用する httpおよびip.addr == [IP address] 特定のIPアドレスに関連付けられたHTTPトラフィックを確認します。
[エンドポイント]ダイアログをもう一度開くと、その特定のIPアドレスによってアクセスされているウェブサイトのリストが表示されます。
これはすべて、Wiresharkでできることのほんの一部にすぎません。より高度なフィルターを作成することも、ファイアウォールACLルールツールを使用することもできます。 Wiresharkのトリックの投稿 ここにある種類のトラフィックを簡単にブロックできます。
