Wireshark is het Zwitserse zakmes van netwerkanalysetools. Of u nu op zoek bent naar peer-to-peer-verkeer op uw netwerk of gewoon wilt zien tot welke websites een specifiek IP-adres toegang heeft, Wireshark kan voor u werken.
We hebben eerder een inleiding tot Wireshark . en dit bericht bouwt voort op onze vorige berichten. Houd er rekening mee dat u moet vastleggen op een locatie op het netwerk waar u voldoende netwerkverkeer kunt zien. Als u een opname maakt op uw lokale werkstation, zult u waarschijnlijk niet het grootste deel van het verkeer op het netwerk zien. Wireshark kan opnames maken vanaf een externe locatie - bekijk onze Wireshark-trucs plaatsen voor meer informatie daarover.
Identificatie van peer-to-peer verkeer
Wireshark-protocolkolom geeft het protocoltype van elk pakket weer. Als je naar een Wireshark-opname kijkt, zie je misschien BitTorrent of ander peer-to-peer-verkeer erin op de loer liggen.
U kunt zien welke protocollen er op uw netwerk worden gebruikt vanaf het Protocolhiërarchie tool, gelegen onder het Statistieken menu.
Dit venster toont een uitsplitsing van het netwerkgebruik per protocol. Vanaf hier kunnen we zien dat bijna 5 procent van de pakketten op het netwerk BitTorrent-pakketten zijn. Dat klinkt niet veel, maar BitTorrent gebruikt ook UDP-pakketten. De bijna 25 procent van de pakketten die zijn geclassificeerd als UDP-datapakketten zijn hier ook BitTorrent-verkeer.
We kunnen alleen de BitTorrent-pakketten bekijken door met de rechtermuisknop op het protocol te klikken en het als een filter toe te passen. U kunt hetzelfde doen voor andere soorten peer-to-peer-verkeer die mogelijk aanwezig zijn, zoals Gnutella, eDonkey of Soulseek.
Als u de optie Filter toepassen gebruikt, wordt het filter " bittorrent. "U kunt het rechtsklikmenu overslaan en het verkeer van een protocol bekijken door de naam rechtstreeks in het filtervak te typen.
Aan het gefilterde verkeer kunnen we zien dat het lokale IP-adres 192.168.1.64 BitTorrent gebruikt.
Om alle IP-adressen te zien met BitTorrent, kunnen we selecteren Eindpunten in de Statistieken menu.
Klik naar het IPv4 tabblad en schakel de “ Beperk het weergeven van filter ”Selectievakje. U ziet zowel de externe als lokale IP-adressen die zijn gekoppeld aan het BitTorrent-verkeer. De lokale IP-adressen zouden bovenaan de lijst moeten verschijnen.
Als u de verschillende typen protocollen die Wireshark ondersteunt en hun filternamen wilt zien, selecteert u Ingeschakelde protocollen onder de Analyseren menu.
U kunt beginnen met het typen van een protocol om ernaar te zoeken in het venster Ingeschakelde protocollen.
Monitoring Website Access
Nu we weten hoe we het verkeer op protocol kunnen opsplitsen, kunnen we ' http ”In het filtervak om alleen HTTP-verkeer te zien. Met de optie "Netwerknaamresolutie inschakelen" aangevinkt, zien we de namen van de websites die op het netwerk worden geopend.
Nogmaals, we kunnen de Eindpunten optie in de Statistieken menu.
Klik naar het IPv4 tabblad en schakel de “ Beperk het weergeven van filter ”Opnieuw aan. U moet er ook voor zorgen dat de " Naam resolutie 'Is ingeschakeld, anders zie je alleen IP-adressen.
Vanaf hier kunnen we de websites zien die worden geopend. Advertentienetwerken en websites van derden die scripts hosten die op andere websites worden gebruikt, verschijnen ook in de lijst.
Als we dit willen opsplitsen op basis van een specifiek IP-adres om te zien wat een enkel IP-adres browst, kunnen we dat ook doen. Gebruik het gecombineerde filter http en ip.addr == [IP address] om HTTP-verkeer te zien dat is gekoppeld aan een specifiek IP-adres.
Open het dialoogvenster Eindpunten opnieuw en je ziet een lijst met websites die via dat specifieke IP-adres worden geopend.
Dit is allemaal slechts een kras aan de oppervlakte van wat je kunt doen met Wireshark. U kunt veel geavanceerdere filters bouwen of zelfs de tool Firewall ACL-regels van onze Wireshark-trucs plaatsen om eenvoudig de soorten verkeer te blokkeren die u hier aantreft.
