Wireshark är den schweiziska armékniven av nätverksanalysverktyg. Oavsett om du letar efter peer-to-peer-trafik i ditt nätverk eller bara vill se vilka webbplatser en specifik IP-adress har åtkomst till, kan Wireshark fungera för dig.
Vi har tidigare gett en introduktion till Wireshark . och det här inlägget bygger på våra tidigare inlägg. Tänk på att du måste fånga på en plats i nätverket där du kan se tillräckligt med nätverkstrafik. Om du gör en inspelning på din lokala arbetsstation ser du troligen inte majoriteten av trafiken i nätverket. Wireshark kan ta bilder från en avlägsen plats - kolla in vår Wireshark tricks post för mer information om det.
Identifiera peer-to-peer-trafik
Wireshark-protokollkolumnen visar protokolltypen för varje paket. Om du tittar på en Wireshark-inspelning kanske BitTorrent eller annan peer-to-peer-trafik lurar i den.
Du kan se precis vilka protokoll som används i ditt nätverk från Protokollhierarki verktyget, som ligger under Statistik meny.
I det här fönstret visas en fördelning av nätverksanvändningen per protokoll. Härifrån kan vi se att nästan 5 procent av paketen i nätverket är BitTorrent-paket. Det låter inte så mycket, men BitTorrent använder också UDP-paket. De nästan 25 procent av paketen som klassificeras som UDP-datapaket är också BitTorrent-trafik här.
Vi kan bara se BitTorrent-paketen genom att högerklicka på protokollet och använda det som ett filter. Du kan göra detsamma för andra typer av peer-to-peer-trafik som kan finnas, som Gnutella, eDonkey eller Soulseek.
Med alternativet Apply Filter tillämpar du filtret “ bittorrent. ”Du kan hoppa över högerklickmenyn och se ett protokolls trafik genom att skriva dess namn direkt i filterrutan.
Från den filtrerade trafiken kan vi se att den lokala IP-adressen 192.168.1.64 använder BitTorrent.
För att visa alla IP-adresser med BitTorrent kan vi välja Slutpunkter i Statistik meny.
Klicka över till IPv4 och aktivera ” Begränsa visningsfiltret " kryssruta. Du ser både de avlägsna och lokala IP-adresserna som är kopplade till BitTorrent-trafiken. De lokala IP-adresserna ska visas högst upp i listan.
Om du vill se de olika typerna av protokoll som Wireshark stöder och deras filternamn, välj Aktiverade protokoll under the Analysera meny.
Du kan börja skriva ett protokoll för att söka efter det i fönstret Aktiverade protokoll.
Övervakning av webbplatsåtkomst
Nu när vi vet hur man bryter ner trafiken efter protokoll kan vi skriva ” http ”I rutan Filter för att endast se HTTP-trafik. Med alternativet "Aktivera upplösning av nätverksnamn" kryssad ser vi namnen på de webbplatser som nås i nätverket.
Återigen kan vi använda Slutpunkter alternativet i Statistik meny.
Klicka över till IPv4 och aktivera ” Begränsa visningsfiltret Kryssrutan igen. Du bör också se till att Namnupplösning Kryssrutan är aktiverad eller så ser du bara IP-adresser.
Härifrån kan vi se de webbplatser som nås. Annonsnätverk och tredjepartswebbplatser som är värd för skript som används på andra webbplatser kommer också att visas i listan.
Om vi vill bryta ner detta efter en specifik IP-adress för att se vad en enskild IP-adress surfar kan vi också göra det. Använd det kombinerade filtret http och ip.addr == [IP address] för att se HTTP-trafik associerad med en specifik IP-adress.
Öppna dialogrutan Endpoints igen så visas en lista över webbplatser som den specifika IP-adressen har åtkomst till.
Allt detta bara skrapar ytan på vad du kan göra med Wireshark. Du kan skapa mycket mer avancerade filter eller till och med använda verktyget Firewall ACL Rules från vårt Wireshark tricks post för att enkelt blockera de typer av trafik som du hittar här.
