Wireshark là con dao phân tích mạng của Quân đội Thụy Sĩ. Cho dù bạn đang tìm kiếm lưu lượng truy cập ngang hàng trên mạng của mình hay chỉ muốn xem những trang web nào mà một địa chỉ IP cụ thể đang truy cập, Wireshark đều có thể làm việc cho bạn.
Trước đây chúng tôi đã đưa ra một giới thiệu về Wireshark . và bài đăng này được xây dựng dựa trên các bài viết trước của chúng tôi. Hãy nhớ rằng bạn phải chụp tại một vị trí trên mạng mà bạn có thể thấy đủ lưu lượng mạng. Nếu bạn chụp trên máy trạm cục bộ của mình, bạn có thể không thấy phần lớn lưu lượng truy cập trên mạng. Wireshark có thể chụp từ một vị trí từ xa - hãy xem Bài đăng thủ thuật Wireshark để biết thêm thông tin về điều đó.
Xác định lưu lượng truy cập ngang hàng
Cột giao thức Wireshark hiển thị loại giao thức của mỗi gói. Nếu đang xem ảnh chụp Wireshark, bạn có thể thấy BitTorrent hoặc lưu lượng truy cập ngang hàng khác ẩn nấp trong đó.
Bạn chỉ có thể xem những giao thức nào đang được sử dụng trên mạng của mình từ Hệ thống phân cấp giao thức công cụ, nằm dưới Số liệu thống kê thực đơn.
Cửa sổ này hiển thị bảng phân tích việc sử dụng mạng theo giao thức. Từ đây, chúng ta có thể thấy rằng gần 5 phần trăm gói trên mạng là gói BitTorrent. Nghe có vẻ không nhiều, nhưng BitTorrent cũng sử dụng các gói UDP. Gần 25% các gói được phân loại là gói Dữ liệu UDP cũng là lưu lượng BitTorrent ở đây.
Chúng tôi chỉ có thể xem các gói BitTorrent bằng cách nhấp chuột phải vào giao thức và áp dụng nó làm bộ lọc. Bạn có thể thực hiện tương tự đối với các loại lưu lượng truy cập ngang hàng khác có thể có, chẳng hạn như Gnutella, eDonkey hoặc Soulseek.
Sử dụng tùy chọn Áp dụng bộ lọc sẽ áp dụng bộ lọc “ bittorrent. ”Bạn có thể bỏ qua menu nhấp chuột phải và xem lưu lượng truy cập của giao thức bằng cách nhập trực tiếp tên của nó vào hộp Bộ lọc.
Từ lưu lượng đã lọc, chúng ta có thể thấy rằng địa chỉ IP cục bộ của 192.168.1.64 đang sử dụng BitTorrent.
Để xem tất cả các địa chỉ IP bằng BitTorrent, chúng ta có thể chọn Điểm cuối bên trong Số liệu thống kê thực đơn.
Nhấp vào IPv4 và bật “ Giới hạn đối với bộ lọc hiển thị ”. Bạn sẽ thấy cả địa chỉ IP từ xa và cục bộ được liên kết với lưu lượng BitTorrent. Địa chỉ IP cục bộ sẽ xuất hiện ở đầu danh sách.
Nếu bạn muốn xem các loại giao thức khác nhau mà Wireshark hỗ trợ và tên bộ lọc của chúng, hãy chọn Các giao thức được kích hoạt Bên dưới Phân tích thực đơn.
Bạn có thể bắt đầu nhập giao thức để tìm kiếm nó trong cửa sổ Giao thức đã bật.
Giám sát truy cập trang web
Bây giờ chúng tôi biết cách chia nhỏ lưu lượng truy cập theo giao thức, chúng tôi có thể nhập “ http ”Vào hộp Bộ lọc để chỉ xem lưu lượng HTTP. Với tùy chọn "Bật độ phân giải tên mạng" được chọn, chúng tôi sẽ thấy tên của các trang web đang được truy cập trên mạng.
Một lần nữa, chúng ta có thể sử dụng Điểm cuối tùy chọn trong Số liệu thống kê thực đơn.
Nhấp vào IPv4 và bật “ Giới hạn đối với bộ lọc hiển thị ”Vào hộp kiểm một lần nữa. Bạn cũng nên đảm bảo rằng “ Độ phân giải tên Hộp kiểm ”được bật hoặc bạn sẽ chỉ thấy địa chỉ IP.
Từ đây, chúng ta có thể thấy các trang web đang được truy cập. Mạng quảng cáo và trang web của bên thứ ba lưu trữ các tập lệnh được sử dụng trên các trang web khác cũng sẽ xuất hiện trong danh sách.
Nếu chúng tôi muốn chia nhỏ điều này theo một địa chỉ IP cụ thể để xem những gì một địa chỉ IP duy nhất đang duyệt, chúng tôi cũng có thể làm điều đó. Sử dụng bộ lọc kết hợp http và ip.addr == [IP address] để xem lưu lượng truy cập HTTP được liên kết với một địa chỉ IP cụ thể.
Mở lại hộp thoại Điểm cuối và bạn sẽ thấy danh sách các trang web đang được truy cập bằng địa chỉ IP cụ thể đó.
Tất cả chỉ là sơ suất về những gì bạn có thể làm với Wireshark. Bạn có thể tạo các bộ lọc nâng cao hơn nhiều hoặc thậm chí sử dụng công cụ Quy tắc ACL tường lửa từ Bài đăng thủ thuật Wireshark để dễ dàng chặn các loại lưu lượng truy cập mà bạn sẽ tìm thấy ở đây.
