5 Trik Pembunuh untuk Mendapatkan Kebanyakan Wireshark
Wireshark mempunyai beberapa helah sehingga lengannya, daripada menangkap lalu lintas jauh untuk membuat peraturan firewall berdasarkan paket yang ditangkap. Teruskan membaca untuk beberapa petua yang lebih maju jika anda mahu menggunakan Wireshark seperti pro.
Kami telah pun merangkumi penggunaan asas Wireshark, jadi pastikan anda membaca artikel asal kami untuk pengenalan alat analisis rangkaian yang kuat ini.
Resolusi Nama Rangkaian
Semasa menangkap paket, anda mungkin akan marah bahawa Wireshark hanya memaparkan alamat IP. Anda boleh menukar alamat IP kepada nama domain sendiri, tetapi itu tidak terlalu mudah.
Wireshark secara automatik boleh menyelesaikan alamat IP ini ke nama domain, walaupun ciri ini tidak diaktifkan secara lalai. Apabila anda mendayakan pilihan ini, anda akan melihat nama domain dan bukannya alamat IP bila mungkin. Kelemahannya ialah Wireshark perlu mencari setiap nama domain, mencemarkan lalu lintas yang ditangkap dengan permintaan DNS tambahan.
Anda boleh mendayakan tetapan ini dengan membuka tetingkap pilihan Edit -> Keutamaan, mengklik Nama Resolusi panel dan klik "Dayakan Resolusi Nama Rangkaian"Kotak semak.
Mula Menangkap Secara Automatik
Anda boleh membuat jalan pintas khas menggunakan hujah baris perintah Wirshark jika anda mahu memulakan paket pengambilan tanpa berlengah-lengah. Anda perlu mengetahui bilangan antara muka rangkaian yang hendak digunakan, berdasarkan pesanan Wireshark memaparkan antara muka.
Buat salinan pintasan Wireshark, klik kanan, pergi ke tetingkap Properties dan tukar argumen baris perintah. Tambah -i # -k hingga akhir pintasan, menggantikan # dengan bilangan antara muka yang anda mahu gunakan. Pilihan -i menentukan antara muka, manakala pilihan -k memberitahu Wireshark untuk mula menangkap segera.
Sekiranya anda menggunakan Linux atau sistem operasi bukan Windows lain, ciptakan jalan pintas dengan arahan berikut, atau jalankannya dari terminal untuk mula menangkap segera:
wireshark -i # -k
Untuk lebih pintasan baris arahan, lihat halaman manual Wireshark.
Menangkap Trafik Dari Komputer Jauh
Wireshark menangkap lalu lintas dari antara muka sistem sistem anda secara lalai, tetapi ini tidak selalu menjadi lokasi yang anda mahu ambil dari. Sebagai contoh, anda mungkin mahu menangkap lalu lintas dari penghala, pelayan, atau komputer lain di lokasi lain di rangkaian. Di sinilah ciri tangkapan jauh Wireshark masuk. Ciri ini hanya tersedia pada Windows pada masa ini - Dokumentasi rasmi Wireshark mengesyorkan bahawa pengguna Linux menggunakan terowong SSH.
Pertama, anda perlu memasang WinPcap pada sistem jauh. WinPcap datang dengan Wireshark, jadi anda tidak perlu memasang WinPCap jika anda sudah mempunyai Wireshark dipasang pada sistem terpencil.
Setelah ia dibuka, buka tetingkap Perkhidmatan pada komputer jauh - klik Mula, ketik services.msc ke dalam kotak carian dalam menu Mula dan tekan Enter. Cari Protokol Tangkapan Packet Remote perkhidmatan dalam senarai dan mulakannya. Perkhidmatan ini dilumpuhkan secara lalai.
Klik Pilihan Tangkaps di Wireshark, kemudian pilih Jauh dari kotak Antara Muka.
Masukkan alamat sistem jauh dan 2002 sebagai pelabuhan. Anda mesti mempunyai akses ke port 2002 pada sistem jauh untuk menyambung, jadi anda mungkin perlu membuka port ini dalam firewall.
Selepas menyambungkan, anda boleh memilih antara muka pada sistem jauh dari kotak drop-down Interface. Klik Mulakan selepas memilih antara muka untuk memulakan tangkapan jauh.
Wireshark di Terminal (TShark)
Sekiranya anda tidak mempunyai antara muka grafik pada sistem anda, anda boleh menggunakan Wireshark dari terminal dengan arahan TShark.
Pertama, isu tshark -D perintah. Perintah ini akan memberikan nombor antarmuka rangkaian anda.
Sebaik sahaja anda mempunyai, jalankan tshark -i # perintah, menggantikan # dengan bilangan antara muka yang anda mahu tangkap.
TShark bertindak seperti Wireshark, mencetak lalu lintas yang ditangkap ke terminal. Guna Ctrl-C apabila anda mahu menghentikan penangkapan itu.
Percetakan paket ke terminal bukan tingkah laku yang paling berguna. Sekiranya kita ingin memeriksa lalu lintas dengan lebih terperinci, kita boleh mempunyai TShark membuangnya ke fail yang boleh kita periksa nanti. Gunakan arahan ini untuk membuang trafik ke fail:
tshark -i # -w filename
TShark tidak akan menunjukkan kepada anda paket itu kerana mereka ditangkap, tetapi ia akan mengira mereka kerana ia menangkap mereka. Anda boleh menggunakannya Fail -> Buka pilihan dalam Wireshark untuk membuka fail tangkapan kemudian.
Untuk maklumat lanjut mengenai pilihan baris perintah TShark, lihat halaman manualnya.
Membuat Peraturan ACL Firewall
Jika anda seorang pentadbir rangkaian yang bertanggungjawab terhadap firewall dan anda menggunakan Wireshark untuk mencubit, anda mungkin mahu mengambil tindakan berdasarkan lalu lintas yang anda lihat - mungkin untuk menyekat beberapa lalu lintas yang mencurigakan. Wireshark's Peraturan ACL Firewall alat menghasilkan perintah yang anda perlukan untuk membuat peraturan firewall pada firewall anda.
Pertama, pilih satu paket yang anda mahu buat peraturan firewall berdasarkan pada klik padanya. Selepas itu, klik Alat menu dan pilih Peraturan ACL Firewall.
Menggunakan Produk menu untuk memilih jenis firewall anda. Wireshark menyokong Cisco IOS, pelbagai jenis firewall Linux, termasuk iptables, dan firewall Windows.
Anda boleh menggunakannya Penapis kotak untuk membuat peraturan berdasarkan alamat MAC sistem, alamat IP, port, atau kedua-dua alamat IP dan port. Anda mungkin melihat lebih sedikit pilihan penapis, bergantung pada produk firewall anda.
Secara lalai, alat ini membuat peraturan yang menafikan trafik masuk. Anda boleh mengubahsuai tingkah laku peraturan dengan menyahtanda Inbound atau Deny kotak semak. Selepas anda membuat peraturan, gunakan Salinan butang untuk menyalinnya, kemudian jalankan pada firewall anda untuk menerapkan peraturan.
Adakah anda mahu kami menulis sesuatu yang khusus mengenai Wireshark pada masa akan datang? Beri tahu kami dalam ulasan jika anda mempunyai sebarang permintaan atau idea.