Bagaimana Mengenal pasti Penyalahgunaan Rangkaian dengan Wireshark
Wireshark adalah pisau Swiss Army alat analisis rangkaian. Sama ada anda sedang mencari trafik peer-to-peer di rangkaian anda atau hanya mahu melihat laman web apa alamat IP tertentu mengakses, Wireshark boleh bekerja untuk anda.
Kami sebelum ini telah memberikan pengenalan kepada Wireshark. dan jawatan ini dibina pada jawatan kami yang terdahulu. Ingat bahawa anda mesti menangkap di lokasi di rangkaian di mana anda dapat melihat trafik rangkaian yang mencukupi. Jika anda melakukan penangkapan di stesen kerja tempatan anda, anda mungkin tidak melihat majoriti lalu lintas di rangkaian. Wireshark boleh melakukan penangkapan dari lokasi terpencil - periksa helah Wireshark kami untuk maklumat lanjut mengenai itu.
Mengenal pasti Trafik Peer-to-Peer
Lajur protokol Wireshark memaparkan jenis protokol setiap paket. Jika anda melihat penangkapan Wireshark, anda mungkin melihat BitTorrent atau lalu lintas peer-to-peer yang lain bersembunyi di dalamnya.
Anda boleh melihat apa protokol yang digunakan pada rangkaian anda daripada Hierarki Protokol alat, terletak di bawah Statistik menu.
Tetingkap ini menunjukkan pecahan penggunaan rangkaian melalui protokol. Dari sini, kita dapat melihat bahawa hampir 5 peratus daripada paket pada rangkaian adalah paket BitTorrent. Itu tidak terdengar seperti banyak, tetapi BitTorrent juga menggunakan paket UDP. Sekurang-kurangnya 25 peratus daripada paket yang dikelaskan sebagai paket Data UDP juga merupakan trafik BitTorrent di sini.
Kita boleh melihat hanya paket BitTorrent dengan mengklik kanan protokol dan memohonnya sebagai penapis. Anda boleh melakukan perkara yang sama untuk jenis trafik peer-to-peer lain yang mungkin ada, seperti Gnutella, eDonkey, atau Soulseek.
Menggunakan pilihan Penapis Terap menggunakan penapis "bittorrent."Anda boleh melangkau menu klik kanan dan melihat lalu lintas protokol dengan menaip namanya terus ke kotak Penapis.
Dari trafik yang ditapis, kita dapat melihat bahawa alamat IP tempatan 192.168.1.64 menggunakan BitTorrent.
Untuk melihat semua alamat IP menggunakan BitTorrent, kami boleh memilih Titik akhir di dalam Statistik menu.
Klik ke atas IPv4 tab dan membolehkan "Had untuk memaparkan penapis"Kotak semak. Anda akan melihat kedua-dua alamat IP jauh dan tempatan yang berkaitan dengan trafik BitTorrent. Alamat IP tempatan harus muncul di bahagian atas senarai.
Jika anda mahu melihat pelbagai jenis protokol Wireshark menyokong dan nama penapisnya, pilih Protokol Enabled di bawah Menganalisis menu.
Anda boleh mula menaip protokol untuk mencarinya dalam tetingkap Protokol Enabled.
Memantau Akses Laman Web
Sekarang kita tahu bagaimana untuk mematahkan trafik dengan protokol, kita boleh menaip "http"Ke dalam kotak Penapis untuk melihat hanya trafik HTTP. Dengan pilihan "Dayakan resolusi nama rangkaian", kami akan melihat nama-nama laman web yang diakses di rangkaian.
Sekali lagi, kita boleh menggunakannya Titik akhir pilihan dalam Statistik menu.
Klik ke atas IPv4 tab dan membolehkan "Had untuk memaparkan penapis"Tandakan kotak lagi. Anda juga harus memastikan bahawa "Resolusi nama"Kotak semak diaktifkan atau anda hanya akan melihat alamat IP.
Dari sini kita dapat melihat laman web yang sedang diakses. Rangkaian pengiklanan dan tapak web pihak ketiga yang mengehadkan skrip yang digunakan di laman web lain juga akan muncul dalam senarai.
Sekiranya kita ingin memecahkan ini dengan alamat IP tertentu untuk melihat apa alamat IP tunggal melayari, kita juga boleh melakukannya. Gunakan penapis gabungan http dan ip.addr == [Alamat IP] untuk melihat trafik HTTP yang dikaitkan dengan alamat IP tertentu.
Buka dialog Endpoints sekali lagi dan anda akan melihat senarai laman web yang diakses oleh alamat IP tertentu itu.
Ini hanya menggaru permukaan apa yang boleh anda lakukan dengan Wireshark. Anda boleh membina penapis yang lebih maju, atau menggunakan alat Aturan Firewall ACL dari kiriman helah Wireshark kami untuk dengan mudah menghalang jenis lalu lintas yang anda dapati di sini.
