Domača » kako » 5 Killer Tricks, da bi dobili največ iz Wireshark

    5 Killer Tricks, da bi dobili največ iz Wireshark

    Wireshark ima kar nekaj trikov v rokavu, od zajemanja oddaljenega prometa do ustvarjanja pravil požarnega zidu, ki temeljijo na zajetih paketih. Če želite uporabiti Wireshark kot pro, preberite več naprednih nasvetov.

    Smo že pokrili osnovne uporabe Wireshark, zato se prepričajte, da ste prebrali naš izvirni članek za uvod v to zmogljivo orodje za analizo omrežja.

    Resolucija imena omrežja

    Med zajemanjem paketov vas bo morda motilo, da Wireshark prikaže samo IP naslove. Naslove IP lahko pretvorite v domensko ime, vendar to ni preveč priročno.

    Wireshark lahko ta naslov IP samodejno razreši za imena domen, čeprav ta funkcija ni privzeto omogočena. Ko omogočite to možnost, boste videli domenska imena namesto naslova IP, kadar bo to mogoče. Slaba stran je, da bo Wireshark moral poiskati vsako ime domene in onesnažiti zajeti promet z dodatnimi zahtevami DNS.

    To nastavitev lahko omogočite tako, da odprete okno z nastavitvami Uredi -> Nastavitve, s klikom na Ločljivost imena in s klikom na »Omogoči ločljivost imena omrežjaPotrditveno polje.

    Začnite samodejno zajemanje

    Ustvarite lahko posebno bližnjico z uporabo argumentov Wirsharkove ukazne vrstice, če želite začeti zajemati pakete brez odlašanja. Vedeti boste morali številko omrežnega vmesnika, ki ga želite uporabiti, glede na vrstni red, ki ga Wireshark prikaže vmesnike.

    Ustvarite kopijo bližnjice Wireshark, jo kliknite z desno tipko miške, pojdite v njeno okno z lastnostmi in spremenite argumente ukazne vrstice. Dodaj -vem do konca bližnjice in zamenjajte # s številko vmesnika, ki ga želite uporabiti. Možnost -i podaja vmesnik, možnost -k pa Wiresharku pove, da začne takoj ujeti.

    Če uporabljate Linux ali drug operacijski sistem, ki ni Windows, preprosto ustvarite bližnjico z naslednjim ukazom ali pa jo zaženite iz terminala, da začnete takoj zajemati:

    wireshark -i # -k

    Za več bližnjic v ukazni vrstici si oglejte stran priročnika za Wireshark.

    Zajemanje prometa iz oddaljenih računalnikov

    Wireshark privzeto privzame promet iz lokalnih vmesnikov vašega sistema, vendar to ni vedno lokacija, iz katere želite ujeti. Morda boste na primer želeli zajeti promet iz usmerjevalnika, strežnika ali drugega računalnika na drugem mestu v omrežju. Tukaj prihaja Wiresharkova funkcija za zajemanje na daljavo. Ta funkcija je trenutno na voljo samo v operacijskem sistemu Windows - uradna dokumentacija Wiresharka priporoča, da uporabniki Linuxa uporabljajo predor SSH.

    Najprej boste morali namestiti WinPcap na oddaljenem sistemu. WinPcap prihaja z Wiresharkom, zato vam ni treba namestiti programa WinPCap, če že imate nameščen Wireshark v oddaljenem sistemu..

    Ko je zagnan, odprite okno Storitve na oddaljenem računalniku - kliknite Start, vnesite services.msc v iskalno polje v meniju Start in pritisnite Enter. Poiščite Protokol za zajemanje oddaljenih paketov na seznamu in ga zaženite. Ta storitev je privzeto onemogočena.

    Kliknite gumb Možnost zajemanjav Wireshark, nato izberite Oddaljeno iz vmesnika.

    Vnesite naslov oddaljenega sistema in 2002 kot pristanišče. Za povezavo morate imeti dostop do vrat 2002 na oddaljenem sistemu, zato boste morda morali ta vrata odpreti v požarnem zidu.

    Po povezovanju lahko izberete vmesnik na oddaljenem sistemu v spustnem oknu vmesnika. Kliknite Začni po izbiri vmesnika za začetek zajemanja na daljavo.

    Wireshark v terminalu (TShark)

    Če v sistemu nimate grafičnega vmesnika, lahko uporabite Wireshark iz terminala s TShark ukazom.

    Najprej izdajte tshark -D ukaz. Ta ukaz vam prikaže številke omrežnih vmesnikov.

    Ko boste to storili, zaženite tshark -i # ukaz, ki nadomešča # s številko vmesnika, ki ga želite zajeti.

    TShark deluje kot Wireshark, tiska promet, ki ga ujame na terminal. Uporaba Ctrl-C ko želite ustaviti zajemanje.

    Tiskanje paketov v terminal ni najbolj uporabno vedenje. Če želimo podrobneje pregledati promet, lahko TShark to vrne v datoteko, ki jo lahko kasneje pregledamo. Namesto tega uporabite ta ukaz za prenos prometa v datoteko:

    tshark -i # -w ime datoteke

    TShark vam ne bo pokazal paketov, ko bodo zajeti, vendar jih bo preštel, ko jih ujame. Uporabite lahko mapa -> Odprto možnost Wireshark, da pozneje odpre datoteko za zajemanje.

    Za več informacij o možnostih TSharkove ukazne vrstice si oglejte stran priročnika.

    Ustvarjanje pravil ACL za požarni zid

    Če ste skrbnik omrežja, ki je odgovoren za požarni zid in uporabljate Wireshark za kroženje, boste morda želeli ukrepati glede na promet, ki ga vidite - morda za blokiranje sumljivega prometa. Wireshark's Pravila ACL požarnega zidu Orodje generira ukaze, ki jih boste morali v požarnem zidu ustvariti pravila požarnega zidu.

    Najprej izberite paket, na katerem želite ustvariti pravilo požarnega zidu, tako da kliknete nanj. Po tem kliknite Orodja in izberite Pravila ACL požarnega zidu.

    Uporabi Izdelek za izbiro vrste požarnega zidu. Wireshark podpira Cisco IOS, različne vrste požarnih zidov Linuxa, vključno z iptables in požarnim zidom Windows.

    Uporabite lahko Filter polje, da ustvarite pravilo, ki temelji na MAC naslovu sistema, naslovu IP, vratih ali IP naslovu in vratih. Glede na izdelek požarnega zidu lahko vidite manj možnosti filtra.

    Orodje po privzetku ustvari pravilo, ki zavrača vhodni promet. Obnašanje pravila lahko spremenite tako, da počistite potrditveno polje Vhodni ali Zanikati potrditvena polja. Ko ustvarite pravilo, uporabite Kopirati gumb, da ga prekopirate, nato pa ga zaženite v požarnem zidu, da uporabite pravilo.


    Želite, da v prihodnosti kaj pisamo o Wiresharku? Sporočite nam v komentarjih, če imate kakršne koli zahteve ali zamisli.