Kako prepoznati zlorabo omrežja z Wiresharkom
Wireshark je švicarski vojski nož orodij za analizo omrežja. Ne glede na to, ali iščete peer-to-peer promet v omrežju ali pa želite videti, katere spletne strani ima določen naslov IP, lahko Wireshark deluje za vas.
Prej smo že predstavili Wireshark. in ta post gradi na naših prejšnjih objavah. Upoštevajte, da morate zajeti na mestu v omrežju, kjer lahko vidite dovolj omrežnega prometa. Če naredite zajem na lokalni delovni postaji, verjetno ne boste videli večine prometa v omrežju. Wireshark lahko ujame z oddaljene lokacije - za več informacij o tem si oglejte našo poizvedbo za Wireshark.
Prepoznavanje medsebojnega prometa
Stolpec protokola Wireshark prikazuje vrsto protokola vsakega paketa. Če iščete zajemanje Wireshark, boste morda videli, da se v njem skriva BitTorrent ali drug peer-to-peer promet.
Ogledate si lahko, kateri protokoli se uporabljajo v vašem omrežju Hierarhija protokolov orodje, ki se nahaja pod Statistika meni.
To okno prikazuje razdelitev uporabe omrežja po protokolu. Od tu lahko vidimo, da so skoraj 5 odstotkov paketov v omrežju BitTorrent paketi. To ne zveni veliko, vendar BitTorrent uporablja tudi UDP pakete. Skoraj 25 odstotkov paketov, ki so razvrščeni kot UDP podatkovni paketi, so tudi BitTorrent promet tukaj.
Ogledamo si lahko samo BitTorrent pakete z desnim klikom na protokol in njegovo uporabo kot filter. To lahko storite tudi za druge vrste prometa peer-to-peer, ki so lahko prisotni, kot sta Gnutella, eDonkey ali Soulseek.
Če uporabite možnost Uporabi filter, uporabite filter “bittorrent.»Meni z desnim klikom lahko preskočite in si ogledate promet protokola, tako da njegovo ime vnesete neposredno v polje Filter.
Iz filtriranega prometa lahko vidimo, da lokalni IP naslov 192.168.1.64 uporablja BitTorrent.
Če si želite ogledati vse naslove IP z BitTorrent, lahko izberemo Končne točke v Statistika meni.
Kliknite na IPv4 in omogočite »Omeji na prikaz filtraPotrditveno polje. Videli boste tako oddaljene kot lokalne naslove IP, povezane z BitTorrent prometom. Lokalni naslovi IP naj bodo prikazani na vrhu seznama.
Če želite videti različne vrste protokolov, ki jih podpira Wireshark in njihova imena filtrov, izberite Omogočeni protokoli pod Analizirajte meni.
Lahko začnete vnašati protokol, da ga poiščete v oknu Omogočeni protokoli.
Nadzor dostopa do spletne strani
Zdaj, ko vemo, kako prekiniti promet po protokolu, lahko vtipkamo »http“V polje Filter, da vidite samo HTTP promet. Če je izbrana možnost »Omogoči ločljivost imena omrežja«, bomo videli imena spletnih mest, do katerih dostopate v omrežju.
Še enkrat, lahko uporabimo Končne točke možnost Statistika meni.
Kliknite na IPv4 in omogočite »Omeji na prikaz filtra”Ponovno potrdite polje. Prav tako morate zagotoviti, daLočljivost imena“Potrditveno polje je omogočeno ali pa boste videli samo IP naslove.
Od tu lahko vidimo spletna mesta, do katerih dostopamo. Na seznamu bodo prikazana tudi oglaševalska omrežja in spletna mesta tretjih oseb, ki gostijo skripte, uporabljene na drugih spletnih mestih.
Če želimo to razčleniti z določenim naslovom IP, da vidimo, kako brskamo po enem samem naslovu IP, lahko to tudi storimo. Uporabite kombinirani filter http in ip.addr == [naslov IP] za ogled prometa HTTP, povezanega z določenim naslovom IP.
Ponovno odprite pogovorno okno Končne točke in videli boste seznam spletnih mest, do katerih dostopa določen naslov IP.
To je vse samo praskanje površine, kar lahko storite z Wiresharkom. Lahko zgradite precej bolj napredne filtre ali pa uporabite orodje za požarni zid ACL Rules iz našega naslova Wireshark trikov za preprosto blokiranje vrst prometa, ki jih boste našli tukaj.