Homepage » hogyan kell » 5 Gyilkos trükkök a Wiresharkból

    5 Gyilkos trükkök a Wiresharkból

    A Wiresharknak meglehetősen sok trükkje van a hüvelyében, a távoli forgalomtól a tűzfalra vonatkozó szabályok elfogadásáig. Olvasson tovább néhány fejlettebb tippre, ha Wiresharkot szeretne használni, mint profi.

    Már lefedtük a Wireshark alaphasználatát, ezért győződjön meg róla, hogy olvassa el az eredeti cikkünket, hogy bemutassa ezt a nagy teljesítményű hálózati elemző eszközt.

    Hálózati névfeloldás

    A csomagok rögzítése közben lehet, hogy bosszantja, hogy a Wireshark csak IP-címeket jelenít meg. Az IP-címek domainnevekké is átalakíthatók, de ez nem túl kényelmes.

    A Wireshark automatikusan megszünteti ezeket az IP-címeket a tartománynevek számára, bár ez a funkció alapértelmezés szerint nem engedélyezett. Ha engedélyezi ezt az opciót, lehetőség szerint IP-címek helyett domainneveket fog látni. A hátránya, hogy a Wiresharknak minden domain nevet fel kell keresnie, és további DNS-kérésekkel szennyezi a rögzített forgalmat.

    Engedélyezheti ezt a beállítást a beállítások ablak megnyitásával szerkesztése -> preferenciák, a gombra kattintva Névfeloldás és a „Hálózati névfeloldás engedélyezéseJelölőnégyzet.

    Indítsa el automatikusan a rögzítést

    A Wirshark parancssori argumentumai segítségével speciális parancsikonot hozhat létre, ha a csomagokat késedelem nélkül el akarja indítani. Meg kell ismernie a használni kívánt hálózati csatoló számát, a Wireshark utasításainak megfelelően.

    Hozzon létre egy másolatot a Wireshark parancsikonjáról, kattintson rá jobb gombbal, menjen a Tulajdonságok ablakba, és változtassa meg a parancssori argumentumokat. hozzáad -i # -k a parancsikon végéig # a használni kívánt interfész számával. A -i opció megadja a felületet, míg a -k opció azt mondja a Wiresharknak, hogy azonnal elkezdi rögzíteni.

    Ha Linuxot vagy más nem Windows operációs rendszert használ, csak hozzon létre egy parancsikont a következő paranccsal, vagy futtassa azt egy terminálról, hogy azonnal elkezdhesse a rögzítést:

    wireshark -i # -k

    További parancssoros parancsikonokhoz nézd meg a Wireshark kézikönyvoldalát.

    A távoli számítógépek forgalmának rögzítése

    A Wireshark alapértelmezés szerint rögzíti a forgalmat a rendszer helyi interfészeiből, de ez nem mindig az a hely, ahonnan rögzíteni kíván. Előfordulhat például, hogy forgalmat szeretne rögzíteni egy útválasztótól, kiszolgálótól vagy egy másik számítógéptől a másik helyen. Itt jön be a Wireshark távfelvétel funkciója. Ez a funkció jelenleg csak a Windows rendszeren érhető el - a Wireshark hivatalos dokumentációja azt javasolja, hogy a Linux felhasználók SSH-alagútot használjanak.

    Először telepítenie kell a WinPcap-ot a távoli rendszerre. A WinPcaphez tartozik a Wireshark, így nem kell telepítenie a WinPCap-ot, ha már telepítve van a Wireshark a távoli rendszeren.

    Miután nem lett behelyezve, nyissa meg a távoli számítógépen a Szolgáltatások ablakot - kattintson a Start gombra, írja be a parancsot services.msc a Start menü keresőmezőjébe, és nyomja meg az Enter billentyűt. Keresse meg a Távoli csomagcsomag-rögzítési protokoll szolgáltatást a listában, és indítsa el. Ez a szolgáltatás alapértelmezés szerint le van tiltva.

    Kattints a Felvétel opciós hivatkozás a Wiresharkban, majd válassza a lehetőséget Távoli az Interfész dobozból.

    Adja meg a távoli rendszer címét és 2002 mint port. A csatlakozáshoz hozzáférnie kell a távoli rendszer 2002-es portjához, így előfordulhat, hogy ezt a portot egy tűzfalon kell megnyitnia.

    A csatlakoztatás után az Interface legördülő listából kiválaszthat egy interfészt a távoli rendszeren. Kattints Rajt az interfész kiválasztása után a távfelvétel indításához.

    Wireshark egy terminálban (TShark)

    Ha nincs grafikus kezelőfelülete a rendszeren, akkor a Wiresharkot a terminálról használhatja a TShark paranccsal.

    Először adja meg a tshark -D parancs. Ez a parancs megadja a hálózati interfészek számát.

    Ha már van, futtassa a tshark -i # parancsot, a # helyére a felvehető felület számát.

    A TShark úgy működik, mint a Wireshark, és kinyomtatja a forgalmat, amelyet a terminálhoz rögzít. Használat Ctrl-C ha meg akarja állítani a rögzítést.

    A csomagok nyomtatása a terminálra nem a leghasznosabb viselkedés. Ha részletesebben szeretnénk megvizsgálni a forgalmat, akkor a TSharkot egy olyan fájlba helyezhetjük le, amelyet később ellenőrizhetünk. A parancs használatával helyettesítheti a forgalmat egy fájlba:

    tshark -i # -w fájlnév

    A TShark nem fogja megjeleníteni azokat a csomagokat, amilyeneket rögzítenek, de számolni fogja őket, amikor azokat rögzíti. Használhatja a fájl -> Nyisd ki lehetőséget a Wiresharkban, hogy később nyissa meg a rögzítési fájlt.

    A TShark parancssori beállításairól további információkat talál a kézi oldalon.

    Tűzfal ACL szabályok létrehozása

    Ha egy hálózati rendszergazda, aki a tűzfalért felelős, és Wireshark-ot használ, hogy elgondolkodhasson, érdemes lehet fellépni a látott forgalom alapján - talán a gyanús forgalom blokkolásához. Wireshark a Tűzfal ACL szabályok az eszköz generálja azokat a parancsokat, amelyekre tűzfalszabályokat kell létrehoznia a tűzfalon.

    Először jelölje ki azt a csomagot, amelyre tűzfalszabályt szeretne létrehozni. Ezután kattintson a Eszközök menüt, és válassza a lehetőséget Tűzfal ACL szabályok.

    Használja a Termék a tűzfal típusának kiválasztásához. A Wireshark támogatja a Cisco IOS-t, a Linux különböző tűzfalait, beleértve az iptables-t és a Windows tűzfalát.

    Használhatja a Szűrő mező, hogy létrehozzon egy szabályt a rendszer MAC-címe, IP-címe, portja vagy az IP-cím és a port alapján. A tűzfal termékétől függően kevesebb szűrőopciót láthat.

    Alapértelmezés szerint az eszköz létrehoz egy szabályt, amely megtagadja a bejövő forgalmat. Módosíthatja a szabály viselkedését a jelölőnégyzet bejelölésével Bejövő vagy Tagadni jelölőnégyzeteket. Miután létrehozta a szabályt, használja a Másolat gomb a másoláshoz, majd futtassa azt a tűzfalon a szabály alkalmazásához.


    Szeretnénk, hogy a jövőben írjunk valamit a Wiresharkról? Tájékoztassa velünk a megjegyzéseket, ha bármilyen kérése vagy ötlete van.