5 Gyilkos trükkök a Wiresharkból
A Wiresharknak meglehetősen sok trükkje van a hüvelyében, a távoli forgalomtól a tűzfalra vonatkozó szabályok elfogadásáig. Olvasson tovább néhány fejlettebb tippre, ha Wiresharkot szeretne használni, mint profi.
Már lefedtük a Wireshark alaphasználatát, ezért győződjön meg róla, hogy olvassa el az eredeti cikkünket, hogy bemutassa ezt a nagy teljesítményű hálózati elemző eszközt.
Hálózati névfeloldás
A csomagok rögzítése közben lehet, hogy bosszantja, hogy a Wireshark csak IP-címeket jelenít meg. Az IP-címek domainnevekké is átalakíthatók, de ez nem túl kényelmes.
A Wireshark automatikusan megszünteti ezeket az IP-címeket a tartománynevek számára, bár ez a funkció alapértelmezés szerint nem engedélyezett. Ha engedélyezi ezt az opciót, lehetőség szerint IP-címek helyett domainneveket fog látni. A hátránya, hogy a Wiresharknak minden domain nevet fel kell keresnie, és további DNS-kérésekkel szennyezi a rögzített forgalmat.
Engedélyezheti ezt a beállítást a beállítások ablak megnyitásával szerkesztése -> preferenciák, a gombra kattintva Névfeloldás és a „Hálózati névfeloldás engedélyezéseJelölőnégyzet.
Indítsa el automatikusan a rögzítést
A Wirshark parancssori argumentumai segítségével speciális parancsikonot hozhat létre, ha a csomagokat késedelem nélkül el akarja indítani. Meg kell ismernie a használni kívánt hálózati csatoló számát, a Wireshark utasításainak megfelelően.
Hozzon létre egy másolatot a Wireshark parancsikonjáról, kattintson rá jobb gombbal, menjen a Tulajdonságok ablakba, és változtassa meg a parancssori argumentumokat. hozzáad -i # -k a parancsikon végéig # a használni kívánt interfész számával. A -i opció megadja a felületet, míg a -k opció azt mondja a Wiresharknak, hogy azonnal elkezdi rögzíteni.
Ha Linuxot vagy más nem Windows operációs rendszert használ, csak hozzon létre egy parancsikont a következő paranccsal, vagy futtassa azt egy terminálról, hogy azonnal elkezdhesse a rögzítést:
wireshark -i # -k
További parancssoros parancsikonokhoz nézd meg a Wireshark kézikönyvoldalát.
A távoli számítógépek forgalmának rögzítése
A Wireshark alapértelmezés szerint rögzíti a forgalmat a rendszer helyi interfészeiből, de ez nem mindig az a hely, ahonnan rögzíteni kíván. Előfordulhat például, hogy forgalmat szeretne rögzíteni egy útválasztótól, kiszolgálótól vagy egy másik számítógéptől a másik helyen. Itt jön be a Wireshark távfelvétel funkciója. Ez a funkció jelenleg csak a Windows rendszeren érhető el - a Wireshark hivatalos dokumentációja azt javasolja, hogy a Linux felhasználók SSH-alagútot használjanak.
Először telepítenie kell a WinPcap-ot a távoli rendszerre. A WinPcaphez tartozik a Wireshark, így nem kell telepítenie a WinPCap-ot, ha már telepítve van a Wireshark a távoli rendszeren.
Miután nem lett behelyezve, nyissa meg a távoli számítógépen a Szolgáltatások ablakot - kattintson a Start gombra, írja be a parancsot services.msc a Start menü keresőmezőjébe, és nyomja meg az Enter billentyűt. Keresse meg a Távoli csomagcsomag-rögzítési protokoll szolgáltatást a listában, és indítsa el. Ez a szolgáltatás alapértelmezés szerint le van tiltva.
Kattints a Felvétel opciós hivatkozás a Wiresharkban, majd válassza a lehetőséget Távoli az Interfész dobozból.
Adja meg a távoli rendszer címét és 2002 mint port. A csatlakozáshoz hozzáférnie kell a távoli rendszer 2002-es portjához, így előfordulhat, hogy ezt a portot egy tűzfalon kell megnyitnia.
A csatlakoztatás után az Interface legördülő listából kiválaszthat egy interfészt a távoli rendszeren. Kattints Rajt az interfész kiválasztása után a távfelvétel indításához.
Wireshark egy terminálban (TShark)
Ha nincs grafikus kezelőfelülete a rendszeren, akkor a Wiresharkot a terminálról használhatja a TShark paranccsal.
Először adja meg a tshark -D parancs. Ez a parancs megadja a hálózati interfészek számát.
Ha már van, futtassa a tshark -i # parancsot, a # helyére a felvehető felület számát.
A TShark úgy működik, mint a Wireshark, és kinyomtatja a forgalmat, amelyet a terminálhoz rögzít. Használat Ctrl-C ha meg akarja állítani a rögzítést.
A csomagok nyomtatása a terminálra nem a leghasznosabb viselkedés. Ha részletesebben szeretnénk megvizsgálni a forgalmat, akkor a TSharkot egy olyan fájlba helyezhetjük le, amelyet később ellenőrizhetünk. A parancs használatával helyettesítheti a forgalmat egy fájlba:
tshark -i # -w fájlnév
A TShark nem fogja megjeleníteni azokat a csomagokat, amilyeneket rögzítenek, de számolni fogja őket, amikor azokat rögzíti. Használhatja a fájl -> Nyisd ki lehetőséget a Wiresharkban, hogy később nyissa meg a rögzítési fájlt.
A TShark parancssori beállításairól további információkat talál a kézi oldalon.
Tűzfal ACL szabályok létrehozása
Ha egy hálózati rendszergazda, aki a tűzfalért felelős, és Wireshark-ot használ, hogy elgondolkodhasson, érdemes lehet fellépni a látott forgalom alapján - talán a gyanús forgalom blokkolásához. Wireshark a Tűzfal ACL szabályok az eszköz generálja azokat a parancsokat, amelyekre tűzfalszabályokat kell létrehoznia a tűzfalon.
Először jelölje ki azt a csomagot, amelyre tűzfalszabályt szeretne létrehozni. Ezután kattintson a Eszközök menüt, és válassza a lehetőséget Tűzfal ACL szabályok.
Használja a Termék a tűzfal típusának kiválasztásához. A Wireshark támogatja a Cisco IOS-t, a Linux különböző tűzfalait, beleértve az iptables-t és a Windows tűzfalát.
Használhatja a Szűrő mező, hogy létrehozzon egy szabályt a rendszer MAC-címe, IP-címe, portja vagy az IP-cím és a port alapján. A tűzfal termékétől függően kevesebb szűrőopciót láthat.
Alapértelmezés szerint az eszköz létrehoz egy szabályt, amely megtagadja a bejövő forgalmat. Módosíthatja a szabály viselkedését a jelölőnégyzet bejelölésével Bejövő vagy Tagadni jelölőnégyzeteket. Miután létrehozta a szabályt, használja a Másolat gomb a másoláshoz, majd futtassa azt a tűzfalon a szabály alkalmazásához.
Szeretnénk, hogy a jövőben írjunk valamit a Wiresharkról? Tájékoztassa velünk a megjegyzéseket, ha bármilyen kérése vagy ötlete van.