Hogyan lehet azonosítani a hálózati visszaéléseket a Wireshark használatával

A Wireshark a hálózati elemző eszközök svájci hadserege. Független forgalmat keres a hálózaton, vagy csak azt szeretné látni, hogy milyen webhelyek vannak elérve egy adott IP-címet, a Wireshark az Ön számára tud dolgozni.

Korábban bemutattuk a Wiresharkot. és ez a hozzászólás a korábbi bejegyzéseinkre épül. Ne feledje, hogy a hálózaton olyan helyen kell rögzítenie, ahol elég hálózati forgalmat lát. Ha a helyi munkaállomáson rögzít, akkor valószínűleg nem látja a hálózat forgalmának nagy részét. A Wireshark távoli helyről készíthet felvételeket - nézze meg Wireshark trükköket a további információkért.

A Peer-to-Peer forgalom azonosítása

A Wireshark protokoll oszlopában az egyes csomagok protokolltípusa látható. Ha egy Wireshark felvételt nézel, akkor láthatod, hogy BitTorrent vagy más, egymás közötti forgalom van benne.

Láthatjuk, hogy a hálózaton mely protokollokat használják Protokoll-hierarchia eszköz alatt található Statisztika menü.

Ez az ablak a hálózathasználat protokoll szerinti bontását mutatja. Innen láthatjuk, hogy a hálózatban lévő csomagok közel 5 százaléka a BitTorrent csomag. Ez nem hangzik nagyon, de a BitTorrent UDP csomagokat is használ. Az UDP adatcsomagoknak minősített csomagok közel 25 százaléka itt is BitTorrent forgalom.

Csak a BitTorrent csomagokat tekinthetjük meg a jobb egérgombbal a protokollra, és szűrőként alkalmazhatjuk. Ugyanezt tehetjük más típusú peer-to-peer forgalomban is, mint például a Gnutella, az eDonkey vagy a Soulseek.

A szűrő alkalmazása lehetőséggel alkalmazza a szűrőt.bittorrent.„Átugorhatja a jobb egérgombbal ellátott menüt, és megtekintheti a protokoll forgalmát, ha a nevét közvetlenül a Szűrő mezőbe írja be.

A szűrt forgalomból láthatjuk, hogy a 192.168.1.64 helyi IP-címe BitTorrent-t használ.

Az összes IP-cím megtekintéséhez a BitTorrent segítségével választhatunk végpontok ban,-ben Statisztika menü.

Kattintson a gombra IPv4 fül és engedélyezze a „Korlátozza a szűrő megjelenítésétJelölőnégyzet. Mind a távoli, mind a helyi IP-címeket látja a BitTorrent forgalomhoz. A helyi IP-címeknek a lista tetején kell megjelennie.

Ha szeretné látni a Wireshark különböző protokolljait, és azok szűrőneveit, válassza a lehetőséget Engedélyezett protokollok alatt elemez menü.

Az Enabled Protocols (Engedélyezett protokollok) ablakban elkezdheti írni a protokollt.

A honlaphoz való hozzáférés ellenőrzése

Most, hogy tudjuk, hogyan tudjuk a forgalmat leállítani a protokollon, írhatunk be „httpA szűrődobozba csak HTTP-forgalmat láthat. A „Hálózati névfeloldás engedélyezése” opció bejelölésével meg fogjuk jeleníteni a hálózaton elérhető webhelyek nevét.

Ismét használhatjuk a végpontok opció a Statisztika menü.

Kattintson a gombra IPv4 fül és engedélyezze a „Korlátozza a szűrő megjelenítésétJelölőnégyzet újra. Biztosítani kell azt is, hogy a „NévfeloldásA jelölőnégyzet be van kapcsolva, vagy csak az IP-címeket látja.

Innen láthatjuk, hogy a weboldalak hozzáférnek. A hirdetési hálózatok és a harmadik felek webhelyei, amelyek más webhelyeken használt szkriptek is megjelennek, szintén megjelenik a listában.

Ha azt szeretnénk, hogy egy IP-címmel ezt megszakítsuk, hogy lássuk, milyen egyetlen IP-cím böngészik, ezt is megtehetjük. Használja a kombinált szűrőt http és ip.addr == [IP-cím] egy adott IP-címhez tartozó HTTP-forgalom megtekintéséhez.

Nyissa meg ismét a Végpontok párbeszédablakot, és megjelenik egy lista az adott IP-cím által elérhető webhelyekről.

Ez mindössze karcolódik a Wireshark-al megteendő felület felületéről. Sokkal több fejlett szűrőt hozhat létre, vagy akár a Tűzfal ACL szabályai eszközt is használhatja a Wireshark trükkjeinkből, hogy könnyen blokkolhassa az itt található forgalom típusait.