Wireshark ir diezgan maz triku ar savu piedurkņu, no fiksējot attālo satiksmi, lai izveidotu ugunsmūra noteikumus, pamatojoties uz notvertajiem paketēm. Lasiet tālāk daži padziļinātākiem padomiem, ja vēlaties izmantot Wireshark kā profesionālu.
Mēs jau esam apskatījuši Wireshark pamatlietošanu, tāpēc noteikti izlasiet mūsu oriģinālo rakstu, lai iepazītu šo spēcīgo tīkla analīzes rīku.
Kaut arī fiksējot paketes, jūs varētu būt annoyed ka Wireshark tikai parāda IP adreses. IP adreses varat pārvērst domēna nosaukumos pats, bet tas nav pārāk ērti.
Wireshark var automātiski atrisināt šo IP adresi domēna nosaukumiem, lai gan šī funkcija pēc noklusējuma nav iespējota. Ieslēdzot šo opciju, jūs, kad vien iespējams, redzēsit domēna vārdus, nevis IP adreses. Neveiksme ir tāda, ka Wireshark būs jāmeklē katrs domēna nosaukums, piesārņojot uzņemto datplūsmu ar papildu DNS pieprasījumiem.
Varat iespējot šo iestatījumu, atverot preferenču logu no Rediģēt -> Preferences, noklikšķinot uz Nosaukuma izšķirtspēja paneļa un noklikšķinot uz "Iespējot tīkla nosaukumu izšķirtspēju"Rūtiņu.
Varat izveidot īpašu saīsni, izmantojot Wirshark komandrindas argumentus, ja vēlaties nekavējoties sākt notverēt paketes. Jums būs jāzina tā tīkla interfeisa numurs, kuru vēlaties izmantot, pamatojoties uz pasūtījumu, kurā Wireshark parādīs saskarnes.
Izveidojiet Wireshark īsceļa kopiju, ar peles labo pogu noklikšķiniet uz tās, dodieties uz tās rekvizītu logu un mainiet komandrindas argumentus. Pievienot -i # -k līdz saīsnes beigām, aizstājot # ar interfeisa numuru, kuru vēlaties izmantot. Opcija -i norāda interfeisu, bet opcija -k paziņo Wireshark, lai nekavējoties sāktu uzņemt.
Ja jūs izmantojat Linux vai citu operētājsistēmu, kas nav Windows, vienkārši izveidojiet saīsni ar šādu komandu vai palaidiet to no termināļa, lai sāktu tūlītēju uzņemšanu:
wireshark -i # -k
Lai iegūtu vairāk komandrindas saīsnes, skatiet Wireshark rokasgrāmatas lapu.
Wireshark pēc noklusējuma notver satiksmi no jūsu sistēmas vietējām saskarnēm, taču tas ne vienmēr ir vieta, no kuras vēlaties uzņemt. Piemēram, iespējams, vēlēsities uzņemt datplūsmu no maršrutētāja, servera vai cita datora citā tīkla vietā. Šeit ir iekļauta Wireshark tālvadības uztveršanas funkcija. Šobrīd šī funkcija ir pieejama tikai operētājsistēmās Windows - Wireshark oficiālajās dokumentācijās ieteikts Linux lietotājiem izmantot SSH tuneļu.
Pirmkārt, jums būs jāinstalē WinPcap attālajā sistēmā. WinPcap nāk ar Wireshark, tādēļ jums nav nepieciešams instalēt WinPCap, ja jums jau ir instalēta Wireshark tālvadības sistēmā.
Pēc tam, kad tas ir notnalled, atveriet pakalpojumu logu attālajā datorā - noklikšķiniet uz Sākt, ierakstiet services.msc meklēšanas lodziņā izvēlnē Sākt un nospiediet taustiņu Enter. Atrodiet Attālā pakešaptveršanas protokols pakalpojumu sarakstā un sāciet to. Pēc noklusējuma šis pakalpojums ir atspējots.
Noklikšķiniet uz Uzņemšanas opcijas saiti Wireshark, pēc tam izvēlieties Tālvadība no interfeisa lodziņa.
Ievadiet attālās sistēmas adresi un 2002 kā osta. Lai izveidotu savienojumu, tālvadības sistēmai ir jābūt piekļuvei porta 2002, tādēļ jums var būt nepieciešams atvērt šo portu ugunsmūrī.
Pēc pieslēgšanas nolaižamajā lodziņā Interface varat izvēlēties interfeisu attālajā sistēmā. Klikšķis Sākt pēc interfeisa izvēles tālvadības uzņemšanai.
Ja jūsu sistēmā nav grafiskā saskarnes, varat izmantot Wireshark no termināļa ar TShark komandu.
Pirmkārt, izsniedziet tshark-D komandu Šī komanda sniegs jūsu tīkla saskarnes numurus.
Kad esat, palaidiet tshark-i # komanda, aizstājot # ar saskarnes numuru, kuru vēlaties uzņemt.
TShark darbojas kā Wireshark, drukājot tajā esošo datplūsmu uz termināli. Izmantojiet Ctrl-C kad vēlaties pārtraukt uzņemšanu.
Paketes nosūtīšana uz terminālu nav visnoderīgākā rīcība. Ja mēs vēlamies detalizētāk pārbaudīt datplūsmu, TShark varēs to izmest uz failu, kuru mēs varam pārbaudīt vēlāk. Lai noņemtu datplūsmu uz failu, izmantojiet šo komandu:
tshark -i # -w filename
TShark neparādīs jums paketes, jo tās tiek uzņemtas, bet tās tiks uzskaitītas, jo tās tos uzņem. Jūs varat izmantot Fails -> Atvērt Wireshark opcijā, lai vēlāk atvērtu uzņemšanas failu.
Lai iegūtu papildinformāciju par TShark komandrindas opcijām, izlasiet tās rokasgrāmatas lapu.
Ja esat tīkla administrators, kas atbild par ugunsmūri, un jūs izmantojat Wireshark, lai piesaistītu apkārt, iespējams, vēlēsities rīkoties, ņemot vērā redzamo datplūsmu - iespējams, lai bloķētu kādu aizdomīgu datplūsmu. Wireshark's Firewall ACL noteikumi rīks ģenerē komandas, kas jums būs nepieciešams, lai izveidotu firewall noteikumus jūsu ugunsmūri.
Pirmkārt, izvēlieties paketi, kuram vēlaties izveidot ugunsmūra noteikumu, pamatojoties uz to, noklikšķinot uz tā. Pēc tam noklikšķiniet uz Rīki izvēlieties un izvēlieties Firewall ACL noteikumi.
Izmantojiet Produkts izvēlieties ugunsmūra veidu. Wireshark atbalsta Cisco IOS, dažāda veida Linux ugunsmūrus, tostarp iptables, un Windows ugunsmūri.
Jūs varat izmantot Filtrēt lai izveidotu noteikumu, kas balstīts uz sistēmas MAC adresi, IP adresi, portu vai gan IP adresi, gan portu. Atkarībā no ugunsmūra produkta jūs varat redzēt mazāk filtra opciju.
Pēc noklusējuma rīks izveido noteikumu, kas noraida ienākošo informāciju. Varat mainīt noteikuma darbību, noņemot atzīmi no Ienākošais vai Liegties izvēles rūtiņas.Kad esat izveidojis noteikumu, izmantojiet Kopēt pogu, lai to kopētu, un palaidiet to ugunsmūrī, lai piemērotu šo noteikumu.
Vai jūs vēlaties, lai mēs nākotnē rakstītu kaut ko konkrētu par Wireshark? Informējiet mūs komentāros, ja jums ir kādi pieprasījumi vai idejas.