If-Koubou

Kā identificēt tīkla ļaunprātīgu izmantošanu ar Wireshark

Kā identificēt tīkla ļaunprātīgu izmantošanu ar Wireshark (Kā)

Wireshark ir Šveices armijas tīkla analīzes rīku nazis. Vai jūs meklējat peer-to-peer satiksmi savā tīklā vai vienkārši vēlaties redzēt, uz kādām vietnēm piekļūst noteikta IP adrese, Wireshark var jums palīdzēt.

Mēs iepriekš esam iesnieguši ievadu Wireshark. un šī ziņa balstās uz mūsu iepriekšējām ziņām. Ņemiet vērā, ka jums ir jātop uz vietas tīklā, kurā var redzēt pietiekami daudz tīkla trafiku. Ja veicat uzņemšanu savā vietējā darbstacijā, iespējams, ka neredzēsiet lielāko daļu trafika tīklā. Wireshark var veikt uzņemšanu no attālās atrašanās vietas - skatiet mūsu Wireshark triku ziņu, lai uzzinātu vairāk par to.

Konfidencialitātes noteikšana vienādranga satiksmei

Wireshark protokola slejā ir redzams katra paketes tipa protokols. Ja jūs meklējat Wireshark uztveršanu, jūs varētu redzēt BitTorrent vai citu peer-to-peer satiksmes glāstīt tajā.

Jūs varat redzēt, kādi protokoli tiek izmantoti jūsu tīklā no Protokola hierarhija rīks, kas atrodas zem Statistikaizvēlne.

Šajā logā tiek parādīts tīkla izmantošanas sadalījums pēc protokola. No šejienes redzams, ka gandrīz 5 procenti no tīkla paketēm ir BitTorrent paketes. Tas nešķiet daudz, bet BitTorrent izmanto arī UDP paketes. Gandrīz 25 procenti pakešu, kas klasificēti kā UDP datu pakas, arī šeit ir BitTorrent trafiks.

Mēs varam skatīt tikai BitTorrent paketes, ar peles labo pogu noklikšķinot uz protokola un piemērojot to kā filtru. To var izdarīt arī attiecībā uz cita veida peer-to-peer satiksmi, kas var būt klāt, piemēram, Gnutella, eDonkey vai Soulseek.

Izmantojot opciju Piemērot filtru, filtrs "bittorrent."Jūs varat izlaist labo klikšķu izvēlni un skatīt protokola datplūsmu, ierakstot tā nosaukumu tieši lodziņā Filtrs.

No filtrētās datplūsmas mēs redzam, ka 192.168.1.64 vietējā IP adrese izmanto BitTorrent.

Lai apskatītu visas IP adreses, izmantojot BitTorrent, mēs varam izvēlēties Galarezultāti iekš Statistika izvēlne.

Noklikšķiniet uz pogas uz IPv4 cilni un iespējojiet "Ierobežot, lai parādītu filtru"Rūtiņu. Jūs redzēsit gan attālinātās, gan vietējās IP adreses, kas saistītas ar BitTorrent datplūsmu. Vietējās IP adreses jānorāda saraksta augšdaļā.

Ja vēlaties redzēt dažādus protokolu veidus, kurus atbalsta Wireshark, un to filtru nosaukumus, izvēlieties Iespējotie protokoli saskaņā Analizēt izvēlne.

Jūs varat sākt rakstīt protokolu, lai to meklētu logā Iespējotie protokoli.

Tīmekļa vietnes piekļuves uzraudzība

Tagad, kad mēs zinām, kā sadalīt datplūsmu pēc protokola, mēs varam ierakstīt "http"Lodziņā Filtrs, lai redzētu tikai HTTP satiksmi. Ja ir atzīmēta opcija "Ieslēgt tīkla nosaukuma izšķirtspēju", mēs redzēsim to vietņu nosaukumus, kas tiek izmantoti tīklā.

Vēlreiz mēs varam izmantot Galarezultāti iespēja Statistika izvēlne.

Noklikšķiniet uz pogas uz IPv4 cilni un iespējojiet "Ierobežot, lai parādītu filtru"Atzīmējiet izvēles rūtiņu vēlreiz. Jums vajadzētu arī nodrošināt, ka "Nosaukuma izšķirtspēja"Ir iespējota vai jūs redzēsit tikai IP adreses.

No šejienes mēs varam redzēt tīmekļa vietnes, kurām var piekļūt. Sarakstā parādīsies arī reklāmas tīkli un trešo pušu vietnes, kurās tiek mitināti citu tīmekļa vietņu skripti.

Ja mēs vēlamies to sadalīt ar noteiktu IP adresi, lai noskaidrotu, ko pārlūko viena IP adrese, mēs to varam darīt. Izmantojiet kombinēto filtru http un ip.addr == [IP adrese] lai skatītu HTTP datplūsmu, kas saistīta ar noteiktu IP adresi.

Atveriet gala punktu dialoglodziņu vēlreiz, un jūs redzēsit to vietņu sarakstu, kurām ir pieejama konkrētā IP adrese.

Tas viss ir tikai skrāpējot virsmas, ko jūs varat darīt ar Wireshark. Varat veidot daudz vairāk uzlabotu filtru vai pat izmantot Firewall ACL noteikumu rīku no mūsu Wireshark triku ziņojumiem, lai viegli bloķētu šeit redzamos datplūsmas veidus.