If-Koubou

Cum de a identifica abuzul de rețea cu Wireshark

Cum de a identifica abuzul de rețea cu Wireshark (Cum să)

Wireshark este cuțitul armatei elvețiene de instrumente de analiză a rețelei. Indiferent că sunteți în căutarea unui trafic peer-to-peer în rețeaua dvs. sau doriți doar să vedeți ce site-uri accesează o adresă IP specifică, Wireshark poate funcționa pentru dvs.

Am oferit anterior o introducere la Wireshark. și acest post se bazează pe postările noastre anterioare. Rețineți că trebuie să capturați dintr-o locație din rețea unde puteți vedea suficient trafic de rețea. Dacă efectuați o captură pe stația dvs. de lucru locală, este posibil să nu vedeți majoritatea traficului din rețea. Wireshark poate face capturi dintr-o locație îndepărtată - verificați postarea trucurilor Wireshark pentru mai multe informații despre asta.

Identificarea traficului peer-to-peer

Coloana protocolului Wireshark afișează tipul de protocol al fiecărui pachet. Dacă vă uitați la o captură Wireshark, este posibil să vedeți BitTorrent sau alt trafic de tip peer-to-peer care se ascunde în el.

Puteți vedea exact ce protocoale sunt utilizate în rețeaua dvs. din Protocol Ierarhia instrument, situat sub Statisticimeniul.

Această fereastră arată o defalcare a utilizării rețelei în funcție de protocol. De aici, putem vedea că aproape 5% din pachetele din rețea sunt pachete BitTorrent. Acest lucru nu pare prea mult, dar BitTorrent folosește de asemenea pachete UDP. Aproape 25% din pachetele clasificate ca pachete de date UDP sunt, de asemenea, trafic BitTorrent aici.

Putem vizualiza numai pachetele BitTorrent făcând clic dreapta pe protocol și aplicând-o ca filtru. Puteți face același lucru și pentru alte tipuri de trafic peer-to-peer care pot fi prezente, cum ar fi Gnutella, eDonkey sau Soulseek.

Folosind opțiunea Aplicare filtru se aplică filtrul "bittorent."Puteți sări peste meniul cu clic dreapta și vizualizați traficul unui protocol introducând numele acestuia direct în caseta Filtru.

Din traficul filtrat putem vedea că adresa IP locală a lui 192.168.1.64 folosește BitTorrent.

Pentru a vedea toate adresele IP folosind BitTorrent, putem selecta Endpoints în Statistici meniul.

Faceți clic pe pictograma IPv4 și permiteți "Limitați la afișarea filtrului" Caseta de bifat. Veți vedea atât adresa IP la distanță cât și cea locală asociată cu traficul BitTorrent. Adresele IP locale ar trebui să apară în partea de sus a listei.

Dacă doriți să vedeți tipurile diferite de suporturi Wireshark protocoale și numele lor de filtrare, selectați Protocoale activate sub A analiza meniul.

Puteți începe să tastați un protocol care să îl caute în fereastra Protocoale activate.

Monitorizarea accesului la site

Acum, că știm cum să rupem traficul în funcție de protocol, putem scrie "http"În caseta Filtru pentru a vedea numai traficul HTTP. Cu ajutorul opțiunii "Activați rezoluția numelui rețelei", vom vedea numele site-urilor accesate în rețea.

Încă o dată, putem folosi Endpoints opțiune în Statistici meniul.

Faceți clic pe pictograma IPv4 și permiteți "Limitați la afișarea filtrului"Din nou. De asemenea, trebuie să vă asigurați că "Rezoluția numelui"Este activată sau veți vedea numai adresele IP.

De aici putem vedea site-urile accesate. Rețelele de publicitate și site-urile web ale unor terțe părți care găzduiesc scripturile utilizate pe alte site-uri Web vor apărea, de asemenea, în listă.

Dacă vrem să o rupem de o anumită adresă IP pentru a vedea ce navighează o singură adresă IP, putem face și asta. Utilizați filtrul combinat http și ip.addr == [adresa IP] pentru a vedea traficul HTTP asociat cu o anumită adresă IP.

Deschideți din nou dialogul Endpoints și veți vedea o listă de site-uri Web accesate de acea adresă IP specifică.

Acest lucru este doar zgârierea suprafeței a ceea ce puteți face cu Wireshark. Ați putea construi filtre mult mai avansate sau chiar utilizați instrumentul Reguli ACL din Firewall din postul nostru de trucuri Wireshark pentru a bloca cu ușurință tipurile de trafic pe care le veți găsi aici.