Slik identifiserer du nettverksmisbruk med Wireshark

Innholdsfortegnelse:

Slik identifiserer du nettverksmisbruk med Wireshark
Slik identifiserer du nettverksmisbruk med Wireshark

Video: Slik identifiserer du nettverksmisbruk med Wireshark

Video: Slik identifiserer du nettverksmisbruk med Wireshark
Video: Clash-A-Rama: Archer Departure (Season Finale) Clash of Clans - YouTube 2024, Mars
Anonim
Wireshark er den sveitsiske hærkniven av nettverksanalyseværktøy. Enten du leter etter peer-to-peer-trafikk på nettverket ditt eller bare vil se hvilke nettsteder en bestemt IP-adresse har tilgang til, kan Wireshark fungere for deg.
Wireshark er den sveitsiske hærkniven av nettverksanalyseværktøy. Enten du leter etter peer-to-peer-trafikk på nettverket ditt eller bare vil se hvilke nettsteder en bestemt IP-adresse har tilgang til, kan Wireshark fungere for deg.

Vi har tidligere gitt en introduksjon til Wireshark. og dette innlegget bygger på våre tidligere innlegg. Husk at du må fange på et sted på nettverket der du kan se nok nettverkstrafikk. Hvis du gjør en fangst på din lokale arbeidsstasjon, vil du sannsynligvis ikke se størstedelen av trafikken på nettverket. Wireshark kan gjøre fanger fra en ekstern plassering - sjekk ut vårt Wireshark-triksepost for mer informasjon om det.

Identifisere Peer-to-Peer-trafikk

Wiresharks protokollkolonne viser protokolltypen for hver pakke. Hvis du ser på en Wireshark-fangst, kan du se at BitTorrent eller annen peer-to-peer-trafikk lurker i den.

Image
Image

Du kan se akkurat hvilke protokoller som brukes på nettverket ditt fra Protokollhierarki verktøy, plassert under StatistikkMeny.

Dette vinduet viser en sammenbrudd av nettverksbruk etter protokoll. Herfra kan vi se at nesten 5 prosent av pakkene på nettverket er BitTorrent-pakker. Det høres ikke så mye ut, men BitTorrent bruker også UDP-pakker. De nesten 25 prosent av pakkene som er klassifisert som UDP Data pakker, er også BitTorrent-trafikk her.
Dette vinduet viser en sammenbrudd av nettverksbruk etter protokoll. Herfra kan vi se at nesten 5 prosent av pakkene på nettverket er BitTorrent-pakker. Det høres ikke så mye ut, men BitTorrent bruker også UDP-pakker. De nesten 25 prosent av pakkene som er klassifisert som UDP Data pakker, er også BitTorrent-trafikk her.
Vi kan bare vise BitTorrent-pakkene ved å høyreklikke protokollen og bruke den som et filter. Du kan gjøre det samme for andre typer peer-to-peer-trafikk som kan være til stede, for eksempel Gnutella, eDonkey eller Soulseek.
Vi kan bare vise BitTorrent-pakkene ved å høyreklikke protokollen og bruke den som et filter. Du kan gjøre det samme for andre typer peer-to-peer-trafikk som kan være til stede, for eksempel Gnutella, eDonkey eller Soulseek.
Image
Image

Ved hjelp av alternativet Apply Filter brukes filteret "bittorrent."Du kan hoppe over høyreklikkmenyen og se en protokolls trafikk ved å skrive navnet direkte i filterboksen.

Fra den filtrerte trafikken kan vi se at den lokale IP-adressen til 192.168.1.64 bruker BitTorrent.

Image
Image

For å vise alle IP-adressene ved hjelp av BitTorrent, kan vi velge endepunkter i Statistikk Meny.

Image
Image

Klikk over til IPv4 kategorien og aktiver "Begrens for å vise filter"I boksen. Du får se både de eksterne og lokale IP-adressene som er knyttet til BitTorrent-trafikken. De lokale IP-adressene skal vises øverst på listen.

Image
Image

Hvis du vil se de forskjellige typer protokoller, støtter Wireshark og deres filternavn, velger du Aktiverte protokoller under Analysere Meny.

Du kan begynne å skrive en protokoll for å søke etter det i vinduet Aktiverte protokoller.
Du kan begynne å skrive en protokoll for å søke etter det i vinduet Aktiverte protokoller.
Image
Image

Overvåking av tilgang til nettstedet

Nå som vi vet hvordan vi kan bryte trafikk ned etter protokoll, kan vi skrive "http"I Filter-boksen for å se bare HTTP-trafikk. Med alternativet "Aktiver nettverksnavnoppløsning" merket, ser vi navnene på nettstedene som er tilgjengelige på nettverket.

Image
Image

Igjen kan vi bruke endepunkter alternativ i Statistikk Meny.

Image
Image

Klikk over til IPv4 kategorien og aktiver "Begrens for å vise filter"Merk av i boksen igjen. Du bør også sørge for at "Navnoppløsning"Er merket av, eller du ser bare IP-adresser.

Herfra kan vi se nettsidene som er tilgjengelige. Annonseringsnettverk og tredjepartswebsteder som vertsskript som brukes på andre nettsteder, vises også i listen.

Image
Image

Hvis vi ønsker å bryte dette ned av en bestemt IP-adresse for å se hva en enkelt IP-adresse leser, kan vi også gjøre det. Bruk det kombinerte filteret http og ip.addr == [IP-adresse] for å se HTTP-trafikk tilknyttet en bestemt IP-adresse.

Åpne Endpoints-dialogboksen igjen, og du får se en liste over nettsteder som er tilgjengelige for den bestemte IP-adressen.
Åpne Endpoints-dialogboksen igjen, og du får se en liste over nettsteder som er tilgjengelige for den bestemte IP-adressen.
Image
Image

Dette er alt bare å skrape overflaten av hva du kan gjøre med Wireshark. Du kan bygge mye mer avanserte filtre, eller til og med bruke Firewall ACL Rules-verktøyet fra vår Wireshark-trickspost for å blokkere de typer trafikk du finner her.

Anbefalt: