Як визначити зловживання мережею з Wireshark
Wireshark - це швейцарський армійський ніж інструментів аналізу мережі. Якщо ви шукаєте трафік однорангової мережі у вашій мережі або просто хочете дізнатися, до яких веб-сайтів надається певна адреса IP, Wireshark може працювати для вас.
Ми вже давали вступ до Wireshark. і цей пост будується на попередніх посадах. Майте на увазі, що ви маєте захоплювати в певному місці в мережі, де можна побачити достатній мережевий трафік. Якщо ви робите захоплення на локальну робочу станцію, ви, ймовірно, не побачите більшу частину трафіку в мережі. Wireshark може робити знімки з віддаленого місця - ознайомтеся з нашою адресою Wireshark для отримання додаткової інформації про це.
Визначення однорангового трафіку
Колонка протоколу Wireshark відображає тип протоколу кожного пакета. Якщо ви переглядаєте захоплення Wireshark, ви можете побачити, що в ньому ховається трафік BitTorrent або інший одноранговий трафік..
Ви можете бачити, які протоколи використовуються у вашій мережі Ієрархія протоколів інструмент, розташований під Статистика меню.
Це вікно показує розбивку використання мережі за протоколом. Звідси ми бачимо, що майже 5% пакетів в мережі є пакетами BitTorrent. Це не дуже багато, але BitTorrent також використовує UDP-пакети. Майже 25 відсотків пакетів, класифікованих як пакети даних UDP, також є трафіком BitTorrent.
Ми можемо переглядати тільки пакети BitTorrent, клацнувши правою кнопкою миші по протоколу і застосувавши його як фільтр. Ви можете зробити те ж саме для інших типів однорангового трафіку, які можуть бути присутніми, такі як Gnutella, eDonkey або Soulseek.
Використовуючи параметр Застосувати фільтр, застосовується фільтр "bittorrent.Можна пропустити меню правої кнопки миші та переглянути трафік протоколу, ввівши його назву безпосередньо в поле "Фільтр".
З фільтрованого трафіку ми бачимо, що локальна IP-адреса 192.168.1.64 використовує BitTorrent.
Щоб переглянути всі IP-адреси за допомогою BitTorrent, можна вибрати Кінцеві точки в Статистика меню.
Натисніть на кнопку IPv4 і ввімкнітьОбмежити для відображення фільтра". Ви побачите як віддалені, так і локальні IP-адреси, пов'язані з трафіком BitTorrent. Локальні IP-адреси повинні відображатися у верхній частині списку.
Якщо ви хочете побачити різні типи протоколів, що підтримують Wireshark, і їх імена фільтрів, виберіть Включено протоколи під Аналізувати меню.
Ви можете почати вводити протокол, щоб знайти його у вікні Enabled Protocols.
Моніторинг доступу до веб-сайту
Тепер, коли ми знаємо, як розірвати трафік за протоколом, можна ввести "http"У вікні" Фільтр ", щоб побачити лише трафік HTTP. Якщо позначено параметр "Увімкнути вирішення імен мережі", ми побачимо назви веб-сайтів, доступ до яких здійснюється в мережі.
Ще раз, ми можемо використовувати Кінцеві точки у вікні Статистика меню.
Натисніть на кнопку IPv4 і ввімкнітьОбмежити для відображення фільтра”Знову встановіть прапорець. Ви також повинні переконатися, щоРозділ імені”Увімкнено або ви побачите лише IP-адреси.
Тут ми бачимо доступ до веб-сайтів. У списку також з'являться рекламні мережі та веб-сайти третіх сторін, на яких розміщуються скрипти, які використовуються на інших веб-сайтах.
Якщо ми хочемо розірвати це через певну IP-адресу, щоб побачити, що переглядає одна IP-адреса, ми можемо це зробити. Використовуйте комбінований фільтр http та ip.addr == [IP-адреса] , щоб побачити трафік HTTP, пов'язаний з певною IP-адресою.
Відкрийте діалогове вікно "Кінцеві точки" знову, і ви побачите список веб-сайтів, до яких здійснюється доступ за допомогою певної адреси IP.
Все це просто дряпає поверхню того, що можна зробити з Wireshark. Ви могли б створити набагато більш просунуті фільтри, або навіть використовувати інструмент "Правила брандмауера ACL" з нашої трюк Wireshark, щоб легко блокувати типи трафіку, які ви знайдете тут.
