5 Killeri trikke, et saada Wiresharkist kõige rohkem kasu
Wiresharkil on oma varrukas üsna vähe nippe, alates kaugliikluse püüdmisest tulemüüri reeglite loomisele, mis põhinevad püütud pakettidel. Kui soovite kasutada Wiresharki nagu pro, siis lugege veel mõned edasijõudnud nõuanded.
Oleme juba käsitlenud Wiresharki põhikasutust, nii et lugege kindlasti meie algset artiklit selle võimas võrguanalüüsi tööriista tutvustamiseks.
Võrgu nime eraldusvõime
Pakettide hõivamise ajal võib olla pahane, et Wireshark kuvab ainult IP-aadresse. IP-aadressid saate ise domeeninimedeks teisendada, kuid see ei ole liiga mugav.
Wireshark suudab need IP-aadressid automaatselt domeeninimedele lahendada, kuigi see funktsioon pole vaikimisi lubatud. Selle võimaluse lubamisel näete võimaluse korral domeeninimesid IP-aadresside asemel. Negatiivne külg on see, et Wireshark peab iga domeeninime üles otsima, püüdes salvestatud liiklust täiendavate DNS-päringutega.
Selle sätte lubamiseks avage eelistuste aken Muuda -> Eelistused, klõpsates Nimi Lahendus paneeli ja klõpsatesVõimalda võrgu nime resolutsioonMärkeruut.
Alustage automaatset salvestamist
Wirsharki käsurea argumentide abil saate luua spetsiaalse kiirklahvi, kui soovite pakettide hõivamiseks viivitamatult alustada. Te peate teadma selle võrguliidese numbri, mida soovite kasutada vastavalt tellimusele, mida Wireshark kuvab.
Loo Wiresharki otsetee koopia, paremklõpsake seda, mine oma atribuutide aknasse ja muutke käsurea argumente. Lisama -i # -k otsetee lõpuni, asendades # kasutatava liidese numbriga. -I valik määrab liidese, samal ajal kui -k-käsk ütleb Wiresharkile kohe hõivamiseks.
Kui kasutate Linuxi või mõnda muud kui Windowsi operatsioonisüsteemi, siis looge otsetee, millel on järgmine käsk, või käivitage see terminalist kohe hõivamiseks:
wireshark -i # -k
Rohkem käsurea otseteid vaadake Wiresharki käsiraamatust.
Liikluse eemaldamine kaugarvutitest
Wireshark salvestab vaikimisi teie süsteemi kohalike liideste liikluse, kuid see ei ole alati asukoht, mida soovite salvestada. Näiteks võite salvestada liikluse marsruuterist, serverist või mõnest muust võrgus asuvast arvutist. See on koht, kus Wiresharki kaugpüüdmise funktsioon on sisse lülitatud. See funktsioon on hetkel saadaval ainult Windowsis - Wiresharki ametlik dokumentatsioon soovitab Linuxi kasutajatel kasutada SSH-tunnelit.
Esiteks peate installima WinPcapi kaugsüsteemi. WinPcap on varustatud Wiresharkiga, nii et te ei pea installima WinPCapi, kui teil on juba Wireshark installitud kaugsüsteemi.
Pärast selle avamist avage kaugarvuti teenuste aken - klõpsake Start, tippige services.msc menüüs Start menüüsse ja vajutage Enter. Leidke Remote Packet Capture Protocol loendisse ja käivitage see. See teenus on vaikimisi keelatud.
Klõpsake nuppu Pildistamise võimaluss link Wiresharkis, seejärel valige Kaugjuhtimispult liidese kasti.
Sisestage kaugsüsteemi aadress ja 2002 kui sadam. Ühenduse loomiseks peab teil olema juurdepääs kaugsüsteemi porti 2002, nii et peate avama selle portaali tulemüüris.
Pärast ühendamist saate rippmenüüst Interface valida liides serverisüsteemist. Klõpsake nuppu Alusta pärast liidese valimist kaugpüüdmise alustamiseks.
Wireshark terminalis (TShark)
Kui teie süsteemis ei ole graafilist liidest, saate kasutada Wiresharki terminali TSharki käsuga.
Esiteks väljastage tshark -D käsk. See käsk annab teile võrguliideste numbrid.
Kui olete, käivitage tshark -i # käsk, asendades # selle liidese numbriga, mida soovite salvestada.
TShark toimib nagu Wireshark, trükkides terminalile salvestatud liikluse. Kasutage Ctrl-C kui soovite püüdmise peatada.
Pakettide printimine terminalile ei ole kõige kasulikum käitumine. Kui me tahame liiklust üksikasjalikumalt kontrollida, siis saame TSharki selle kaevandada faili, mida hiljem kontrollida. Kasutage seda käsku selle asemel, et dumpida fail liiklusse:
tshark -i # -w failinimi
TShark ei paku sulle paketid, kui need on salvestatud, kuid see loeb neid, kui need jäädvustavad. Võite kasutada Fail -> Ava Wiresharkis saab avada kaustafaili hiljem.
Lisateavet TSharki käsurea suvandite kohta leiate selle käsitsi lehelt.
Tulemüüri ACL-reeglite loomine
Kui olete võrguhaldur, kes vastutab tulemüüri eest ja kasutate Wiresharki ringi liikumiseks, võiksite võtta meetmeid vastavalt liiklusele, mida te näete - võib-olla blokeerida mõni kahtlane liiklus. Wireshark on Tulemüüri ACL reeglid tööriist genereerib käsud, mida peate tulemüüri reeglite loomiseks oma tulemüüri jaoks looma.
Kõigepealt valige pakett, millele soovite tulemüüri reegli luua, klõpsates seda. Seejärel klõpsake nuppu Tööriistad menüü ja valige Tulemüüri ACL reeglid.
Kasuta Toode valige tulemüüri tüüp. Wireshark toetab Cisco IOS-i, erinevaid Linuxi tulemüüre, sealhulgas iptables'i ja Windowsi tulemüüri.
Võite kasutada Filter kasti, et luua reegel, mis põhineb kas süsteemi MAC-aadressil, IP-aadressil, pordil või nii IP-aadressil kui ka pordil. Sõltuvalt teie tulemüüri tootest võib näha vähem filtri valikuid.
Vaikimisi loob tööriist reegli, mis keelab sissetuleva liikluse. Reegli käitumist saab muuta, kui märgistate selle Sissetulev või Keeldu märkeruudud. Pärast reegli loomist kasutage Kopeeri nuppu selle kopeerimiseks, seejärel käivitage reegli rakendamiseks oma tulemüüris.
Kas sa tahad, et me kirjutaksime tulevikus midagi konkreetset Wiresharki kohta? Andke meile oma kommentaarides teada, kui teil on päringuid või ideid.