Kuidas tuvastada Wiresharkiga võrgu kuritarvitamine
Wireshark on võrguanalüüsi tööriistade Šveitsi armee nuga. Kas otsite oma võrgus peer-to-peer liiklust või tahate lihtsalt näha, millised veebisaidid teatud IP-aadressile juurde pääsevad, võib Wireshark teie jaoks töötada.
Me oleme varem Wiresharki tutvustanud. ja see postitus põhineb meie eelmistel postitustel. Pidage meeles, et peate jäädvustama võrgus asuvas kohas, kus on piisavalt võrguliiklust. Kui te võtate löögi oma kohalikus tööjaamas, ei näe te tõenäoliselt enamikku võrgus liiklust. Wireshark saab teha eemalasuvast asukohast - vaadake meie Wiresharki trikkide postitust, et saada rohkem teavet selle kohta.
Peer-to-Peer liikluse tuvastamine
Wiresharki protokolli tulp näitab iga paketi protokolli tüüpi. Kui vaatate Wiresharki püüdmist, võite näha BitTorrenti või muud sellesse peer-to-peer liiklust.
Saate näha, milliseid protokolle teie võrgus kasutatakse Protokolli hierarhia tööriista alla Statistika menüüst.
See aken näitab võrgu kasutamise jaotust protokollide kaupa. Siit näeme, et ligi 5 protsenti võrgus pakettidest on BitTorrent pakette. See ei kõla palju, kuid BitTorrent kasutab ka UDP pakette. UDP andmepakettidena klassifitseeritud pakettide ligi 25 protsenti on siin ka BitTorrent liiklus.
Saame vaadata ainult BitTorrenti pakette, klõpsates protokolli paremale ja rakendades seda filtrina. Sama saate teha ka teiste peer-to-peer liikluse tüüpide puhul, näiteks Gnutella, eDonkey või Soulseek.
Rakenduse Filter kasutamine rakendab filtrit „bittorrent.“Paremklõpsuga menüü saate vahele jätta ja protokolli liiklust vaadata, kirjutades selle nime otse filtri kasti.
Filtreeritud liiklusest näeme, et 192.168.1.64 kohalik IP-aadress kasutab BitTorrenti.
Kõigi IP-aadresside vaatamiseks BitTorrenti abil on võimalik valida Lõpp-punktid Euroopa Statistika menüüst.
Klõpsa nupule IPv4 vahekaart ja lubagePiirake filtri kuvamiseksMärkeruut. Näete nii BitTorrenti liiklusega seotud kaug- kui ka kohalikke IP-aadresse. Kohalikud IP-aadressid peaksid ilmuma loendi ülaosas.
Kui soovite näha erinevaid protokolli tüüpe Wireshark toetab ja nende filtri nimesid, valige Lubatud protokollid all Analüüsige menüüst.
Saate alustada protokolli kirjutamist selle otsimiseks aknas Enabled.
Veebisaidi juurdepääsu jälgimine
Nüüd, kui me teame, kuidas protokolli järgi liiklust lõhkuda, saame sisestada “httpAinult filtri kasti, et näha ainult HTTP-liiklust. Valitud funktsiooni „Võimalda võrgu nime eraldusvõime” abil näeme võrgus kasutatavate veebisaitide nimesid.
Jällegi saame seda kasutada Lõpp-punktid valik Statistika menüüst.
Klõpsa nupule IPv4 vahekaart ja lubagePiirake filtri kuvamiseksMärkeruut uuesti. Samuti peaksite tagama, etNimi resolutsioon"Märkeruut on lubatud või näete ainult IP-aadresse.
Siit näeme, millised veebisaidid on ligipääsetavad. Loendis kuvatakse ka reklaamivõrgustikud ja kolmandate osapoolte veebisaidid, mida skriptid kasutavad teistel veebisaitidel.
Kui me tahame seda teatud IP-aadressi abil murda, et näha, mida üks IP-aadress sirvib, saame seda ka teha. Kasutage kombineeritud filtrit http ja ip.addr == [IP-aadress] konkreetse IP-aadressiga seotud HTTP-liikluse vaatamiseks.
Avage uuesti dialoogiaken Endpoints ja näete nende veebisaitide loendit, millele on juurdepääs selle konkreetse IP-aadressiga.
See on kõik lihtsalt Wiresharkiga tehtava pinna kriimustamine. Saate ehitada palju rohkem täiustatud filtreid või kasutada isegi meie Wiresharki trikkide postituse tulemüüri ACL reeglite tööriista, et hõlpsasti blokeerida siinset tüüpi liiklusviisid.