If-Koubou

5 morderczych sztuczek, aby jak najlepiej wykorzystać Wireshark

5 morderczych sztuczek, aby jak najlepiej wykorzystać Wireshark (Jak)

Wireshark ma w zanadrzu kilka sztuczek, od przechwytywania ruchu zdalnego do tworzenia reguł zapory na podstawie przechwyconych pakietów. Czytaj dalej, aby uzyskać bardziej zaawansowane porady, jeśli chcesz używać Wiresharka jak profesjonalisty.

Omówiliśmy już podstawowe użycie Wiresharka, dlatego koniecznie przeczytaj nasz oryginalny artykuł, aby zapoznać się z tym potężnym narzędziem do analizy sieci.

Rozpoznawanie nazw sieci

Podczas przechwytywania pakietów możesz być zirytowany tym, że Wireshark wyświetla tylko adresy IP. Możesz konwertować adresy IP na nazwy domen, ale nie jest to zbyt wygodne.

Wireshark może automatycznie rozwiązać ten adres IP na nazwy domen, chociaż ta funkcja nie jest domyślnie włączona. Po włączeniu tej opcji, gdy tylko będzie to możliwe, zobaczysz nazwy domen zamiast adresów IP. Minusem jest to, że Wireshark będzie musiał wyszukać każdą nazwę domeny, zanieczyszczając przechwycony ruch przez dodatkowe żądania DNS.

Możesz włączyć to ustawienie, otwierając okno preferencji Edytować -> Preferencje, klikając przycisk Rozpoznawanie nazw panel i kliknięcie "Włącz rozpoznawanie nazw sieci"Pole wyboru.

Rozpocznij automatyczne przechwytywanie

Możesz utworzyć specjalny skrót za pomocą argumentów wiersza poleceń Wirsharka, jeśli chcesz rozpocząć przechwytywanie pakietów bez opóźnień. Będziesz musiał znać numer interfejsu sieciowego, którego chcesz użyć, w zależności od kolejności Wireshark wyświetla interfejsy.

Utwórz kopię skrótu Wiresharka, kliknij prawym przyciskiem myszy, przejdź do okna Właściwości i zmień argumenty wiersza poleceń. Dodaj -i # -k na końcu skrótu, zastępując # z numerem interfejsu, którego chcesz użyć. Opcja -i określa interfejs, a opcja -k nakazuje Wireshark natychmiast rozpocząć przechwytywanie.

Jeśli używasz systemu Linux lub innego systemu operacyjnego innego niż Windows, po prostu utwórz skrót za pomocą następującego polecenia lub uruchom go z terminala, aby natychmiast rozpocząć przechwytywanie:

wireshark -i # -k

Aby uzyskać więcej skrótów w wierszu poleceń, sprawdź stronę podręcznika programu Wireshark.

Przechwytywanie ruchu z komputerów zdalnych

Wireshark domyślnie przechwytuje ruch z lokalnych interfejsów systemu, ale nie zawsze jest to lokalizacja, z której chcesz przechwycić. Na przykład możesz chcieć przechwycić ruch z routera, serwera lub innego komputera w innej lokalizacji w sieci. Tu pojawia się funkcja zdalnego przechwytywania Wiresharka. Ta funkcja jest obecnie dostępna tylko w systemie Windows - oficjalna dokumentacja Wireshark zaleca użytkownikom systemu Linux korzystanie z tunelu SSH.

Najpierw musisz zainstalować WinPcap na zdalnym systemie. WinPcap jest dostarczany z Wireshark, więc nie musisz instalować WinPCap, jeśli masz zainstalowany Wireshark w systemie zdalnym.

Po jego wybraniu otwórz okno Usługi na komputerze zdalnym - kliknij Start, wpisz services.msc w polu wyszukiwania w menu Start i naciśnij Enter. Zlokalizuj Protokół zdalnego przechwytywania pakietów usługę na liście i uruchom ją. Ta usługa jest domyślnie wyłączona.

Kliknij Opcja przechwytywanias link w Wireshark, a następnie wybierz Zdalny z pola interfejsu.

Wprowadź adres zdalnego systemu i 2002 jako port. Musisz mieć dostęp do portu 2002 na zdalnym systemie, aby się połączyć, więc może być konieczne otwarcie tego portu w zaporze sieciowej.

Po podłączeniu można wybrać interfejs w systemie zdalnym z rozwijanego menu Interfejs. Kliknij Początek po wybraniu interfejsu, aby rozpocząć zdalne przechwytywanie.

Wireshark w terminalu (TShark)

Jeśli nie masz graficznego interfejsu w swoim systemie, możesz użyć Wireshark z terminala z komendą TShark.

Najpierw wydaj tshark -D dowództwo. To polecenie podaje liczbę twoich interfejsów sieciowych.

Gdy już masz, uruchom tshark -i # polecenie, zastępując # numerem interfejsu, na którym chcesz przechwycić.

TShark działa jak Wireshark, drukując ruch do terminalu. Posługiwać się Ctrl-C kiedy chcesz zatrzymać przechwytywanie.

Drukowanie pakietów do terminala nie jest najbardziej użytecznym zachowaniem. Jeśli chcemy dokładniej zbadać ruch, możemy poprosić TSharka o zrzucenie go do pliku, który możemy sprawdzić później. Użyj tego polecenia, aby zrzucić ruch do pliku:

tshark -i # -w nazwa pliku

TShark nie pokaże Ci pakietów podczas ich przechwytywania, ale policzy je tak, jak je przechwytuje. Możesz użyć Plik -> otwarty opcję w Wireshark, aby później otworzyć plik przechwytywania.

Aby uzyskać więcej informacji o opcjach wiersza poleceń TSharka, sprawdź jego stronę podręcznika.

Tworzenie reguł ACL zapory

Jeśli jesteś administratorem sieci odpowiedzialnym za firewall i używasz Wireshark do przeglądania, możesz podjąć działania w oparciu o ruch, który widzisz - być może blokując podejrzane ruchy. Wireshark's Reguły ACL zapory narzędzie generuje polecenia potrzebne do tworzenia reguł zapory firewall.

Najpierw wybierz pakiet, na podstawie którego chcesz utworzyć regułę zapory, klikając ją. Następnie kliknij przycisk Przybory menu i wybierz Reguły ACL zapory.

Użyj Produkt menu, aby wybrać typ zapory. Wireshark obsługuje Cisco IOS, różne rodzaje zapór ogniowych systemu Linux, w tym iptables i zaporę systemu Windows.

Możesz użyć Filtr w celu utworzenia reguły opartej na adresie MAC systemu, adresie IP, porcie lub zarówno adresie IP, jak i porcie. Możesz zobaczyć mniej opcji filtrowania, w zależności od zapory ogniowej.

Domyślnie narzędzie tworzy regułę, która odmawia ruchu przychodzącego. Możesz zmodyfikować zachowanie reguły, odznaczając Przychodzące lub Zaprzeczać pola wyboru.Po utworzeniu reguły użyj znaku Kopiuj przycisk, aby go skopiować, a następnie uruchom go na zaporze sieciowej, aby zastosować regułę.

Czy chcesz, abyśmy napisali coś konkretnego na temat Wireshark w przyszłości? Daj nam znać w komentarzach, jeśli masz jakieś prośby lub pomysły.