Wireshark to szwajcarski scyzoryk narzędzi do analizy sieci. Niezależnie od tego, czy szukasz sieci typu peer-to-peer w swojej sieci, czy chcesz po prostu zobaczyć, do jakich witryn dociera dany adres IP, Wireshark może pracować dla Ciebie.
Wcześniej przedstawiliśmy wprowadzenie do Wiresharka. a ten post opiera się na naszych poprzednich postach. Pamiętaj, że musisz przechwytywać dane w lokalizacji w sieci, w której widać wystarczający ruch sieciowy. Jeśli zrobisz przechwycenie na lokalnej stacji roboczej, prawdopodobnie nie zobaczysz większości ruchu w sieci. Wireshark może robić przechwytywania ze zdalnej lokalizacji - sprawdź nasz post w grze Wireshark, aby uzyskać więcej informacji na ten temat.
Kolumna protokołu Wiresharka wyświetla typ protokołu dla każdego pakietu. Jeśli patrzysz na przechwytywanie Wireshark, możesz zobaczyć w nim BitTorrenta lub inny ruch peer-to-peer.
Możesz zobaczyć, jakie protokoły są używane w twojej sieci od Hierarchia protokołu narzędzie, znajdujące się pod Statystykamenu.
To okno pokazuje podział użycia sieci według protokołu. Z tego widać, że prawie 5 procent pakietów w sieci to pakiety BitTorrent. To nie brzmi jak bardzo, ale BitTorrent również używa pakietów UDP. Prawie 25 procent pakietów sklasyfikowanych jako pakiety danych UDP to także ruch BitTorrent.
Możemy wyświetlić tylko pakiety BitTorrent, klikając prawym przyciskiem myszy protokół i stosując go jako filtr. Możesz zrobić to samo dla innych typów połączeń peer-to-peer, które mogą być obecne, takich jak Gnutella, eDonkey lub Soulseek.
Użycie opcji Zastosuj filtr powoduje zastosowanie filtru "bittorrent."Możesz pominąć menu z prawym przyciskiem myszy i wyświetlić ruch protokołu, wpisując jego nazwę bezpośrednio w polu Filtr.
Z przefiltrowanego ruchu widzimy, że lokalny adres IP 192.168.1.64 używa BitTorrenta.
Aby wyświetlić wszystkie adresy IP za pomocą BitTorrenta, możemy wybrać Punkty końcowe w Statystyka menu.
Kliknij opcję ponad IPv4 tab i włącz "Ogranicz do wyświetlania filtra"Pole wyboru. Zobaczysz zarówno zdalny, jak i lokalny adres IP powiązany z ruchem BitTorrent. Lokalne adresy IP powinny pojawić się na górze listy.
Jeśli chcesz zobaczyć różne typy protokołów obsługiwanych przez Wireshark i ich nazwy filtrów, wybierz Włączone protokoły pod Analizować menu.
Możesz rozpocząć wpisywanie protokołu, aby go wyszukać w oknie Enabled Protocols.
Teraz, gdy wiemy, jak przełamać ruch przez protokół, możemy wpisać "http"W polu Filtruj, aby zobaczyć tylko ruch HTTP. Po zaznaczeniu opcji "Włącz rozpoznawanie nazw sieci" zobaczysz nazwy witryn, do których uzyskujesz dostęp w sieci.
Po raz kolejny możemy skorzystać z Punkty końcowe opcja w Statystyka menu.
Kliknij opcję ponad IPv4 tab i włącz "Ogranicz do wyświetlania filtra"Ponownie pole wyboru. Należy również zapewnić, że "Rozpoznawanie nazw"Pole wyboru jest włączone lub zobaczysz tylko adresy IP.
Stąd widzimy dostęp do stron internetowych. Na liście pojawią się również sieci reklamowe i witryny innych firm obsługujące skrypty używane w innych witrynach.
Jeśli chcemy to zepsuć pod konkretny adres IP, aby zobaczyć, co przegląda pojedynczy adres IP, możemy to zrobić. Użyj połączonego filtra http i ip.addr == [adres IP] aby zobaczyć ruch HTTP powiązany z określonym adresem IP.
Ponownie otwórz okno dialogowe Punkty końcowe, a zobaczysz listę stron internetowych, do których można uzyskać dostęp za pomocą tego konkretnego adresu IP.
To wszystko tylko zarysowania powierzchni tego, co możesz zrobić z Wireshark. Możesz zbudować znacznie bardziej zaawansowane filtry, a nawet użyć narzędzia Reguły ACL Zapory z naszego posta Wireshark, aby łatwo zablokować typy ruchu, które znajdziesz tutaj.
