If-Koubou

Kako prepoznati zloupotrebu mreže s Wiresharkom

Kako prepoznati zloupotrebu mreže s Wiresharkom (Kako da)

Wireshark je švicarski vojni nož alata za analizu mreže. Bez obzira tražite li međusobno prometa na mreži ili samo želite vidjeti koje web stranice pristupaju određena IP adresa, Wireshark može raditi za vas.

Prije smo dobili uvod u Wireshark. i ovaj se post temelji na našim prethodnim postovima. Imajte na umu da morate snimiti na lokaciji na mreži gdje možete vidjeti dovoljan mrežni promet. Ako snimate na lokalnoj radnoj stanici, vjerojatno nećete vidjeti većinu prometa na mreži. Wireshark može snimati s udaljenog mjesta - provjerite naše Wireshark trikove za više informacija o tome.

Identificiranje međusobnog prometa

Wiresharkov stupac protokola prikazuje vrstu protokola svakog paketa. Ako ste u potrazi za snimanjem Wireshark, možda biste vidjeli BitTorrent ili drugi međusobni promet koji vreba u njemu.

Možete vidjeti samo koji protokoli se koriste na vašoj mreži od Hijerarhija protokola alat koji se nalazi ispod statistikaizbornik.

Ovaj prozor prikazuje kvar uporabe mreže prema protokolima. Odavde možemo vidjeti da je gotovo 5 posto paketa na mreži BitTorrent paketi. To ne zvuči kao puno, ali BitTorrent također koristi UDP pakete. Gotovo 25 posto paketa koji su klasificirani kao UDP podatkovni paketi također su ovdje BitTorrent.

Možemo vidjeti samo BitTorrent pakete tako da desnom tipkom miša kliknemo protokol i primijenimo ga kao filtar. To možete učiniti isto za ostale vrste prometa ravnopravnih korisnika koji mogu biti prisutni, kao što su Gnutella, eDonkey ili Soulseek.

Upotrebom opcije "Apply Filter" primjenjuje se filtar "BitTorrent."Možete preskočiti izbornik desnom tipkom miša i pregledavati promet protokola upisivanjem njegovog imena izravno u okvir za filtriranje.

Iz filtriranog prometa možemo vidjeti da lokalna IP adresa 192.168.1.64 koristi BitTorrent.

Za pregled svih IP adresa koristeći BitTorrent, možemo odabrati Krajnje točke u statistika izbornik.

Kliknite na IPv4 i omogućiti "Ograničenje filtra za prikaz"Potvrdni okvir. Vidjet ćete i udaljene i lokalne IP adrese povezane s BitTorrent prometa. Lokalne IP adrese trebale bi se pojaviti pri vrhu popisa.

Ako želite vidjeti različite vrste protokola koje podržava Wireshark i njihovi nazivi filtara, odaberite Omogućeni protokoli ispod Analizirati izbornik.

Možete započeti tipkati protokol za pretraživanje u prozoru Omogućeni protokoli.

Praćenje pristupa web sučelju

Sada kada znamo kako propustiti promet dolje po protokolu, možemo upisati "http"U okvir" Filtar "da biste vidjeli samo HTTP promet. Ako je uključena opcija "Omogući razlučivanje naziva mreže", vidjet ćemo nazive web stranica kojima se pristupa na mreži.

Još jednom možemo upotrijebiti Krajnje točke opcija u statistika izbornik.

Kliknite na IPv4 i omogućiti "Ograničenje filtra za prikaz"Potvrdni okvir ponovno. Također biste trebali osigurati da "Razlučivanje naziva", Ili ćete vidjeti samo IP adrese.

Odavde možemo vidjeti pristup web stranicama. Na popisu će se pojaviti i mreže za oglašavanje i web stranice trećih strana koje domaćin skripti koriste na drugim web stranicama.

Ako to želimo razbiti specifičnom IP adresom kako bismo vidjeli na što pregledava jedna IP adresa, to možemo i učiniti. Upotrijebite kombinirani filtar http i ip.addr == [IP adresa] da biste vidjeli HTTP promet povezan s određenom IP adresom.

Ponovno otvorite dijaloški okvir Endpoints i vidjet ćete popis web stranica kojima se pristupa određenom IP adresom.

Sve to samo zagrepljuje površinu onoga što možete učiniti s Wiresharkom. Možete izraditi naprednije filtre ili čak upotrijebiti alat Firewall ACL pravila s našeg Wireshark trikova da biste lako blokirali vrste prometa koje ćete ovdje pronaći.