5 Ubojica trikovi da biste dobili najviše iz Wireshark
Wireshark ima dosta trikova u rukavu, od snimanja udaljenog prometa do izrade pravila vatrozida na temelju zarobljenih paketa. Čitajte dalje za neke naprednije savjete ako želite koristiti Wireshark kao profesionalac.
Već smo pokrili osnovnu upotrebu Wiresharka, stoga svakako pročitajte naš izvorni članak za uvod u ovaj moćan alat za analizu mreže.
Rezolucija naziva mreže
Dok snimate pakete, možda ćete biti uznemireni što Wireshark prikazuje samo IP adrese. IP adrese možete pretvoriti u nazive domena sami, ali to nije previše zgodno.
Wireshark može automatski riješiti te IP adrese na nazive domena, iako ta značajka nije omogućena prema zadanim postavkama. Kada omogućite ovu opciju, vidjet ćete imena domena umjesto IP adresa kad god je to moguće. Nedostatak je da će Wireshark morati potražiti svako ime domene, zagađujući zarobljeni promet dodatnim DNS zahtjevima.
Ovu postavku možete omogućiti otvaranjem prozora postavki Uredi -> Postavke, klikom na Razlučivost imena i klikom na "Omogući rješenje naziva mrežePotvrdni okvir.
Započni automatsko snimanje
Možete stvoriti poseban prečac koristeći argumente Wirsharkovog naredbenog retka ako želite početi hvatanje paketa bez odgode. Morat ćete znati broj mrežnog sučelja koje želite koristiti, a na temelju naloga Wireshark prikazuje sučelja.
Napravite kopiju Wiresharkovog prečaca, kliknite ga desnom tipkom miša, uđite u njegov prozor Properties i promijenite argumente naredbenog retka. Dodati -i # -k do kraja prečaca, zamjenjujući ga # s brojem sučelja koje želite koristiti. Opcija -i određuje sučelje, dok opcija -k kaže Wiresharku da odmah počne s hvatanjem.
Ako koristite Linux ili neki drugi operativni sustav koji nije Windows, jednostavno napravite prečac sa sljedećom naredbom ili je pokrenite s terminala da biste odmah započeli s snimanjem:
wireshark -i # -k
Za više prečaca u naredbenom retku pogledajte stranicu s uputama za Wireshark.
Snimanje prometa s udaljenih računala
Wireshark prema zadanim postavkama bilježi promet s lokalnih sučelja vašeg sustava, ali to nije uvijek lokacija iz koje želite snimiti. Na primjer, možda želite snimiti promet s usmjerivača, poslužitelja ili drugog računala na drugom mjestu na mreži. Tu dolazi Wiresharkova značajka daljinskog snimanja. Ova značajka je trenutno dostupna samo na Windowsu - Wiresharkova službena dokumentacija preporučuje da korisnici Linuxa koriste SSH tunel.
Prvo ćete morati instalirati WinPcap na udaljeni sustav. WinPcap dolazi s Wiresharkom, tako da ne morate instalirati WinPCap ako već imate Wireshark instaliran na udaljenom sustavu..
Nakon što je unesen, otvorite prozor Services na udaljenom računalu - kliknite Start, upišite service.msc u okvir za pretraživanje u izborniku Start i pritisnite Enter. Pronađite Protokol za daljinsko snimanje paketa na popisu i pokrenite ga. Ova je usluga onemogućena prema zadanim postavkama.
Kliknite gumb Opcija snimanjau Wireshark, zatim odaberite Daljinski iz okvira sučelja.
Unesite adresu udaljenog sustava i 2002 kao luka. Morate imati pristup portu 2002 na udaljenom sustavu za povezivanje, tako da ćete možda morati otvoriti ovaj priključak u vatrozidu.
Nakon povezivanja, možete odabrati sučelje na udaljenom sustavu iz padajućeg okvira Interface. Klik Početak nakon odabira sučelja za pokretanje daljinskog snimanja.
Wireshark u terminalu (TShark)
Ako na svom sustavu nemate grafičko sučelje, možete koristiti Wireshark iz terminala s TShark naredbom.
Prvo izdajte tshark -D naredba. Ova naredba će vam dati brojeve mrežnih sučelja.
Kada to učinite, pokrenite tshark -i # naredbu, zamjenjujući # brojem sučelja na kojem želite snimiti.
TShark djeluje kao Wireshark, tiska promet koji snima na terminal. Koristiti Ctrl-C kada želite zaustaviti snimanje.
Ispisivanje paketa na terminal nije najkorisnije ponašanje. Ako želimo detaljnije pregledati promet, TShark ga može ostaviti u datoteku koju kasnije možemo pregledati. Upotrijebite ovu naredbu da biste izvezli promet u datoteku:
tshark -i # -w naziv datoteke
TShark vam neće pokazati pakete koji su zarobljeni, ali će ih brojiti dok ih snima. Možete upotrijebiti Datoteka -> Otvorena u programu Wireshark otvoriti datoteku snimanja kasnije.
Za više informacija o TSharkovim opcijama naredbenog retka, pogledajte njegovu stranicu s uputama.
Izrada ACL pravila vatrozida
Ako ste mrežni administrator zadužen za vatrozid, a Wireshark koristite za provlačenje, možda ćete htjeti poduzeti mjere na temelju prometa koji vidite - možda da biste blokirali sumnjivi promet. Wireshark je Pravila ACL-a za vatrozid Alat generira naredbe koje ćete morati stvoriti pravila vatrozida na vatrozidu.
Najprije odaberite paket koji želite stvoriti pravilo vatrozida na temelju njega klikom na njega. Nakon toga kliknite alat i odaberite Pravila ACL-a za vatrozid.
Koristiti Proizvod za odabir vrste vatrozida. Wireshark podržava Cisco IOS, različite vrste vatrozida za Linux, uključujući iptables i Windows vatrozid.
Možete upotrijebiti filtar da biste stvorili pravilo koje se temelji na MAC adresi sustava, IP adresi, portu ili IP adresi i portu. Možda ćete vidjeti manje mogućnosti filtriranja, ovisno o proizvodu vatrozida.
Prema zadanim postavkama, alat stvara pravilo koje zabranjuje ulazni promet. Ponašanje pravila možete promijeniti tako da poništite odabir dolazeći ili poreći kućice. Nakon što izradite pravilo, upotrijebite Kopirati da biste ga kopirali, a zatim ga pokrenite na vatrozidu da biste primijenili pravilo.
Želite li da u budućnosti napišemo nešto o Wiresharku? Javite nam u komentarima ako imate bilo kakvih zahtjeva ili ideja.