Kako prepoznati mrežnu zloupotrebu s Wiresharkom

Wireshark je švicarski vojni nož alata za analizu mreže. Bez obzira tražite li peer-to-peer promet na vašoj mreži ili samo želite vidjeti koje web-lokacije pristupa određena IP adresa, Wireshark može raditi za vas.

Već smo vam dali uvod u Wireshark. i ovaj post gradi na našim prethodnim postovima. Imajte na umu da morate snimati na lokaciji na mreži gdje možete vidjeti dovoljno mrežnog prometa. Ako snimite na lokalnoj radnoj stanici, vjerojatno nećete vidjeti većinu prometa na mreži. Wireshark može napraviti snimke s udaljene lokacije - provjerite naš Wireshark trikovi za više informacija o tome.

Prepoznavanje ravnopravnog prometa

Stupac protokola Wireshark prikazuje vrstu protokola svakog paketa. Ako gledate snimanje Wiresharkom, možda ćete u njemu vidjeti BitTorrent ili drugi peer-to-peer promet.

Možete vidjeti samo koji protokoli se koriste na vašoj mreži iz Hijerarhija protokola alata, koji se nalazi ispod statistika izbornik.

Ovaj prozor prikazuje kvar korištenja mreže po protokolu. Odavde možemo vidjeti da su gotovo 5 posto paketa na mreži BitTorrent paketi. To ne zvuči mnogo, ali BitTorrent također koristi UDP pakete. Gotovo 25 posto paketa klasificiranih kao UDP podatkovni paketi također su ovdje BitTorrent promet.

Možemo vidjeti samo BitTorrent pakete tako da desnom tipkom miša kliknete protokol i primijenite ga kao filtar. Isto možete učiniti i za druge vrste ravnopravnog prometa koji mogu biti prisutni, kao što su Gnutella, eDonkey ili Soulseek.

Pomoću opcije Primijeni filtar primjenjuje se filtar "bittorrent.Možete preskočiti izbornik desnom tipkom miša i pogledati promet protokola upisivanjem njegovog imena izravno u okvir Filtar.

Iz filtriranog prometa možemo vidjeti da lokalna IP adresa 192.168.1.64 koristi BitTorrent.

Za pregled svih IP adresa pomoću BitTorrenta, možemo odabrati Krajnje točke u statistika izbornik.

Kliknite na IPv4 i omogućite "Ograničite prikaz filtraPotvrdni okvir. Vidjet ćete i udaljene i lokalne IP adrese povezane s BitTorrent prometom. Lokalne IP adrese trebale bi se pojaviti na vrhu popisa.

Ako želite vidjeti različite vrste protokola koje podržava Wireshark i njihova imena filtara, odaberite Omogućeni protokoli ispod Analizirati izbornik.

Možete početi upisivati ​​protokol kako biste ga potražili u prozoru Omogućeni protokoli.

Praćenje pristupa web stranicama

Sada kada znamo razbiti promet prema protokolu, možemo upisati "httpU okvir Filtar da biste vidjeli samo HTTP promet. Kada je označena opcija "Omogući razlučivanje imena mreže", vidjet ćemo imena web-mjesta kojima se pristupa na mreži.

Još jednom, možemo iskoristiti Krajnje točke u opciji statistika izbornik.

Kliknite na IPv4 i omogućite "Ograničite prikaz filtraPonovno potvrdite okvir. Trebali biste također osigurati da “Rezolucija nazivaPotvrdni okvir je omogućen ili ćete vidjeti samo IP adrese.

Odavde možemo vidjeti web-lokacije kojima se pristupa. Na popisu će se pojaviti i reklamne mreže i web-mjesta trećih strana koja hostiraju skripte korištene na drugim web-lokacijama.

Ako to želimo razbiti određenom IP adresom kako bismo vidjeli što pregledava jedna IP adresa, možemo to i učiniti. Koristite kombinirani filtar http i ip.addr == [IP adresa] da biste vidjeli HTTP promet povezan s određenom IP adresom.

Ponovo otvorite dijaloški okvir Krajnje točke i vidjet ćete popis web-mjesta kojima pristupa određena IP adresa.

Sve je to samo grebanje površine što možete učiniti s Wiresharkom. Možete izraditi mnogo naprednije filtre, ili čak koristiti alat za pravila za vatrozid ACL iz naše Wireshark trikove za jednostavno blokiranje vrsta prometa koje ćete pronaći ovdje.