דף הבית » איך ל » 5 רוצח טריקים כדי להפיק את המרב של Wireshark

    5 רוצח טריקים כדי להפיק את המרב של Wireshark

    Wireshark יש לא מעט טריקים בשרוול שלה, מלכידת תנועה מרחוק ליצירת כללי חומת אש על בסיס מנות שנתפסו. המשך לקרוא כמה עצות מתקדמות יותר אם אתה רוצה להשתמש Wireshark כמו מקצוען.

    אנחנו כבר מכוסה השימוש הבסיסי של Wireshark, כדי להיות בטוח לקרוא את המאמר המקורי שלנו עבור מבוא זה כלי ניתוח רשת רב עוצמה.

    פתרון שם רשת

    בעת לכידת מנות, אתה עלול להיות מוטרד כי Wireshark רק מציג כתובות IP. אתה יכול להמיר את כתובות ה- IP שמות דומיין עצמך, אבל זה לא נוח מדי.

    Wireshark יכול לפתור באופן אוטומטי את כתובת ה- IP לשמות תחום, אם כי תכונה זו אינה מופעלת כברירת מחדל. כאשר תפעיל אפשרות זו, תראה שמות דומיין במקום כתובות IP בכל הזדמנות אפשרית. החיסרון הוא Wireshark יצטרך לחפש את כל שם התחום, מזהמים את התנועה שנתפסו עם בקשות DNS נוספות.

    באפשרותך להפעיל הגדרה זו על-ידי פתיחת חלון ההעדפות ערוך -> העדפות, לחיצה על שם רזולוציה לוח ולחיצה על "הפעל את רזולוציית שם הרשת"תיבת סימון.

    התחל לכידת אוטומטית

    ניתן ליצור קיצור דרך מיוחד באמצעות ארגומנטים של שורת הפקודה של Wirshark אם ברצונך להתחיל ללכוד מנות ללא דיחוי. יהיה עליך לדעת את מספר ממשק הרשת שבו ברצונך להשתמש, בהתאם לסדר Wireshark המציג את הממשקים.

    צור עותק של קיצור הדרך של Wireshark, לחץ עליו באמצעות לחצן העכבר הימני, עבור לחלון המאפיינים ושנה את טיעוני שורת הפקודה. הוסף -אני # -k עד סוף קיצור הדרך, במקום # עם מספר הממשק שבו ברצונך להשתמש. האפשרות -i מציינת את הממשק, ואילו האפשרות -k אומרת ל- Wireshark להתחיל מיד ללכוד.

    אם אתה משתמש ב- Linux או במערכת הפעלה אחרת שאינה Windows, פשוט צור קיצור דרך עם הפקודה הבאה, או הפעל אותה ממסוף כדי להתחיל מיד ללכוד:

    wireshark -i # -k

    לקבלת קיצורי דרך נוספים בשורת הפקודה, בדוק את הדף הידני של Wireshark.

    לכידת התנועה ממחשבים מרוחקים

    Wireshark לוכדת תנועה מהממשקים המקומיים של המערכת שלך כברירת מחדל, אך זה לא תמיד המיקום שממנו ברצונך ללכוד. לדוגמה, ייתכן שתרצה ללכוד תנועה מנתב, שרת או מחשב אחר במיקום אחר ברשת. זה המקום שבו תכונה של לכידת מרחוק Wireshark נכנס. תכונה זו זמינה רק ב- Windows כרגע - Wireshark של תיעוד רשמי ממליץ משתמשי לינוקס להשתמש במנהרה SSH.

    ראשית, יהיה עליך להתקין את WinPcap במערכת המרוחקת. WinPcap מגיע עם Wireshark, אז אתה לא צריך להתקין WinPCap אם כבר יש לך Wireshark מותקן על המערכת מרחוק.

    לאחר שהוא אינו מחובר, פתח את חלון השירותים במחשב המרוחק - לחץ על התחל, הקלד שירותים לתוך תיבת החיפוש בתפריט התחל והקש על Enter. אתר את מרחוק לכידת מנות פרוטוקול שירות ברשימה ולהתחיל את זה. שירות זה מושבת כברירת מחדל.

    לחץ על לכידת אפשרותs ב- Wireshark, לאחר מכן בחר מרחוק מתיבת הממשק.

    הזן את הכתובת של המערכת המרוחקת 2002 כמו הנמל. דרושה לך גישה ליציאה 2002 במערכת המרוחקת כדי להתחבר, לכן ייתכן שיהיה עליך לפתוח את היציאה בחומת אש.

    לאחר החיבור, באפשרותך לבחור ממשק במערכת המרוחקת מתוך התפריט הנפתח ממשק. לחץ על התחל לאחר בחירת הממשק כדי להתחיל את לכידת מרחוק.

    Wireshark במסוף (TShark)

    אם אין לך ממשק גרפי על המערכת שלך, אתה יכול להשתמש Wireshark מתוך מסוף עם הפקודה TShark.

    ראשית, להוציא את tshark -D פקודה. פקודה זו תיתן לך את המספרים של ממשקי הרשת שלך.

    ברגע שיש לך, להפעיל את tshark -i # הפקודה, החלפת # עם מספר של ממשק אתה רוצה ללכוד.

    TShark מתנהג כמו Wireshark, הדפסת התנועה היא לוכדת את הטרמינל. להשתמש Ctrl-C כאשר אתה רוצה לעצור את הלכידה.

    הדפסת מנות למסוף אינה התנהגות שימושית ביותר. אם אנחנו רוצים לבדוק את התנועה בפירוט רב יותר, אנחנו יכולים לקבל tshark לזרוק אותו לקובץ שאנחנו יכולים לבדוק מאוחר יותר. השתמש בפקודה זו במקום לזרוק תנועה לקובץ:

    tshark -i # -w שם קובץ

    TShark לא יראה לך את מנות כפי שהם להיות שנתפסו, אבל זה לספור אותם כפי שהוא לוכד אותם. אתה יכול להשתמש קובץ -> פתח אפשרות ב Wireshark לפתוח את הקובץ ללכוד מאוחר יותר.

    לקבלת מידע נוסף על אפשרויות שורת הפקודה של TShark, עיין בדף הידני שלו.

    יצירת כללי ACL של חומת אש

    אם אתה מנהל רשת האחראי על חומת אש ואתה משתמש ב- Wireshark כדי לדחוף מסביב, ייתכן שתרצה לנקוט פעולה על סמך התנועה שאתה רואה - אולי כדי לחסום תנועה חשודה. של וירשארק כללי ACL של חומת אש הכלי יוצר את הפקודות שתצטרך כדי ליצור כללי חומת אש בחומת האש שלך.

    ראשית, בחר מנה שברצונך ליצור כלל חומת אש על בסיס לחיצה על זה. לאחר מכן, לחץ על כלים בתפריט ובחר כללי ACL של חומת אש.

    להשתמש ב מוצר כדי לבחור את סוג חומת האש. Wireshark תומך ב- Cisco IOS, בסוגים שונים של חומות אש של לינוקס, כולל iptables וחומת האש של Windows.

    אתה יכול להשתמש מסנן כדי ליצור כלל המבוסס על כתובת MAC של המערכת, כתובת ה- IP, היציאה או שניהם כתובת ה- IP והיציאה. ייתכן שתראה פחות אפשרויות סינון, בהתאם למוצר של חומת האש.

    כברירת מחדל, הכלי יוצר כלל המונע תנועה נכנסת. ניתן לשנות את התנהגות הכלל על ידי ביטול הסימון נכנס או דחה תיבות סימון. לאחר שיצרת כלל, השתמש ב- עותק כדי להעתיק אותו, ולאחר מכן להפעיל אותו על חומת האש כדי להחיל את הכלל.


    האם אתה רוצה לכתוב משהו ספציפי על Wireshark בעתיד? יידע אותנו בהערות אם יש לך בקשות או רעיונות.