דף הבית » איך ל » כיצד לזהות התעללות ברשת עם Wireshark

    כיצד לזהות התעללות ברשת עם Wireshark

    Wireshark הוא סכין הצבא השוויצרי של כלי ניתוח רשת. בין אם אתה מחפש תנועה של עמית לעמית ברשת שלך או רק רוצה לראות אילו אתרים כתובת IP ספציפית היא גישה, Wireshark יכול לעבוד בשבילך.

    אנחנו בעבר נתנו מבוא Wireshark. ו פוסט זה בונה על ההודעות הקודמות שלנו. זכור כי אתה חייב להיות לכידת במיקום ברשת שבו אתה יכול לראות מספיק תעבורת הרשת. אם אתה מבצע לכידה בתחנת העבודה המקומית שלך, סביר להניח שלא תראה את רוב התנועה ברשת. Wireshark יכול לעשות לוכדת ממיקום מרוחק - לבדוק את הטריקים Wireshark שלנו לקבלת מידע נוסף על זה.

    זיהוי תנועת עמית לעמית

    טור של פרוטוקול Wireshark מציג את סוג הפרוטוקול של כל מנה. אם אתה מסתכל על Wireshark ללכוד, אתה עשוי לראות BitTorrent או אחר peer-to-peer תנועה אורב בו.

    אתה יכול לראות רק מה פרוטוקולים נמצאים בשימוש ברשת שלך היררכית הפרוטוקולים כלי, הממוקם תחת סטטיסטיקה בתפריט.

    חלון זה מציג פירוט של השימוש ברשת לפי פרוטוקול. מכאן, אנו יכולים לראות כי כמעט 5 אחוזים של מנות ברשת הן מנות BitTorrent. זה לא נשמע כמו הרבה, אבל BitTorrent גם משתמש מנות UDP. כמעט 25 אחוזים של מנות מסווגות כמו מנות נתונים UDP הם גם תנועה ביטורנט כאן.

    אנו יכולים להציג רק את מנות BitTorrent על ידי לחיצה ימנית על פרוטוקול וליישם אותו כמסנן. אתה יכול לעשות את אותו הדבר עבור סוגים אחרים של peer-to-peer התנועה שעשויים להיות נוכחים, כגון Gnutella, eDonkey, או Soulseek.

    השימוש באפשרות החל מסנן מחיל את המסנן "ביטורנט."אתה יכול לדלג על התפריט לחץ לחיצה ימנית ולהציג תנועה של פרוטוקול על ידי הקלדת שמו ישירות לתוך תיבת מסנן.

    מהתנועה המסוננת, אנו יכולים לראות שכתובת ה- IP המקומית של 192.168.1.64 משתמשת ב- BitTorrent.

    כדי להציג את כל כתובות ה- IP באמצעות BitTorrent, אנו יכולים לבחור נקודות קצה בתוך ה סטטיסטיקה בתפריט.

    לחץ על IPv4 Tab ולהפעיל את "הגבל להצגת מסנן"תיבת סימון. תראה את כתובות ה- IP המרוחקות והמקומיות המשויכות לתעבורת BitTorrent. כתובות ה- IP המקומיות צריכות להופיע בראש הרשימה.

    אם אתה רוצה לראות את הסוגים השונים של פרוטוקולים Wireshark תומך שמות המסנן שלהם, בחר פרוטוקולים מאופשרים תחת לנתח בתפריט.

    באפשרותך להתחיל להקליד פרוטוקול כדי לחפש אותו בחלון 'פרוטוקולים מאופשרים'.

    מעקב אחר גישה לאתר

    עכשיו שאנחנו יודעים איך לשבור את התנועה על ידי פרוטוקול, אנחנו יכולים להקליד "http"לתוך התיבה מסנן כדי לראות רק תעבורת HTTP. כאשר האפשרות "אפשר רזולוציית שם רשת" מסומנת, נציג את השמות של האתרים שבהם ניתן לגשת לרשת.

    שוב, אנחנו יכולים להשתמש נקודות קצה אפשרות ב סטטיסטיקה בתפריט.

    לחץ על IPv4 Tab ולהפעיל את "הגבל להצגת מסנן"תיבת הסימון שוב. כמו כן, עליך לוודא כי "שם רזולוציה"תיבת הסימון מופעלת או שתראה רק כתובות IP.

    מכאן אנו יכולים לראות את הגישה אל האתרים. רשתות פרסום ואתרים של צד שלישי המארחים סקריפטים המשמשים באתרים אחרים יופיעו גם ברשימה.

    אם אנחנו רוצים לשבור את זה על ידי כתובת IP ספציפית כדי לראות מה כתובת ה- IP אחת היא גלישה, אנחנו יכולים לעשות את זה יותר מדי. השתמש במסנן המשולב http ו- ip.addr == [כתובת IP] כדי לראות את תעבורת ה- HTTP המשויכת לכתובת IP ספציפית.

    פתח שוב את תיבת הדו-שיח 'נקודות קצה' ותראה רשימה של אתרים שאליהם מתבצעת גישה באמצעות כתובת IP ספציפית זו.


    כל זה רק מגרד את פני השטח של מה שאתה יכול לעשות עם Wireshark. אתה יכול לבנות הרבה יותר מתקדמים מסננים, או אפילו להשתמש בחומת האש ACL כלי הכללים של Wireshark שלנו טריקים לכתוב כדי לחסום בקלות את סוגי התנועה תמצא כאן.