Pagina principala » HOWTO » 5 Trucuri Killer pentru a obține maximum de Wireshark

    5 Trucuri Killer pentru a obține maximum de Wireshark

    Wireshark are destul de multe trucuri în mânecă, de la captarea traficului de la distanță la crearea unor reguli firewall bazate pe pachete capturate. Citiți câteva sfaturi mai avansate dacă doriți să utilizați Wireshark ca pro.

    Am acoperit deja utilizarea de bază a serviciului Wireshark, așa că citiți articolul original pentru o introducere în acest instrument puternic de analiză a rețelei.

    Rezoluția numelui de rețea

    În timp ce captați pachete, s-ar putea să fiți enervat că Wireshark afișează numai adresele IP. Puteți converti adresele IP pe nume de domenii, însă acest lucru nu este prea convenabil.

    Wireshark poate rezolva automat aceste adrese IP pe nume de domenii, deși această funcție nu este activată în mod implicit. Când activați această opțiune, veți vedea denumiri de domenii în loc de adrese IP ori de câte ori este posibil. Dezavantajul este că Wireshark va trebui să caute fiecare nume de domeniu, poluând traficul capturat cu alte solicitări DNS.

    Puteți activa această setare deschizând fereastra de preferințe de la Editați | × -> Preferințe, dând clic pe Rezoluția numelui și faceți clic pe butonul "Activați Rezoluția numelui rețelei" Caseta de bifat.

    Începeți capturarea automată

    Puteți crea o scurtătură specială utilizând argumentele liniei de comandă a lui Wirshark dacă doriți să începeți să capturați pachetele fără întârziere. Va trebui să cunoașteți numărul interfeței de rețea pe care doriți să o utilizați, pe baza comenzii Wireshark afișează interfețele.

    Creați o copie a comenzii rapide Wireshark, faceți clic dreapta pe ea, accesați fereastra Proprietăți și modificați argumentele liniei de comandă. Adăuga -i # -k la sfârșitul comenzii rapide, înlocuind # cu numărul interfeței pe care doriți să o utilizați. Opțiunea -i specifică interfața, în timp ce opțiunea -k indică Wireshark să înceapă imediat să capteze.

    Dacă utilizați Linux sau un alt sistem de operare care nu este Windows, creați o comandă rapidă cu următoarea comandă sau rulați-o dintr-un terminal pentru a începe să capturați imediat:

    wireshark -i # -k

    Pentru mai multe comenzi rapide de linii de comandă, verificați pagina de manual Wireshark.

    Captarea traficului de la calculatoarele la distanță

    Wireshark captează în mod implicit traficul de la interfețele locale ale sistemului dvs., dar aceasta nu este întotdeauna locația pe care doriți să o capturați. De exemplu, este posibil să doriți să capturați traficul de la un router, un server sau alt computer într-o altă locație din rețea. Aici este disponibilă funcția de captare de la distanță a Wireshark. Această caracteristică este disponibilă numai pe Windows în momentul de față - documentația oficială Wireshark recomandă ca utilizatorii Linux să utilizeze un tunel SSH.

    În primul rând, va trebui să instalați WinPcap pe sistemul de la distanță. WinPcap vine cu Wireshark, deci nu trebuie să instalați WinPCap dacă aveți deja Wireshark instalat pe sistemul de la distanță.

    După ce este isntalled, deschideți fereastra Services de pe computerul la distanță - faceți clic pe Start, tastați services.msc în caseta de căutare din meniul Start și apăsați Enter. Localizați Remote Protocol Capture Protocol serviciu în listă și porniți-l. Acest serviciu este dezactivat în mod implicit.

    Apasă pe Opțiune de captares în Wireshark, apoi selectați la distanta din caseta Interface.

    Introduceți adresa sistemului de la distanță și 2002 ca port. Trebuie să aveți acces la portul 2002 la sistemul de la distanță pentru a vă conecta, deci este posibil să fie nevoie să deschideți acest port într-un paravan de protecție.

    După conectare, puteți selecta o interfață pe sistemul de la distanță din caseta derulantă Interfață. Clic start după selectarea interfeței pentru pornirea capturii de la distanță.

    Wireshark într-un terminal (TShark)

    Dacă nu aveți o interfață grafică în sistemul dvs., puteți utiliza Wireshark de la un terminal cu comanda TShark.

    Mai întâi, emiteți tshark -D comanda. Această comandă vă va oferi numerele interfețelor de rețea.

    Odată ce ai, rulați tshark -i # comanda, înlocuind # cu numărul interfeței pe care doriți să o capturați.

    TShark acționează ca Wireshark, imprimând traficul pe care îl captează terminalului. Utilizare Ctrl-C când doriți să opriți capturarea.

    Imprimarea pachetelor către terminal nu este cel mai util comportament. Dacă vrem să inspectăm traficul în detaliu, putem să-l dăm pe TShark într-un fișier pe care să-l putem inspecta mai târziu. Utilizați această comandă pentru a anula traficul către un fișier:

    tshark -i # -w numele fișierului

    TShark nu vă va arăta pachetele pe măsură ce sunt capturate, dar le va conta pe măsură ce le capturează. Puteți utiliza funcția Fişier -> Deschis în Wireshark pentru a deschide fișierul de captură mai târziu.

    Pentru mai multe informații despre opțiunile din linia de comandă TShark, consultați pagina manuală.

    Crearea regulilor ACL pentru firewall

    Dacă sunteți un administrator de rețea responsabil cu un paravan de protecție și utilizați serviciul Wireshark pentru a încerca, este posibil să doriți să luați măsuri bazate pe traficul pe care îl vedeți - poate pentru a bloca traficul suspect. lui Wireshark Reguli ACL pentru firewall instrument generează comenzile de care aveți nevoie pentru a crea reguli firewall pe firewall-ul dvs..

    Mai întâi, selectați un pachet pe care doriți să creați o regulă de firewall bazat pe făcând clic pe el. După aceea, faceți clic pe Unelte meniu și selectați Reguli ACL pentru firewall.

    Folosește Produs pentru a selecta tipul de firewall. Wireshark suportă Cisco IOS, diferite tipuri de firewall Linux, inclusiv iptables și paravanul de protecție Windows.

    Puteți utiliza funcția Filtru pentru a crea o regulă bazată fie pe adresa MAC a sistemului, pe adresa IP, pe port, fie pe adresa IP și pe port. Este posibil să observați mai puține opțiuni de filtrare, în funcție de produsul dvs. de firewall.

    În mod implicit, instrumentul creează o regulă care neagă traficul de intrare. Puteți modifica comportamentul regulii prin debifarea opțiunii Intrare sau tăgădui casetele de selectare. După ce ați creat o regulă, utilizați Copie pentru a-l copia, apoi rulați-l pe paravanul de protecție pentru a aplica regula.


    Vrei să scriem în viitor ceva specific despre Wireshark? Spuneți-ne în comentariile dvs. dacă aveți orice solicitări sau idei.