Cum să identificați abuzul de rețea cu Wireshark

Wireshark este cuțitul armatei elvețiene de instrumente de analiză a rețelei. Indiferent că sunteți în căutarea unui trafic peer-to-peer în rețeaua dvs. sau doriți doar să vedeți ce site-uri accesează o adresă IP specifică, Wireshark poate lucra pentru dvs..

Am oferit anterior o introducere la Wireshark. și acest post se bazează pe posturile noastre anterioare. Rețineți că trebuie să capturați o locație din rețea unde puteți vedea destul trafic de rețea. Dacă faceți o captură pe stația dvs. de lucru locală, probabil că nu veți vedea majoritatea traficului în rețea. Wireshark poate face capturi dintr-o locație îndepărtată - consultați postul nostru de trucuri Wireshark pentru mai multe informații despre asta.

Identificarea traficului peer-to-peer

Coloana protocolului Wireshark afișează tipul de protocol al fiecărui pachet. Dacă vă uitați la o captură Wireshark, s-ar putea să vedeți BitTorrent sau alt trafic de tip peer-to-peer lurking în el.

Puteți vedea exact ce protocoale sunt utilizate în rețeaua dvs. din Protocol Ierarhie instrument, situat sub Statistici meniul.

Această fereastră arată o defalcare a utilizării rețelei prin protocol. De aici, putem vedea că aproape 5% din pachetele din rețea sunt pachete BitTorrent. Nu prea sună, dar BitTorrent folosește și pachete UDP. Aproape 25% din pachetele clasificate ca pachete de date UDP sunt, de asemenea, trafic BitTorrent aici.

Putem vizualiza numai pachetele BitTorrent făcând clic dreapta pe protocol și aplicând-o ca filtru. Puteți face același lucru pentru alte tipuri de trafic peer-to-peer, care pot fi prezente, cum ar fi Gnutella, eDonkey sau Soulseek.

Folosind opțiunea Aplicare filtru se aplică filtrul "bittorent."Puteți sări peste meniul clic dreapta și vizualizați traficul unui protocol introducând numele acestuia direct în caseta Filtru.

Din traficul filtrat, putem vedea că adresa IP locală a lui 192.168.1.64 utilizează BitTorrent.

Pentru a vedea toate adresele IP folosind BitTorrent, putem selecta Endpoints în Statistici meniul.

Faceți clic pe la IPv4 și permiteți "Limitați afișarea filtrului" Caseta de bifat. Veți vedea atât adresa IP la distanță cât și cea locală asociată cu traficul BitTorrent. Adresele IP locale ar trebui să apară în partea de sus a listei.

Dacă doriți să vedeți diferitele tipuri de protocoale acceptate de Wireshark și numele lor de filtrare, selectați Protocoale activate sub A analiza meniul.

Puteți începe să tastați un protocol care să îl caute în fereastra Protocoale activate.

Monitorizarea accesului la site

Acum, că știm cum să rupem traficul prin protocol, putem scrie "http"În caseta Filtru pentru a vedea numai traficul HTTP. Dacă ați bifat opțiunea "Activați rezoluția numelui rețelei", vom vedea numele site-urilor accesate în rețea.

Încă o dată, putem folosi Endpoints opțiune în Statistici meniul.

Faceți clic pe la IPv4 și permiteți "Limitați afișarea filtrului"Din nou. De asemenea, trebuie să vă asigurați că "Rezoluția numelui"Este activată sau veți vedea numai adresele IP.

De aici, putem vedea site-urile accesate. Rețelele de publicitate și site-urile web ale unor terțe părți care găzduiesc scripturile utilizate pe alte site-uri web vor apărea, de asemenea, în listă.

Dacă vrem să o rupem de o anumită adresă IP pentru a vedea ce navighează o singură adresă IP, putem face și asta. Utilizați filtrul combinat http și ip.addr == [adresa IP] pentru a vedea traficul HTTP asociat cu o anumită adresă IP.

Deschideți din nou dialogul Endpoints și veți vedea o listă de site-uri web accesate de acea adresă IP specifică.

Aceasta este doar zgârierea suprafeței a ceea ce puteți face cu Wireshark. Ați putea construi filtre mult mai avansate sau chiar utilizați instrumentul Reguli ACL din Firewall din postul nostru de trucuri Wireshark pentru a bloca cu ușurință tipurile de trafic pe care le veți găsi aici.