5 хитростей, чтобы получить максимальную отдачу от Wireshark
У Wireshark довольно много хитростей, от захвата удаленного трафика до создания правил брандмауэра на основе захваченных пакетов. Читайте дальше, если вы хотите использовать Wireshark в качестве профессионала..
Мы уже рассмотрели основы использования Wireshark, поэтому обязательно ознакомьтесь с нашей оригинальной статьей для ознакомления с этим мощным инструментом сетевого анализа..
Разрешение имени сети
Во время захвата пакетов вас может раздражать, что Wireshark отображает только IP-адреса. Вы можете конвертировать IP-адреса в доменные имена самостоятельно, но это не слишком удобно.
Wireshark может автоматически преобразовывать эти IP-адреса в доменные имена, хотя эта функция не включена по умолчанию. Когда вы включите эту опцию, вы увидите доменные имена вместо IP-адресов, когда это возможно. Недостатком является то, что Wireshark придется искать каждое доменное имя, загрязняя захваченный трафик дополнительными DNS-запросами..
Вы можете включить этот параметр, открыв окно настроек из редактировать -> предпочтения, нажав на Разрешение имени панель и нажав «Включить разрешение имени сетиФлажок.
Начать захват автоматически
Вы можете создать специальный ярлык, используя аргументы командной строки Wirshark, если хотите начать захват пакетов без задержки. Вам нужно будет узнать номер сетевого интерфейса, который вы хотите использовать, в зависимости от того, как Wireshark отображает интерфейсы..
Создайте копию ярлыка Wireshark, щелкните его правой кнопкой мыши, перейдите в окно «Свойства» и измените аргументы командной строки. добавлять -я # -к до конца ярлыка, заменяя # с номером интерфейса, который вы хотите использовать. Параметр -i указывает интерфейс, а параметр -k указывает Wireshark немедленно начать захват.
Если вы используете Linux или другую операционную систему, отличную от Windows, просто создайте ярлык с помощью следующей команды или запустите его из терминала, чтобы немедленно начать захват:
Wireshark -i # -k
Дополнительные сочетания клавиш командной строки можно найти на странице руководства Wireshark..
Захват трафика с удаленных компьютеров
По умолчанию Wireshark захватывает трафик с локальных интерфейсов вашей системы, но это не всегда то место, откуда вы хотите захватывать. Например, вы можете захватить трафик с маршрутизатора, сервера или другого компьютера в другом месте в сети. Именно здесь появляется функция удаленного захвата Wireshark. В настоящее время эта функция доступна только в Windows - официальная документация Wireshark рекомендует пользователям Linux использовать туннель SSH.
Сначала вам нужно установить WinPcap в удаленной системе. WinPcap поставляется с Wireshark, поэтому вам не нужно устанавливать WinPCap, если у вас уже есть Wireshark, установленный в удаленной системе.
После установки откройте окно «Службы» на удаленном компьютере - нажмите «Пуск», введите services.msc в поле поиска в меню Пуск и нажмите Enter. Найдите Протокол удаленного захвата пакетов сервис в списке и запустить его. Этот сервис отключен по умолчанию.
Нажмите на Вариант захватассылку в Wireshark, затем выберите Дистанционный пульт из коробки интерфейса.
Введите адрес удаленной системы и 2002 как порт. У вас должен быть доступ к порту 2002 на удаленной системе для подключения, поэтому вам может потребоваться открыть этот порт в брандмауэре.
После подключения вы можете выбрать интерфейс в удаленной системе из раскрывающегося списка Интерфейс. Нажмите Начните после выбора интерфейса для запуска удаленного захвата.
Wireshark в Терминале (TShark)
Если у вас нет графического интерфейса в вашей системе, вы можете использовать Wireshark из терминала с помощью команды TShark.
Во-первых, выпустите Tshark -D команда. Эта команда даст вам номера ваших сетевых интерфейсов.
Как только у вас есть, запустите tshark -i # команда, заменив # на номер интерфейса, который вы хотите захватить.
TShark действует как Wireshark, печатая трафик, который он захватывает, в терминал. использование Ctrl-C, когда вы хотите остановить захват.
Печать пакетов на терминал - не самое полезное поведение. Если мы хотим проверить трафик более подробно, мы можем сделать так, чтобы TShark вывел его в файл, который мы сможем проверить позже. Вместо этого используйте эту команду для выгрузки трафика в файл:
tshark -i # -w имя файла
TShark не будет показывать вам пакеты, когда они перехватываются, но он будет считать их, когда захватывает их. Вы можете использовать файл -> открыто опция в Wireshark, чтобы открыть файл захвата позже.
Для получения дополнительной информации о параметрах командной строки TShark, проверьте его страницу руководства.
Создание правил ACL брандмауэра
Если вы являетесь сетевым администратором, отвечающим за брандмауэр, и вы используете Wireshark для поиска, вы можете предпринять действия, основанные на трафике, который вы видите - возможно, чтобы заблокировать подозрительный трафик. Wireshark-х Правила ACL брандмауэра Инструмент генерирует команды, необходимые для создания правил брандмауэра на вашем брандмауэре..
Сначала выберите пакет, для которого вы хотите создать правило брандмауэра, нажав на него. После этого нажмите инструменты меню и выберите Правила ACL брандмауэра.
Использовать Товар меню, чтобы выбрать тип вашего брандмауэра. Wireshark поддерживает Cisco IOS, различные типы брандмауэров Linux, включая iptables, и брандмауэр Windows..
Вы можете использовать Фильтр поле для создания правила на основе MAC-адреса системы, IP-адреса, порта или IP-адреса и порта. В зависимости от вашего продукта брандмауэра вы можете увидеть меньше вариантов фильтров.
По умолчанию инструмент создает правило, запрещающее входящий трафик. Вы можете изменить поведение правила, сняв прибывающий или же Отрицать флажки. После того, как вы создали правило, используйте копия нажмите кнопку, чтобы скопировать его, затем запустите его на брандмауэре, чтобы применить правило.
Вы хотите, чтобы мы написали что-нибудь конкретное о Wireshark в будущем? Дайте нам знать в комментариях, если у вас есть какие-либо пожелания или идеи.