Как определить сетевое злоупотребление с помощью Wireshark
Wireshark - это швейцарский армейский нож инструментов сетевого анализа. Если вы ищете одноранговый трафик в своей сети или просто хотите посмотреть, к каким веб-сайтам обращается определенный IP-адрес, Wireshark может работать для вас..
Ранее мы уже давали представление о Wireshark. и этот пост основан на наших предыдущих постах. Имейте в виду, что вы должны захватывать в месте в сети, где вы можете видеть достаточно сетевого трафика. Если вы делаете захват на своей локальной рабочей станции, вы, скорее всего, не увидите большую часть трафика в сети. Wireshark может делать снимки из удаленного местоположения - ознакомьтесь с нашей статьей о трюках Wireshark для получения дополнительной информации об этом.
Определение однорангового трафика
Столбец протокола Wireshark отображает тип протокола каждого пакета. Если вы смотрите на захват Wireshark, вы можете увидеть BitTorrent или другой одноранговый трафик, скрывающийся в нем.
Вы можете увидеть, какие протоколы используются в вашей сети из Иерархия протокола инструмент, расположенный под Статистика меню.
Это окно показывает разбивку использования сети по протоколу. Отсюда видно, что почти 5 процентов пакетов в сети являются пакетами BitTorrent. Звучит не так много, но BitTorrent также использует UDP-пакеты. Почти 25 процентов пакетов, классифицированных как пакеты данных UDP, также являются трафиком BitTorrent..
Мы можем просматривать только пакеты BitTorrent, щелкнув правой кнопкой мыши по протоколу и применив его в качестве фильтра. Вы можете сделать то же самое для других типов однорангового трафика, который может присутствовать, например Gnutella, eDonkey или Soulseek..
При использовании опции «Применить фильтр» применяется фильтр «битторрент.«Вы можете пропустить контекстное меню и просмотреть трафик протокола, введя его имя прямо в поле« Фильтр »..
Из отфильтрованного трафика видно, что локальный IP-адрес 192.168.1.64 использует BitTorrent..
Чтобы просмотреть все IP-адреса с помощью BitTorrent, мы можем выбрать Endpoints в Статистика меню.
Нажмите на IPv4 вкладка и включить «Предел для отображения фильтраФлажок. Вы увидите как удаленные, так и локальные IP-адреса, связанные с трафиком BitTorrent. Локальные IP-адреса должны отображаться в верхней части списка.
Если вы хотите увидеть различные типы протоколов, поддерживаемых Wireshark, и имена их фильтров, выберите Включенные протоколы под анализировать меню.
Вы можете начать вводить протокол для его поиска в окне Enabled Protocols.
Мониторинг доступа к сайту
Теперь, когда мы знаем, как разбить трафик по протоколу, мы можем напечатать «HTTP”В поле Фильтр, чтобы увидеть только HTTP-трафик. Если флажок «Включить разрешение сетевых имен» установлен, мы увидим имена веб-сайтов, к которым осуществляется доступ в сети..
Еще раз, мы можем использовать Endpoints вариант в Статистика меню.
Нажмите на IPv4 вкладка и включить «Предел для отображения фильтраСнова установите флажок. Вы также должны убедиться, чтоРазрешение имени»Или вы увидите только IP-адреса.
Отсюда мы можем видеть доступ к веб-сайтам. Рекламные сети и сторонние веб-сайты, на которых размещены скрипты, используемые на других веб-сайтах, также появятся в списке..
Если мы хотим разбить это по определенному IP-адресу, чтобы увидеть, что просматривает один IP-адрес, мы тоже можем это сделать. Используйте комбинированный фильтр http and ip.addr == [IP-адрес] чтобы увидеть HTTP-трафик, связанный с конкретным IP-адресом.
Снова откройте диалоговое окно «Конечные точки», и вы увидите список веб-сайтов, доступ к которым осуществляется по этому конкретному IP-адресу..
Это всего лишь царапина на поверхности того, что вы можете сделать с помощью Wireshark. Вы можете создать гораздо более продвинутые фильтры или даже использовать инструмент «Правила ACL для брандмауэра» из нашего поста о трюках с Wireshark, чтобы легко блокировать типы трафика, которые вы найдете здесь..
