5 Killer triky, aby ste získali čo najviac Wireshark
Wireshark má do ruky pomerne málo trikov, od zachytenia vzdialenej návštevnosti až po vytvorenie pravidiel brány firewall založených na zachytávaných paketoch. Ak chcete použiť funkciu Wireshark ako profesionál, prečítajte si ďalšie tipy.
Už sme sa zaoberali základným používaním Wiresharku, takže si prečítajte náš pôvodný článok, kde nájdete úvod do tohto výkonného nástroja analýzy siete.
Rozlíšenie názvu siete
Pri zachytení paketov môžete byť obťažovaní, že Wireshark zobrazuje len adresy IP. Môžete previesť adresy IP na názvy domén sami, ale to nie je príliš pohodlné.
Služba Wireshark dokáže automaticky vyriešiť túto adresu IP na názvy domén, hoci táto funkcia nie je predvolene povolená. Keď povolíte túto možnosť, uvidíte vždy, keď je to možné, názvy domén namiesto adries IP. Nevýhodou je, že spoločnosť Wireshark bude musieť vyhľadávať každý názov domény a znečisťovať zachytenú návštevnosť s ďalšími požiadavkami DNS.
Toto nastavenie môžete povoliť otvorením okna predvolieb editovať -> Preferencie, kliknutím na tlačidlo Rozlíšenie mena panel a kliknutím na tlačidlo "Povoliť rozlíšenie názvu siete"Začiarkavacie políčko.
Začať automatické zachytenie
Pomocou argumentov príkazového riadka Wirsharku môžete vytvoriť špeciálnu skratku, ak chcete bezodkladne zachytiť pakety. Budete potrebovať vedieť číslo sieťového rozhrania, ktoré chcete použiť, na základe objednávky Wireshark zobrazuje rozhrania.
Vytvorte kópiu skratky Wireshark, kliknite naň pravým tlačidlom myši, prejdite do okna Vlastnosti a zmeňte argumenty príkazového riadku. pridať -i # -k na konci skratky, nahradiť # s číslom rozhrania, ktoré chcete použiť. Voľba -i špecifikuje rozhranie, zatiaľ čo voľba -k informuje Wireshark, aby okamžite spustil zaznamenávanie.
Ak používate Linux alebo iný operačný systém bez operačného systému Windows, stačí vytvoriť skratku s nasledujúcim príkazom alebo ho spustiť z terminálu, aby ste okamžite spustili zachytenie:
wireshark -i # -k
Ďalšie skratky príkazového riadka nájdete v manuálovej stránke Wireshark.
Zachytenie prevádzky zo vzdialených počítačov
Služba Wireshark automaticky zachytáva návštevnosť z miestnych rozhraní vášho systému, ale nie vždy to miesto, z ktorého chcete zachytiť. Môžete napríklad zachytiť návštevnosť z routeru, servera alebo iného počítača na inom mieste v sieti. Toto je funkcia vzdialeného snímania Wireshark. Táto funkcia je k dispozícii iba v systéme Windows - oficiálna dokumentácia spoločnosti Wireshark odporúča, aby používatelia Linuxu používali tunel SSH.
Po prvé, budete musieť nainštalovať program WinPcap na vzdialený systém. WinPcap je dodávaný s Wireshark, takže nemusíte inštalovať program WinPCap, ak už máte Wireshark nainštalovaný na vzdialenom systéme.
Po jeho spustení otvorte okno Služby na vzdialenom počítači - kliknite na tlačidlo Štart a napíšte services.msc do vyhľadávacieho poľa v ponuke Štart a stlačte kláves Enter. Vyhľadajte Protokol diaľkového paketového snímania službu v zozname a spustite ju. Táto služba je v predvolenom nastavení zakázaná.
Kliknite na tlačidlo Možnosť zachytenias v Wireshark a potom vyberte diaľkový z poľa Rozhranie.
Zadajte adresu vzdialeného systému a 2002 ako port. Aby ste sa mohli pripojiť k portu 2002 na vzdialenom systéme, musíte otvoriť tento port v bráne firewall.
Po pripojení môžete vybrať rozhranie na vzdialenom systéme z rozbaľovacej ponuky Rozhranie. kliknite štart po výbere rozhrania na spustenie diaľkového snímania.
Wireshark v termináli (TShark)
Ak v systéme nemáte grafické rozhranie, môžete použiť Wireshark z terminálu pomocou príkazu TShark.
Najskôr vydajte tshark -D Príkaz. Tento príkaz vám dá čísla vašich sieťových rozhraní.
Akonáhle budete mať, spustite tshark -i # príkaz, ktorý nahradí číslo # s číslom rozhrania, ktoré chcete zachytiť.
TShark pôsobí ako Wireshark, tlačenie prenosu, ktorý zachytáva do terminálu. použitie Ctrl-C keď chcete zastaviť snímanie.
Tlač paketov do terminálu nie je najužitočnejším spôsobom. Ak chceme detailnejšie prezrieť prevádzku, môžeme TShark vyložiť do súboru, ktorý môžeme skontrolovať neskôr. Namiesto toho použite tento príkaz na výpis návštevnosti do súboru:
tshark -i # -w názov súboru
TShark vám nezobrazí balíky, pretože sú zachytené, ale spočítajú ich, pretože ich zachytávajú. Môžete použiť súbor -> Otvorené vo Wireshark, aby ste neskôr otvorili súbor na snímanie.
Ďalšie informácie o možnostiach príkazového riadku spoločnosti TShark nájdete na stránke manuálu.
Vytvorenie pravidiel ACL brány firewall
Ak ste správcom siete, ktorý má na starosti bránu firewall a používate službu Wireshark, aby ste sa pokúšali, môžete podniknúť kroky na základe návštevnosti, ktorú vidíte - možno blokovať nejakú podozrivú prevádzku. Wireshark je Pravidlá ACL pre firewall nástroj generuje príkazy, ktoré budete potrebovať na vytvorenie pravidiel brány firewall v bráne firewall.
Najprv vyberte paket, ktorý chcete vytvoriť pravidlo brány firewall založené na jeho kliknutí. Potom kliknite na tlačidlo náradie a vyberte položku Pravidlá ACL pre firewall.
Použi výrobok vyberte typ brány firewall. Spoločnosť Wireshark podporuje platformy Cisco IOS, rôzne typy firewallov systému Linux vrátane protokolu iptables a brány firewall systému Windows.
Môžete použiť filter Ak chcete vytvoriť pravidlo založené buď na MAC adrese, IP adrese, portu alebo na adrese IP a portu. V závislosti od produktu brány firewall sa môže zobraziť menej filtrov.
Predvolene nástroj vytvorí pravidlo, ktoré odmieta vstupnú návštevnosť. Chovanie pravidiel môžete upraviť zrušením začiarknutia prichádzajúci alebo poprieť zaškrtávacie políčka. Po vytvorení pravidla použite kópie stlačte tlačidlo na jeho kopírovanie a potom ho spustite na firewall, aby ste použili pravidlo.
Chcete, aby sme v budúcnosti napísali niečo konkrétne o Wireshark? Dajte nám vedieť v komentároch, ak máte akékoľvek požiadavky alebo nápady.