Ako zistiť zneužitie siete pomocou Wireshark

Wireshark je nôž švajčiarskej armády nástrojov analýzy siete. Či už hľadáte návštevnosť typu peer-to-peer v sieti, alebo chcete vidieť, na ktoré webové stránky pristupuje konkrétna adresa IP, Wireshark môže pracovať pre vás.

Predtým sme uviedli úvod do služby Wireshark. a tento príspevok vychádza z našich predchádzajúcich príspevkov. Majte na pamäti, že musíte zachytiť na mieste v sieti, kde vidíte dostatok sieťovej prevádzky. Ak vykonávate snímanie na miestnej pracovnej stanici, pravdepodobne nebudete vidieť väčšinu návštevnosti v sieti. Wireshark dokáže zachytávať zo vzdialeného miesta - pozrite si náš príspevok triky Wireshark a získajte viac informácií o tom.

Identifikácia návštevnosti peer-to-peer

Stĺpec protokolu Wireshark zobrazuje typ protokolu pre každý paket. Ak sa pozeráte na snímanie Wireshark, môže sa v ňom vyskytovať BitTorrent alebo iná komunikácia typu peer-to-peer.

Môžete vidieť, aké protokoly sa v sieti používajú Hierarchia protokolov nástroj, umiestnený pod štatistika Ponuka.

Toto okno zobrazuje rozpis používania siete podľa protokolu. Odtiaľ môžeme vidieť, že takmer 5 percent paketov v sieti sú pakety BitTorrent. To neznie tak moc, ale BitTorrent tiež používa pakety UDP. Takmer 25 percent paketov klasifikovaných ako UDP dátové pakety je tu tiež BitTorrent.

Môžeme zobraziť iba pakety BitTorrent tak, že klikneme pravým tlačidlom na protokol a použijeme ho ako filter. Môžete urobiť to isté pre iné typy peer-to-peer komunikácie, ktoré môžu byť prítomné, napríklad Gnutella, eDonkey alebo Soulseek.

Použitím možnosti Apply Filter sa použije filter "bittorrent."Môžete preskočiť menu s pravým kliknutím a zobraziť prevádzku protokolu zadaním jeho názvu priamo do poľa Filter.

Z filtrovanej návštevnosti môžeme vidieť, že lokálna IP adresa 192.168.1.64 používa BitTorrent.

Ak chcete zobraziť všetky adresy IP pomocou BitTorrentu, môžeme vybrať Endpoints v štatistika Ponuka.

Kliknutím na tlačidlo prejdete na IPv4 kartu a povoľte "Obmedziť zobrazenie filtra"Začiarkavacie políčko. Zobrazia sa vzdialené aj lokálne adresy IP spojené s návštevnosťou BitTorrent. Miestne IP adresy by sa mali objaviť v hornej časti zoznamu.

Ak chcete vidieť rôzne typy protokolov podporovaných protokolom Wireshark a ich názvy filtrov, vyberte položku Povolené protokoly pod analyzovať Ponuka.

Môžete začať písať protokol na vyhľadanie v okne Enabled Protocols.

Monitorovanie prístupu k webovým stránkam

Teraz, keď vieme, ako prelomiť návštevnosť podľa protokolu, môžeme napísať "http"Do poľa Filtrovať sa zobrazuje iba návštevnosť protokolu HTTP. Ak je začiarknutá možnosť Povoliť rozlíšenie názvu siete, uvidíme názvy webových stránok, ku ktorým sa pristupuje v sieti.

Opäť môžeme použiť Endpoints možnosť v štatistika Ponuka.

Kliknutím na tlačidlo prejdete na IPv4 kartu a povoľte "Obmedziť zobrazenie filtra"Znovu začiarkavacie políčko. Mali by ste tiež zabezpečiť, aby "Rozlíšenie mena"Je povolené alebo uvidíte len adresy IP.

Odtiaľ môžeme vidieť webové stránky, ktoré sú prístupné. V zozname sa tiež zobrazia reklamné siete a webové stránky tretích strán, ktoré obsahujú skripty používané na iných webových stránkach.

Ak chceme toto porušiť pomocou konkrétnej adresy IP, aby sme videli, čo prezerá jedna IP adresa, môžeme to urobiť aj my. Použite kombinovaný filter http a ip.addr == [IP adresa] zobraziť návštevnosť HTTP priradenú k určitej IP adrese.

Otvorte znova dialógové okno Koncové body a uvidíte zoznam webových stránok, ku ktorým má táto špecifická IP adresa prístup.

To je všetko len poškriabanie povrchu toho, čo môžete robiť s Wireshark. Mohli by ste vytvoriť oveľa pokročilejšie filtre alebo dokonca použiť nástroj Pravidlá ACL pre firewall z nášho príspevku na triky Wireshark, aby ste ľahko zablokovali typy návštevnosti, ktoré nájdete tu.