Wireshark are destul de multe trucuri în mânecă, de la captarea traficului la distanță pentru a crea reguli de firewall bazate pe pachete capturate. Citiți mai multe sfaturi mai avansate dacă doriți să utilizați Wireshark ca pro.
Am acoperit deja utilizarea de bază a serviciului Wireshark, așa că citiți articolul original pentru o introducere în acest instrument puternic de analiză a rețelei.
În timp ce capturați pachete, s-ar putea să vă deranjați că Wireshark afișează numai adresele IP. Puteți converti adresele IP pe nume de domenii, dar acest lucru nu este prea convenabil.
Wireshark poate rezolva automat aceste adrese IP pe nume de domenii, deși această funcție nu este activată în mod implicit. Când activați această opțiune, veți vedea denumiri de domenii în loc de adrese IP ori de câte ori este posibil. Dezavantajul este că Wireshark va trebui să caute fiecare nume de domeniu, poluând traficul capturat cu cereri suplimentare de DNS.
Puteți activa această setare prin deschiderea ferestrei de preferințe Editați | × -> Preferințe, făcând clic pe Rezoluția numelui și faceți clic pe butonul "Activați Rezoluția numelui rețelei" Caseta de bifat.
Puteți crea o scurtătură specială utilizând argumentele liniei de comandă a lui Wirshark dacă doriți să începeți să capturați pachetele fără întârziere. Veți avea nevoie să aflați numărul interfeței de rețea pe care doriți să o utilizați, pe baza comenzii Wireshark afișează interfețele.
Creați o copie a comenzii rapide a lui Wireshark, faceți clic dreapta pe el, accesați fereastra Proprietăți și modificați argumentele liniei de comandă. Adăuga -i # -k la sfârșitul comenzii rapide, înlocuind # cu numărul interfeței pe care doriți să o utilizați. Opțiunea -i specifică interfața, în timp ce opțiunea -k indică Wireshark să înceapă imediat să capteze.
Dacă utilizați Linux sau un alt sistem de operare care nu este Windows, creați o comandă rapidă cu următoarea comandă sau rulați-o dintr-un terminal pentru a începe să capturați imediat:
wireshark -i # -k
Pentru mai multe comenzi rapide de linii de comandă, verificați pagina manualului Wireshark.
Wireshark captează traficul de la interfețele locale ale sistemului dvs. în mod prestabilit, dar aceasta nu este întotdeauna locația pe care doriți să o capturați. De exemplu, este posibil să doriți să capturați traficul de pe un router, server sau alt computer într-o altă locație din rețea. Aici este disponibilă caracteristica Wireshark de captare la distanță. Această caracteristică este disponibilă numai pe Windows în prezent - documentația oficială Wireshark recomandă ca utilizatorii Linux să utilizeze un tunel SSH.
În primul rând, va trebui să instalați WinPcap pe sistemul de la distanță. WinPcap vine cu Wireshark, deci nu trebuie să instalați WinPCap dacă aveți deja Wireshark instalat pe sistemul de la distanță.
După ce este isntalled, deschideți fereastra Services de pe computerul la distanță - faceți clic pe Start, tastați services.msc în caseta de căutare din meniul Start și apăsați Enter. Localizați Remote Protocol Capture Protocol serviciu din listă și porniți-l. Acest serviciu este dezactivat în mod implicit.
Apasă pe Opțiunea de captares în Wireshark, apoi selectați la distanta din caseta Interface.
Introduceți adresa sistemului de la distanță și 2002 ca port. Trebuie să aveți acces la portul 2002 la sistemul de la distanță pentru a vă conecta, deci este posibil să fie nevoie să deschideți acest port într-un paravan de protecție.
După conectare, puteți selecta o interfață pe sistemul de la distanță din caseta derulantă Interfață. Clic start după selectarea interfeței pentru pornirea capturii de la distanță.
Dacă nu aveți o interfață grafică în sistemul dvs., puteți utiliza Wireshark de la un terminal cu comanda TShark.
Mai întâi, emiteți tshark -D comanda. Această comandă vă va oferi numerele interfețelor de rețea.
Odată ce ai, rulați tshark -i # comanda, înlocuind # cu numărul interfeței pe care doriți să o capturați.
TShark acționează ca Wireshark, imprimând traficul pe care îl captează terminalului. Utilizare Ctrl-C când doriți să opriți capturarea.
Imprimarea pachetelor către terminal nu este cel mai util comportament. Dacă vrem să examinăm traficul în detaliu, putem să-l lămurim pe TShark într-un fișier pe care îl putem inspecta mai târziu. Utilizați această comandă pentru a anula traficul către un fișier:
tshark -i # -w numele fișierului
TShark nu vă va arăta pachetele în momentul în care sunt capturate, dar le va conta pe măsură ce le capturează. Puteți utiliza funcția Fişier -> Deschis în Wireshark pentru a deschide fișierul de captură mai târziu.
Pentru mai multe informații despre opțiunile din linia de comandă TShark, consultați pagina manuală.
Dacă sunteți un administrator de rețea responsabil cu un paravan de protecție și utilizați Wireshark pentru a vă împrăștia, poate doriți să luați măsuri bazate pe traficul pe care îl vedeți - poate pentru a bloca traficul suspect. lui Wireshark Reguli ACL pentru firewall instrument generează comenzile de care aveți nevoie pentru a crea reguli firewall pe firewall-ul dvs.
Mai întâi, selectați un pachet pe care doriți să creați o regulă de firewall bazat pe făcând clic pe el. După aceea, faceți clic pe Unelte meniu și selectați Reguli ACL pentru firewall.
Folosește Produs pentru a selecta tipul de firewall. Wireshark suportă Cisco IOS, diferite tipuri de firewall Linux, inclusiv iptables și paravanul de protecție Windows.
Puteți utiliza funcția Filtru pentru a crea o regulă bazată fie pe adresa MAC a sistemului, pe adresa IP, pe port, fie pe adresa IP și pe port. Este posibil să observați mai puține opțiuni de filtrare, în funcție de produsul dvs. de firewall.
În mod implicit, instrumentul creează o regulă care neagă traficul de intrare. Puteți modifica comportamentul regulii prin debifarea opțiunii Intrare sau tăgădui casetele de selectare.După ce ați creat o regulă, utilizați Copie pentru a-l copia, apoi rulați-l pe paravanul de protecție pentru a aplica regula.
Vrei să scriem în viitor ceva specific despre Wireshark? Spuneți-ne în comentariile dvs. dacă aveți orice solicitări sau idei.
