5 Killer triki, lai iegūtu vislabāko no Wireshark
Wireshark ir diezgan daudz triku savās piedurknēs, sākot no attālās satiksmes uztveršanas līdz ugunsmūra noteikumu izveidei, pamatojoties uz uzņemtajiem pakešiem. Ja vēlaties izmantot Wireshark kā profesionālu, lasiet tālākus padomus.
Mēs jau esam iekļāvuši Wireshark pamata lietošanu, tāpēc noteikti izlasiet mūsu sākotnējo rakstu, lai iepazīstinātu ar šo jaudīgo tīkla analīzes rīku.
Tīkla nosaukuma izšķirtspēja
Saglabājot paketes, jūs varētu būt kaitināti, ka Wireshark parāda tikai IP adreses. Jūs varat konvertēt IP adreses uz domēnu nosaukumiem, bet tas nav pārāk ērti.
Wireshark var automātiski atrisināt šīs IP adreses uz domēna nosaukumiem, lai gan šī funkcija pēc noklusējuma nav iespējota. Ieslēdzot šo opciju, IP adreses vietā, kad vien iespējams, redzēsiet domēna vārdus. Negatīvie ir tas, ka Wireshark būs jāmeklē katrs domēna vārds, piesārņojot notverto datplūsmu ar papildu DNS pieprasījumiem.
Šo iestatījumu var iespējot, atverot preferenču logu Rediģēt -> Preferences, noklikšķinot uz Nosaukuma izšķirtspēja panelis un noklikšķinot uzIespējot tīkla nosaukuma izšķirtspēju”Izvēles rūtiņa.
Sāciet automātisku uzņemšanu
Varat izveidot īpašu īsceļu, izmantojot Wirshark komandrindas argumentus, ja vēlaties nekavējoties sākt pakotņu uzņemšanu. Jums būs jāzina tīkla interfeisa numurs, kuru vēlaties izmantot, pamatojoties uz pasūtījumu, ko Wireshark parāda saskarnēm.
Izveidojiet Wireshark īsceļa kopiju, ar peles labo pogu noklikšķiniet uz tā, dodieties uz tās Properties logu un mainiet komandrindas argumentus. Pievienot -i # -k uz īsceļa beigām, aizstājot # ar to interfeisa numuru, kuru vēlaties izmantot. -I opcija nosaka saskarni, savukārt -k opcija Wireshark stāsta, lai nekavējoties sāktu notveršanu.
Ja izmantojat Linux vai citu operētājsistēmu, kas nav Windows, vienkārši izveidojiet saīsni ar šādu komandu vai palaidiet to no termināļa, lai sāktu tūlītēju uzņemšanu:
wireshark -i # -k
Lai iegūtu vairāk komandrindas saīsnes, skatiet Wireshark rokasgrāmatu.
Satiksmes uztveršana no attāliem datoriem
Wireshark pēc noklusējuma fiksē datplūsmu no jūsu sistēmas vietējām saskarnēm, taču tas ne vienmēr ir vieta, no kuras vēlaties noņemt. Piemēram, varat uztvert satiksmes plūsmu no maršrutētāja, servera vai cita datora citā vietā tīklā. Tajā ir Wireshark tālvadības uztveršanas funkcija. Šī funkcija ir pieejama tikai operētājsistēmā Windows - Wireshark oficiālā dokumentācija iesaka Linux lietotājiem izmantot SSH tuneli.
Pirmkārt, tālvadības sistēmā ir jāinstalē WinPcap. WinPcap nāk ar Wireshark, tāpēc jums nav jāinstalē WinPCap, ja tālvadības sistēmā jau ir instalēta Wireshark.
Pēc tam, kad tas ir izslēgts, attālā datora logā atveriet pakalpojumu - noklikšķiniet uz Sākt, ierakstiet services.msc izvēlnē Sākt meklēšanas lodziņā un nospiediet taustiņu Enter. Atrodiet Tālvadības pakešu uztveršanas protokols pakalpojumu un sāciet to. Šis pakalpojums pēc noklusējuma ir atspējots.
Noklikšķiniet uz Uzņemšanas opcijas saite Wireshark, pēc tam atlasiet Tālvadība no interfeisa lodziņa.
Ievadiet attālās sistēmas adresi un 2002 kā osta. Lai izveidotu savienojumu, jums ir jābūt piekļuvei tālvadības sistēmas 2002. gada ostai, tāpēc, iespējams, būs nepieciešams atvērt šo portu ugunsmūri.
Pēc savienojuma izveides no interfeisa nolaižamā saraksta varat atlasīt saskarni tālvadības sistēmā. Klikšķis Sākt pēc interfeisa izvēles, lai sāktu attālo uztveršanu.
Wireshark terminālā (TShark)
Ja jūsu sistēmā nav grafiskā saskarnes, varat izmantot Wireshark no termināla ar komandu TShark.
Pirmkārt, izsniedziet tshark -D komandu. Šī komanda sniegs jūsu tīkla saskarņu numurus.
Kad būsiet, palaidiet tshark -i # komandu, nomainot # ar tā saskarnes numuru, kuru vēlaties ierakstīt.
TShark darbojas kā Wireshark, drukājot to, ko tā uztver terminālim. Izmantot Ctrl-C kad vēlaties pārtraukt uztveršanu.
Iepakojumu drukāšana terminālim nav visnoderīgākā rīcība. Ja mēs vēlamies detalizētāk pārbaudīt datplūsmu, mēs varam, ka TShark to var izmest failā, kuru mēs varam pārbaudīt vēlāk. Tā vietā izmantojiet šo komandu, lai izgrieztu datplūsmu uz failu:
tshark -i # -w faila nosaukums
TShark neparādīs jums paketes, tiklīdz tās tiek uzņemtas, bet tas tiks skaitīts, kad tās tiks uztvertas. Varat izmantot Fails -> Atvērt opcija Wireshark, lai vēlāk atvērtu uztveršanas failu.
Plašāku informāciju par TShark komandrindas opcijām skatiet tās rokasgrāmatas lapā.
Firewall ACL noteikumu izveide
Ja esat tīkla administrators, kurš ir atbildīgs par ugunsmūri, un jūs izmantojat Wireshark, lai ieloktu apkārt, iespējams, vēlēsities rīkoties, pamatojoties uz redzamo satiksmi - iespējams, lai bloķētu kādu aizdomīgu satiksmi. Wireshark's Firewall ACL noteikumi rīks ģenerē komandas, kas nepieciešams ugunsmūra noteikumiem ugunsmūrī.
Pirmkārt, izvēlieties paketi, kurai vēlaties izveidot ugunsmūra noteikumu, pamatojoties uz to. Pēc tam noklikšķiniet uz Rīki izvºlieties un izvºlieties Firewall ACL noteikumi.
Izmantojiet Produkts izvēlni, lai izvēlētos ugunsmūra veidu. Wireshark atbalsta Cisco IOS, dažāda veida Linux ugunsmūri, tostarp iptables, un Windows ugunsmūri.
Varat izmantot Filtrēt lodziņu, lai izveidotu noteikumu, pamatojoties uz sistēmas MAC adresi, IP adresi, portu vai gan IP adresi, gan portu. Atkarībā no ugunsmūra produkta var redzēt mazāk filtru opciju.
Pēc noklusējuma rīks izveido noteikumu, kas liedz ienākošo datplūsmu. Noteikumu uzvedību var mainīt, noņemot atzīmi Ienākošais vai Liegt izvēles rūtiņas. Kad esat izveidojis noteikumu, izmantojiet Kopēt pogu, lai to kopētu, tad palaidiet to ugunsmūrī, lai piemērotu šo noteikumu.
Vai vēlaties, lai mēs nākotnē rakstītu kaut ko īpašu par Wireshark? Informējiet mūs komentāros, ja jums ir kādi pieprasījumi vai idejas.