Kā identificēt tīkla ļaunprātīgu izmantošanu ar Wireshark

Wireshark ir Šveices armijas tīkla analīzes rīku nazis. Vai jūs meklējat peer-to-peer satiksmi tīklā vai vienkārši vēlaties redzēt, kādas vietnes piekļūst konkrētai IP adresei, Wireshark var strādāt jums.

Mēs iepriekš esam ievadījuši Wireshark. un šis ieraksts balstās uz mūsu iepriekšējām ziņām. Ņemiet vērā, ka jums ir jāiegūst vieta tīklā, kur var redzēt pietiekamu tīkla datplūsmu. Ja veicat uztveršanu vietējā darbstacijā, jūs, visticamāk, neredzat lielāko daļu satiksmes tīklā. Wireshark var izdarīt notveršanu no attālinātas vietas - skatiet mūsu Wireshark triku posteni, lai iegūtu vairāk informācijas par to.

Peer-to-Peer satiksmes noteikšana

Wireshark protokola slejā tiek parādīts katra paketes protokola veids. Ja skatāties Wireshark uztveršanu, jūs varat redzēt BitTorrent vai citu peer-to-peer satiksmi, kas tajā iekļūst.

Jūs varat redzēt, kādi protokoli tiek izmantoti jūsu tīklā no Protokola hierarhija rīks, kas atrodas zem Statistika izvēlnē.

Šis logs parāda tīkla izmantošanas sadalījumu pa protokoliem. No šejienes mēs redzam, ka gandrīz 5 procenti tīklā esošo pakešu ir BitTorrent paketes. Tas neizklausās daudz, bet BitTorrent izmanto arī UDP paketes. Arī gandrīz 25 procenti no paketēm, kas klasificētas kā UDP datu paketes, ir arī BitTorrent satiksme.

Mēs varam apskatīt tikai BitTorrent paketes, ar peles labo pogu noklikšķinot uz protokola un piemērojot to kā filtru. To var izdarīt arī citu veidu peer-to-peer satiksmei, kas var būt, piemēram, Gnutella, eDonkey vai Soulseek.

Izmantojot opciju Lietot filtru, tiek izmantots filtrs.bittorrent.“Varat izlaist labo klikšķi izvēlni un apskatīt protokola datplūsmu, ierakstot nosaukumu tieši filtra lodziņā.

No filtrētās satiksmes redzams, ka vietējā IP adrese 192.168.1.64 izmanto BitTorrent.

Lai apskatītu visas IP adreses, izmantojot BitTorrent, mēs varam izvēlēties Galapunkti iekš Statistika izvēlnē.

Noklikšķiniet uz IPv4 cilne un iespējojietIerobežot, lai parādītu filtru”Izvēles rūtiņa. Jūs redzēsiet gan attālās, gan vietējās IP adreses, kas saistītas ar BitTorrent datplūsmu. Vietējās IP adreses jāparādās saraksta augšdaļā.

Ja vēlaties redzēt dažādus protokolu veidus, Wireshark atbalsta un to filtru nosaukumus, izvēlieties Iespējoti protokoli saskaņā Analizēt izvēlnē.

Varat sākt rakstīt protokolu, lai to meklētu logā Enabled.

Vietnes piekļuves uzraudzība

Tagad, kad mēs zinām, kā pārtraukt satiksmi pa protokolu, mēs varam ievadīt “httpLodziņā Filtrs, lai redzētu tikai HTTP datplūsmu. Ja ir atzīmēta opcija “Iespējot tīkla nosaukuma izšķirtspēju”, mēs redzēsim to tīmekļa vietņu nosaukumus, kuri tiek izmantoti tīklā.

Vēlreiz mēs varam izmantot Galapunkti iespēja Statistika izvēlnē.

Noklikšķiniet uz IPv4 cilne un iespējojietIerobežot, lai parādītu filtru"Vēlreiz atzīmējiet izvēles rūtiņu. Jums vajadzētu arī nodrošināt, kaNosaukuma izšķirtspēja"Izvēles rūtiņa ir iespējota vai redzēsiet tikai IP adreses.

No šejienes mēs varam redzēt vietnes, kurās piekļūt. Sarakstā parādīsies arī reklāmu tīkli un trešo pušu tīmekļa vietnes, kurās tiek izmantoti skripti citās tīmekļa vietnēs.

Ja mēs vēlamies to pārtraukt ar noteiktu IP adresi, lai redzētu, kāda ir viena IP adrese, mēs to varam izdarīt. Izmantojiet kombinēto filtru http un ip.addr == [IP adrese] lai redzētu HTTP datplūsmu, kas saistīta ar konkrētu IP adresi.

Vēlreiz atveriet dialoglodziņu Galapunkti un redzēsiet to vietņu sarakstu, kurām ir pieejama šī konkrētā IP adrese.

Tas viss ir tikai skrāpis virsmas, ko jūs varat darīt ar Wireshark. Varat izveidot daudz uzlabotus filtrus vai pat izmantot Firewall ACL noteikumu rīku no mūsu Wireshark triku ziņojuma, lai viegli bloķētu satiksmes veidus, ko atradīsiet šeit.