Преди това запознахме с Wireshark. и тази публикация се основава на предишните ни публикации. Имайте предвид, че трябва да улавяте на място в мрежата, където можете да видите достатъчно трафик в мрежата. Ако правите заснемане на местната работна станция, вероятно няма да видите по-голямата част от трафика в мрежата. Wireshark може да прави снимки от отдалечено място - разгледайте нашата публикация за трикове Wireshark за повече информация за това.
Идентифициране на трафика от връстници към връстници
Протоколната колона на Wireshark показва типа протокол за всеки пакет. Ако разглеждате заснемането на Wireshark, може да видите BitTorrent или друг трафик от тип peer-to-peer.
Можете да видите точно какви протоколи се използват в мрежата ви от Йерархия на протокола инструмент, намиращ се под Статистикаменю.
С помощта на опцията "Приложи филтър" се прилага филтърът "BitTorrent."Можете да пропуснете менюто с десен бутон и да видите трафика на протокола, като въведете името му директно в полето Филтър.
От филтрирания трафик можем да видим, че локалният IP адрес на 192.168.1.64 използва BitTorrent.
За да видите всички IP адреси, използващи BitTorrent, можем да изберем Endpoints в Статистика меню.
Кликнете върху върху IPv4 и активирайте "Ограничете показването на филтъра"Отметка. Ще видите отдалечения и локалния IP адрес, свързани с трафика BitTorrent. Местните IP адреси трябва да се показват в горната част на списъка.
Ако искате да видите различните типове протоколи, които Wireshark поддържа и техните имена на филтри, изберете Активирани протоколи под Анализирам меню.
Мониторинг на Достъп до Сай
Сега, когато знаем как да разбием трафика по протокол, можем да напишем "HTTP"В полето Филтър, за да видите само HTTP трафик. С отметката в квадратчето "Разрешаване на разрешаването на името на мрежата", ще видите имената на уебсайтовете, до които се осъществява достъп в мрежата.
Още веднъж можем да използваме Endpoints опция в Статистика меню.
Кликнете върху върху IPv4 и активирайте "Ограничете показването на филтъра"Отново. Трябва също така да гарантирате, че "Резолюция на името"Е активирано или ще виждате само IP адреси.
Оттук можем да видим достъпните уебсайтове. Рекламните мрежи и уебсайтовете на трети страни, които поддържат скриптове, използвани в други уебсайтове, също ще се показват в списъка.
Ако искаме да прекъснем това с конкретен IP адрес, за да видим какво се разглежда от един IP адрес, можем да направим това. Използвайте комбинирания филтър http и ip.addr == [IP адрес] за да видите HTTP трафик, свързан с конкретен IP адрес.
Това е само почервене на повърхността на това, което можете да направите с Wireshark. Бихте могли да изградите много по-модерни филтри или дори да използвате инструмента за правила за ACL правила на защитната стена от публикацията за трикове Wireshark, за да блокирате лесно типовете трафик, които ще намерите тук.
