5 Killer Tricks, за да се възползвате максимално от Wireshark

Съдържание:

5 Killer Tricks, за да се възползвате максимално от Wireshark
5 Killer Tricks, за да се възползвате максимално от Wireshark

Видео: 5 Killer Tricks, за да се възползвате максимално от Wireshark

Видео: 5 Killer Tricks, за да се възползвате максимално от Wireshark
Видео: How to create AKS cluster with Mariner Linux - YouTube 2024, Ноември
Anonim
Wireshark има доста хитрости в ръкава си, от улавяне на отдалечен трафик до създаването на правила за защитна стена въз основа на заловени пакети. Прочетете за някои по-съвременни съвети, ако искате да използвате Wireshark като професионалист.
Wireshark има доста хитрости в ръкава си, от улавяне на отдалечен трафик до създаването на правила за защитна стена въз основа на заловени пакети. Прочетете за някои по-съвременни съвети, ако искате да използвате Wireshark като професионалист.

Вече включихме основната употреба на Wireshark, така че не забравяйте да прочетете оригиналната статия за представяне на този мощен инструмент за анализ на мрежата.

Резолюция на името на мрежата

При заснемането на пакети може да се притеснявате, че Wireshark показва само IP адреси. Можете да конвертирате IP адресите в имена на домейни сами, но това не е прекалено удобно.

Wireshark може автоматично да разреши тези IP адреси до имена на домейни, въпреки че тази функция не е активирана по подразбиране. Когато активирате тази опция, винаги ще виждате имена на домейни вместо IP адреси. Недостатъкът е, че Wireshark ще трябва да търси всяко име на домейн, като замърсява записания трафик с допълнителни искания за DNS.
Wireshark може автоматично да разреши тези IP адреси до имена на домейни, въпреки че тази функция не е активирана по подразбиране. Когато активирате тази опция, винаги ще виждате имена на домейни вместо IP адреси. Недостатъкът е, че Wireshark ще трябва да търси всяко име на домейн, като замърсява записания трафик с допълнителни искания за DNS.
Image
Image

Можете да активирате тази настройка, като отворите прозореца с предпочитанията редактиране -> Предпочитания, кликнете върху Резолюция на името панел и кликване върху "Активиране на разрешаването на име на мрежата"Отметка.

Image
Image

Започнете автоматично заснемане

Можете да създадете специален пряк път, използвайки аргументите на командния ред на Wirshark, ако искате да започнете да записвате пакети без забавяне. Ще трябва да знаете номера на мрежовия интерфейс, който искате да използвате, въз основа на поръчката Wireshark показва интерфейсите.

Image
Image

Създайте копие на прекия път на Wireshark, щракнете с десния бутон върху него, отидете в прозореца Properties и променете аргументите на командния ред. Добави - и К до края на командата за бърз достъп, замествайки # с номера на интерфейса, който искате да използвате. Опцията -i определя интерфейса, а опцията -k казва на Wireshark да започне незабавно да заснема.

Ако използвате Linux или друга операционна система, която не работи с Windows, трябва само да създадете пряк път със следната команда или да я стартирате от терминал, за да започнете незабавно да заснемате:
Ако използвате Linux или друга операционна система, която не работи с Windows, трябва само да създадете пряк път със следната команда или да я стартирате от терминал, за да започнете незабавно да заснемате:

wireshark -i # -k

За повече команди за бърз достъп вижте ръководството на Wireshark.

Заснемане на трафик от отдалечени компютри

Wireshark улавя трафика от локалните интерфейси на вашата система по подразбиране, но това не винаги е мястото, от което искате да заснемете. Например, може да искате да уловите трафик от рутер, сървър или друг компютър на друго място в мрежата. Това е мястото, където Wireshark има дистанционно заснемане. Тази функция е достъпна само за Windows в момента - официалната документация на Wireshark препоръчва на потребителите на Linux да използват SSH тунел.

Първо, ще трябва да инсталирате WinPcap на отдалечената система. WinPcap идва с Wireshark, така че не е нужно да инсталирате WinPCap, ако вече сте инсталирали Wireshark на отдалечената система.

След като е внедрен, отворете прозореца Услуги на отдалечения компютър - кликнете върху Старт, въведете services.msc в полето за търсене в менюто "Старт" и натиснете Enter. Намерете Протокол за отдалечено получаване на пакети услуга в списъка и да го стартирате. Тази услуга е деактивирана по подразбиране.

Image
Image

Кликнете върху Опция за заснеманеs в Wireshark, след това изберете отдалечен от полето Интерфейс.

Image
Image

Въведете адреса на отдалечената система и 2002 като пристанище. Трябва да имате достъп до порт 2002 на отдалечената система, за да се свържете, така че може да се наложи да отворите този порт в защитната стена.

Image
Image

След свързването можете да изберете интерфейс на отдалечената система от падащото меню Интерфейс. Кликнете начало след като изберете интерфейса, за да стартирате отдалеченото заснемане.

Image
Image

Wireshark в терминал (TShark)

Ако нямате графичен интерфейс на вашата система, можете да използвате Wireshark от терминал с командата TShark.

Първо, издайте tshark -D команда. Тази команда ще ви даде номерата на мрежовите интерфейси.

Image
Image

Щом разполагате, изпълнете tshark -i # команда, замествайки # с номера на интерфейса, който искате да заснемете.

Image
Image

TShark действа като Wireshark, отпечатвайки трафика, който прихваща към терминала. употреба Ctrl-C когато искате да спрете заснемането.

Отпечатването на пакетите на терминала не е най-полезното поведение. Ако искаме да проверим по-подробно трафика, можем да го заредим в файл, който можем да проверим по-късно. Вместо това използвайте тази команда, за да прехвърлите трафик към файл:

tshark -i # -w filename

Image
Image

TShark няма да ви покаже пакетите при заснемането им, но ще ги преброи, тъй като ги улавя. Можете да използвате досие -> отворено в Wireshark, за да отворите файла за заснемане по-късно.

За повече информация относно опциите на TShark за командния ред вижте нейната страница с ръководства.

Създаване на правила за ACL за защитната стена

Ако сте мрежов администратор, който отговаря за защитна стена и използвате Wireshark, за да се захванете, може да искате да предприемете действия въз основа на трафика, който виждате - може би да блокирате подозрителен трафик. Wireshark на Правила за ACL за защитната стена инструмент генерира командите, които ще трябва да създадете правила за защитната стена на защитната стена.

Първо, изберете пакет, на който искате да създадете правило за защитна стена, като кликнете върху него. След това кликнете върху Инструменти и изберете Правила за ACL за защитната стена.

Image
Image

Използвай продукт за да изберете вида на защитната стена. Wireshark поддържа Cisco IOS, различни видове защитни стени на Linux, включително iptables и защитната стена на Windows.

Image
Image

Можете да използвате филтър за да създадете правило, основаващо се на MAC адреса на мрежата, IP адреса, порта или IP адреса и порт. Възможно е да видите по-малко опции за филтриране в зависимост от продукта на защитната стена.

Image
Image

По подразбиране инструментът създава правило, което отхвърля входящия трафик. Можете да промените поведението на правилото, като премахнете отметката от Входящ или отричам отметки. След като създадете правило, използвайте копие за да го копирате, след което го стартирайте на защитната стена, за да приложите правилото.

Искате ли да напишем нещо конкретно за Wireshark в бъдеще? Уведомете ни в коментарите, ако имате някакви искания или идеи.

Препоръчано: