5 Killer triky, abyste získali co nejvíce z Wireshark
Wireshark má do ruky poměrně málo triků, od zachycení vzdálené komunikace až po vytváření pravidel firewallu založených na zachycených paketů. Přečtěte si další pokročilé tipy, pokud chcete použít Wireshark jako profesionální.
Již jsme se zabývali základním využitím Wiresharku, proto si přečtěte náš původní článek, kde najdete úvod do tohoto výkonného nástroje pro analýzu sítě.
Rozlišení názvu sítě
Při zachycování paketů může být obtěžováno, že Wireshark zobrazuje pouze adresy IP. Adresy IP můžete převést na názvy domén sami, ale to není příliš výhodné.
Služba Wireshark dokáže automaticky vyřešit tyto adresy IP na názvy domén, ačkoli tato funkce není ve výchozím nastavení povolena. Pokud tuto možnost povolíte, zobrazí se namísto adres IP jména domén, kdykoli je to možné. Nevýhodou je, že společnost Wireshark bude muset vyhledávat každý název domény, čímž znečišťuje zachycený provoz s dalšími požadavky DNS.
Toto nastavení můžete povolit otevřením okna předvoleb Upravit -> Předvolby, kliknutím na tlačítko Rozlišení názvu panel a kliknutím na tlačítko "Povolit rozlišení názvu sítě"Zaškrtávací políčko.
Začněte automaticky zachytit
Můžete vytvořit speciální zkratku pomocí argumentů příkazového řádku Wirsharku, pokud chcete začít bezprostředně zachytit pakety. Budete potřebovat znát číslo síťového rozhraní, které chcete používat, na základě objednávky Wireshark zobrazí rozhraní.
Vytvořte kopii zástupce Wireshark, klikněte pravým tlačítkem na něj, přejděte do jeho okna Vlastnosti a změňte argumenty příkazového řádku. Přidat -i # -k na konec zkratky, nahrazení # s číslem rozhraní, které chcete použít. Volba -i určuje rozhraní, zatímco volba -k říká, že Wireshark začne okamžitě zachytit.
Pokud používáte Linux nebo jiný operační systém bez operačního systému Windows, stačí vytvořit zástupce s následujícím příkazem nebo jej spustit z terminálu a začít okamžitě zachytit:
wireshark -i # -k
Další zkratky pro příkazové řádky naleznete v příručce Wireshark.
Zachycování provozu ze vzdálených počítačů
Služba Wireshark zachycuje ve výchozím nastavení provoz z lokálních rozhraní vašeho systému, ale není to vždy místo, ze kterého chcete zachytit. Můžete například zachytit provoz z routeru, serveru nebo jiného počítače na jiném místě v síti. Zde se objevuje funkce Wireshark pro vzdálené zachycení. Tato funkce je k dispozici pouze v systému Windows - oficiální dokumentace společnosti Wireshark doporučuje, aby uživatelé systému Linux používali tunel SSH.
Za prvé, budete muset na vzdáleném systému nainstalovat WinPcap. WinPcap je dodáván s Wireshark, takže nemusíte instalovat WinPCap, pokud již máte nainstalován Wireshark na vzdáleném systému.
Poté, co je zapotřebí, otevřete okno Služby na vzdáleném počítači - klepněte na tlačítko Start a zadejte services.msc do vyhledávacího pole v nabídce Start a stiskněte klávesu Enter. Vyhledejte Vzdálený protokol zachycení paketů v seznamu a spusťte ji. Tato služba je ve výchozím nastavení zakázána.
Klepněte na tlačítko Možnost zachycenís v Wireshark, pak vyberte Dálkový z pole Rozhraní.
Zadejte adresu vzdáleného systému a 2002 jako port. Abyste se mohli připojit k portu 2002 na vzdáleném systému, musíte tento port otevřít v bráně firewall.
Po připojení můžete vybrat rozhraní na vzdáleném systému z rozevíracího seznamu Rozhraní. Klikněte na Start po výběru rozhraní pro spuštění vzdáleného snímání.
Wireshark v terminálu (TShark)
Pokud v systému nemáte grafické rozhraní, můžete použít Wireshark z terminálu pomocí příkazu TShark.
Nejprve zadejte tshark -D příkaz. Tento příkaz vám poskytne čísla vašich síťových rozhraní.
Jakmile to máte, spusťte tshark -i # příkaz #, nahradit # číslem rozhraní, které chcete zachytit.
TShark se chová jako Wireshark a tiskne přenos, který zachycuje do terminálu. Použití Ctrl-C kdy chcete zastavit zachycení.
Tisk paketů do terminálu není nejúčinnějším chováním. Pokud chceme podrobněji zkontrolovat provoz, můžeme jej TShark odložit do souboru, který můžeme později prohlédnout. Použijte tento příkaz k výpisu provozu do souboru:
tshark -i # -w název souboru
TShark vám nezobrazí pakety, protože jsou zachyceny, ale počítá je, protože je zachycuje. Můžete použít Soubor -> otevřeno v aplikaci Wireshark otevřete soubor zachycení později.
Další informace o možnostech příkazové řádky společnosti TShark naleznete v manuálu.
Vytvoření pravidel ACL brány firewall
Pokud jste správce sítě pověřený firewallem a používáte Wireshark k pokousání, možná budete chtít podniknout kroky založené na návštěvě, kterou vidíte - třeba blokovat nějakou podezřelou návštěvnost. Wireshark je Pravidla ACL pro firewall nástroj generuje příkazy, které budete potřebovat k vytvoření pravidel brány firewall ve firewallu.
Nejprve vyberte paket, který chcete vytvořit pravidlo brány firewall založené na jeho kliknutí. Poté klikněte na tlačítko Nástroje a vyberte Pravidla ACL pro firewall.
Použijte Produkt vyberte typ brány firewall. Wireshark podporuje Cisco IOS, různé typy firewallů pro Linux, včetně iptables a bránu firewall systému Windows.
Můžete použít Filtr box pro vytvoření pravidla založeného buď na adrese MAC, adrese IP, portu nebo na adrese IP a portu. V závislosti na produktu brány firewall se může zobrazit méně možností filtru.
Ve výchozím nastavení nástroj vytvoří pravidlo, které odmítá příchozí přenos. Chování pravidla můžete změnit zrušením zaškrtnutí Příchozí nebo Odmítnout zaškrtávací políčka. Po vytvoření pravidla použijte kopírovat , abyste jej mohli zkopírovat, a spusťte jej na firewallu, abyste mohli použít pravidlo.
Chtěli byste v budoucnu napsat něco konkrétního o společnosti Wireshark? Dejte nám vědět v komentářích, pokud máte nějaké požadavky nebo nápady.
