Jak identifikovat zneužití sítě pomocí Wireshark
Wireshark je švýcarský nůž síťových analytických nástrojů. Ať už hledáte síťovou komunikaci ve vaší síti nebo chcete zjistit, na jaké webové stránky přistupuje určitá IP adresa, Wireshark může pracovat pro vás.
Předtím jsme předali úvod do služby Wireshark. a tento příspěvek vychází z našich předchozích příspěvků. Mějte na paměti, že musíte být zachyceni v místě v síti, kde vidíte dostatek síťového provozu. Pokud provádíte zachycení na místní pracovní stanici, pravděpodobně nebudete vidět většinu provozu v síti. Wireshark dokáže zachytávat ze vzdáleného místa - prohlédněte si náš příspěvek na triky Wireshark, kde získáte další informace.
Identifikace provozu peer-to-peer
Sloupec protokolu Wireshark zobrazuje typ protokolu pro každý paket. Pokud se díváte na zachycení Wireshark, může se v něm objevit BitTorrent nebo jiný přenos peer-to-peer.
Můžete vidět, jaké protokoly se ve vaší síti používají Hierarchie protokolů nástroj, umístěný pod Statistika Jídelní lístek.
Toto okno zobrazuje rozložení využití sítě protokolem. Odtud můžeme vidět, že téměř 5 procent paketů v síti jsou pakety BitTorrent. To nezní jako moc, ale BitTorrent také používá pakety UDP. Téměř 25 procent paketů klasifikovaných jako UDP datové pakety je také BitTorrent provoz zde.
Můžeme zobrazit pouze pakety BitTorrent kliknutím pravým tlačítkem myši na protokol a jeho aplikací jako filtr. Stejně můžete provést i další typy přenosů peer-to-peer, které mohou být přítomny, například Gnutella, eDonkey nebo Soulseek.
Použitím možnosti Použít filtr se použije filtr "bittorrent."Můžete přeskočit nabídku s pravým tlačítkem myši a zobrazit provoz protokolu pomocí jeho názvu přímo do pole Filtr.
Z filtrované komunikace vidíme, že lokální IP adresa 192.168.1.64 používá BitTorrent.
Chcete-li zobrazit všechny adresy IP pomocí BitTorrentu, můžeme vybrat Koncové body v Statistika Jídelní lístek.
Klepněte na tlačítko IPv4 a povolte kartu "Omezit zobrazení filtru"Zaškrtávací políčko. Zobrazí se vzdálené i lokální adresy IP spojené s přenosem BitTorrent. Místní adresy IP by se měly zobrazit v horní části seznamu.
Chcete-li vidět různé typy protokolů podporovaných serverem Wireshark a jejich názvy filtrů, vyberte možnost Povolené protokoly pod Analyzovat Jídelní lístek.
V okně Enabled Protocols můžete začít psát protokol, který ho vyhledá.
Monitorování přístupu k webovým stránkám
Nyní, když víme, jak přerušit provoz podle protokolu, můžeme zadat "http"Do pole Filtr zobrazuje pouze provoz HTTP. Je-li zaškrtnuto políčko "Povolit rozlišení síťového názvu", uvidíme jména internetových stránek, které jsou přístupné v síti.
Opět můžeme použít Koncové body v nabídce Statistika Jídelní lístek.
Klepněte na tlačítko IPv4 a povolte kartu "Omezit zobrazení filtru"Znovu zaškrtněte políčko. Měli byste také zajistit,Rozlišení názvu"Je zapnuto nebo zobrazí se pouze adresy IP.
Odtud můžeme vidět webové stránky, které jsou přístupné. V seznamu se také zobrazí reklamní sítě a webové stránky třetích stran, které obsahují skripty používané na jiných webech.
Chceme-li to rozdělit na určitou adresu IP, abychom zjistili, jakou jednotnou adresu IP prochází, můžeme to udělat. Použijte kombinovaný filtr http a ip.addr == [IP adresa] zobrazit provoz HTTP spojený s konkrétní IP adresou.
Otevřete znovu dialogové okno Koncoví body a uvidíte seznam webových stránek, do kterých je přístupována daná IP adresa.
To vše je jen škrábání povrchu toho, co můžete dělat s Wireshark. Mohli byste vytvořit mnohem pokročilejší filtry nebo dokonce použít nástroj Pravidla ACL Firewallu z našeho příspěvku na triky Wireshark, abyste snadno zablokovali typy provozu, které najdete zde.
