5 κόλπα Killer για να αξιοποιήσετε στο έπακρο το Wireshark
Το Wireshark έχει αρκετά κόλπα στο μανίκι του, από τη λήψη απομακρυσμένης κίνησης στη δημιουργία κανόνων τείχους προστασίας βασισμένων σε παγιδευμένα πακέτα. Διαβάστε παρακάτω για μερικές πιο προχωρημένες συμβουλές αν θέλετε να χρησιμοποιήσετε το Wireshark σαν επαγγελματία.
Έχουμε ήδη καλύψει τη βασική χρήση του Wireshark, οπότε βεβαιωθείτε ότι έχετε διαβάσει το αρχικό μας άρθρο για μια εισαγωγή σε αυτό το ισχυρό εργαλείο ανάλυσης δικτύου.
Ανάλυση ονόματος δικτύου
Κατά τη λήψη πακέτων, μπορεί να ενοχληθείτε ότι το Wireshark εμφανίζει μόνο διευθύνσεις IP. Μπορείτε να μετατρέψετε τις διευθύνσεις IP σε ονόματα τομέων μόνοι σας, αλλά αυτό δεν είναι πάρα πολύ βολικό.
Το Wireshark μπορεί να επιλύσει αυτομάτως αυτές τις διευθύνσεις IP σε ονόματα τομέα, παρόλο που αυτή η δυνατότητα δεν είναι ενεργοποιημένη από προεπιλογή. Όταν ενεργοποιήσετε αυτήν την επιλογή, θα δείτε τα ονόματα τομέα αντί για τις διευθύνσεις IP όποτε είναι δυνατόν. Το μειονέκτημα είναι ότι το Wireshark θα πρέπει να αναζητήσει κάθε όνομα τομέα, ρυπαίνοντας την κυκλοφορία που έχει καταγράψει με πρόσθετα αιτήματα DNS.
Μπορείτε να ενεργοποιήσετε αυτήν τη ρύθμιση ανοίγοντας το παράθυρο προτιμήσεων από το Επεξεργασία -> Προτιμήσεις, κάνοντας κλικ στο Όνομα ψήφισμα και πατώντας το κουμπί "Ενεργοποιήστε την ανάλυση του ονόματος δικτύου"Πλαίσιο ελέγχου.
Ξεκινήστε την αυτόματη καταγραφή
Μπορείτε να δημιουργήσετε μια ειδική συντόμευση χρησιμοποιώντας τα επιχειρήματα της γραμμής εντολών του Wirshark εάν θέλετε να αρχίσετε να συλλαμβάνετε πακέτα χωρίς καθυστέρηση. Θα πρέπει να γνωρίζετε τον αριθμό της διεπαφής δικτύου που θέλετε να χρησιμοποιήσετε, βάσει της παραγγελίας Wireshark που εμφανίζει τις διεπαφές.
Δημιουργήστε ένα αντίγραφο της συντόμευσης του Wireshark, κάντε δεξί κλικ, μεταβείτε στο παράθυρο Ιδιότητες και αλλάξτε τα επιχειρήματα της γραμμής εντολών. Προσθέτω -i # -k στο τέλος της συντόμευσης, αντικαθιστώντας # # με τον αριθμό της διεπαφής που θέλετε να χρησιμοποιήσετε. Η επιλογή -i καθορίζει τη διεπαφή, ενώ η επιλογή -k λέει στο Wireshark να ξεκινήσει αμέσως τη λήψη.
Εάν χρησιμοποιείτε Linux ή άλλο λειτουργικό σύστημα που δεν λειτουργεί με Windows, απλώς δημιουργήστε μια συντόμευση με την ακόλουθη εντολή ή εκτελέστε την από ένα τερματικό για να ξεκινήσετε αμέσως τη λήψη:
wireshark -i # -k
Για περισσότερες συντομεύσεις γραμμής εντολών, ελέγξτε τη σελίδα του εγχειριδίου Wireshark.
Καταγραφή της κυκλοφορίας από απομακρυσμένους υπολογιστές
Το Wireshark καταγράφει την κυκλοφορία από τις τοπικές διεπαφές του συστήματός σας από προεπιλογή, αλλά αυτό δεν είναι πάντα η τοποθεσία από την οποία θέλετε να αποτυπώσετε. Για παράδειγμα, μπορεί να θέλετε να καταγράψετε την επισκεψιμότητα από δρομολογητή, διακομιστή ή άλλον υπολογιστή σε διαφορετική θέση στο δίκτυο. Αυτή είναι η δυνατότητα απομακρυσμένης λήψης του Wireshark. Αυτή η λειτουργία είναι διαθέσιμη μόνο στα Windows αυτή τη στιγμή - η επίσημη τεκμηρίωση του Wireshark συνιστά ότι οι χρήστες του Linux χρησιμοποιούν μια σήραγγα SSH.
Πρώτον, θα πρέπει να εγκαταστήσετε το WinPcap στο απομακρυσμένο σύστημα. Το WinPcap έρχεται με το Wireshark, οπότε δεν χρειάζεται να εγκαταστήσετε το WinPCap αν έχετε ήδη εγκατεστημένο το Wireshark στο απομακρυσμένο σύστημα.
Αφού ολοκληρωθεί η λειτουργία του, ανοίξτε το παράθυρο "Υπηρεσίες" στον απομακρυσμένο υπολογιστή - κάντε κλικ στο κουμπί Έναρξη, πληκτρολογήστε services.msc στο πλαίσιο αναζήτησης στο μενού Έναρξη και πατήστε Enter. Εντοπίστε το Απομακρυσμένο πρωτόκολλο λήψης πακέτων υπηρεσία στη λίστα και να την ξεκινήσετε. Αυτή η υπηρεσία είναι απενεργοποιημένη από προεπιλογή.
Κάντε κλικ στο Επιλογή λήψηςs στη Wireshark, στη συνέχεια επιλέξτε Μακρινός από το πλαίσιο διεπαφής.
Καταχωρίστε τη διεύθυνση του απομακρυσμένου συστήματος και 2002 ως το λιμάνι. Πρέπει να έχετε πρόσβαση στη θύρα 2002 στο απομακρυσμένο σύστημα για να συνδεθείτε, επομένως ίσως χρειαστεί να ανοίξετε αυτήν τη θύρα σε ένα τείχος προστασίας.
Μετά τη σύνδεση, μπορείτε να επιλέξετε μια διεπαφή στο απομακρυσμένο σύστημα από το αναπτυσσόμενο πλαίσιο Διεπαφή. Κάντε κλικ Αρχή μετά την επιλογή της διασύνδεσης για την εκκίνηση της απομακρυσμένης λήψης.
Wireshark σε ένα τερματικό (TShark)
Εάν δεν διαθέτετε γραφικό περιβάλλον στο σύστημά σας, μπορείτε να χρησιμοποιήσετε το Wireshark από τερματικό με την εντολή TShark.
Πρώτα, εκδώστε το tshark -D εντολή. Αυτή η εντολή θα σας δώσει τους αριθμούς των διεπαφών του δικτύου σας.
Μόλις το έχετε, εκτελέστε το tshark -i # εντολή, αντικαθιστώντας το # με τον αριθμό της διασύνδεσης που θέλετε να αποτυπώσετε.
Το TShark ενεργεί όπως το Wireshark, εκτυπώνοντας την κυκλοφορία που συλλαμβάνει στο τερματικό. Χρήση Ctrl-C όταν θέλετε να σταματήσετε τη σύλληψη.
Η εκτύπωση των πακέτων στο τερματικό δεν είναι η πιο χρήσιμη συμπεριφορά. Αν θέλουμε να επιθεωρήσουμε την κυκλοφορία λεπτομερέστερα, μπορούμε να έχουμε το TShark να το βγάλει σε ένα αρχείο το οποίο μπορούμε να το επιθεωρήσουμε αργότερα. Χρησιμοποιήστε αυτή την εντολή για να απορρίψετε την επισκεψιμότητα σε ένα αρχείο:
tshark -i # -w όνομα αρχείου
Το TShark δεν θα σας δείξει τα πακέτα καθώς αυτά έχουν καταγραφεί, αλλά θα τα μετρήσει καθώς τα συλλαμβάνει. Μπορείτε να χρησιμοποιήσετε το Αρχείο -> Ανοιξε στο Wireshark για να ανοίξει αργότερα το αρχείο καταγραφής.
Για περισσότερες πληροφορίες σχετικά με τις επιλογές γραμμής εντολών της TShark, ανατρέξτε στη σελίδα του εγχειριδίου.
Δημιουργία κανόνων ACL τείχους προστασίας
Εάν είστε διαχειριστής δικτύου που είναι υπεύθυνος για ένα τείχος προστασίας και χρησιμοποιείτε το Wireshark για να περιπλανηθείτε, ίσως θελήσετε να αναλάβετε δράση με βάση την επισκεψιμότητα που βλέπετε - ίσως για να αποκλείσετε κάποια ύποπτη επισκεψιμότητα. Wireshark's Κανονισμοί ACL τείχους προστασίας εργαλείο δημιουργεί τις εντολές που θα χρειαστείτε για να δημιουργήσετε κανόνες τείχους προστασίας στο τείχος προστασίας σας.
Πρώτα, επιλέξτε ένα πακέτο που θέλετε να δημιουργήσετε έναν κανόνα τείχους προστασίας βασισμένο σε κάνοντας κλικ σε αυτό. Στη συνέχεια, κάντε κλικ στο Εργαλεία και επιλέξτε Κανονισμοί ACL τείχους προστασίας.
Χρησιμοποιήστε το Προϊόν για να επιλέξετε τον τύπο του τείχους προστασίας. Το Wireshark υποστηρίζει το Cisco IOS, διαφορετικούς τύπους τείχους προστασίας Linux, συμπεριλαμβανομένων των iptables και του τείχους προστασίας των Windows.
Μπορείτε να χρησιμοποιήσετε το Φίλτρο για να δημιουργήσετε έναν κανόνα που βασίζεται είτε στη διεύθυνση MAC του συστήματος, είτε στη διεύθυνση IP, στη θύρα είτε στη διεύθυνση IP και στη θύρα. Ενδέχεται να δείτε λιγότερες επιλογές φίλτρων, ανάλογα με το προϊόν τείχους προστασίας.
Από προεπιλογή, το εργαλείο δημιουργεί έναν κανόνα που απορρίπτει την εισερχόμενη κίνηση. Μπορείτε να τροποποιήσετε τη συμπεριφορά του κανόνα καταργώντας την επιλογή του Εισερχόμενος ή Αρνούμαι πλαίσια ελέγχου. Αφού δημιουργήσετε έναν κανόνα, χρησιμοποιήστε το αντίγραφο για να το αντιγράψετε, στη συνέχεια εκτελέστε το στο τείχος προστασίας για να εφαρμόσετε τον κανόνα.
Θέλετε να γράψουμε στο μέλλον κάτι συγκεκριμένο για το Wireshark; Ενημερώστε μας στα σχόλια εάν έχετε οποιεσδήποτε αιτήσεις ή ιδέες.