Πώς να εντοπίσετε την κατάχρηση δικτύου με το Wireshark
Το Wireshark είναι το εργαλείο ανάλυσης δικτύων του ελβετικού στρατού. Είτε ψάχνετε για κυκλοφορία από ομότιμους χρήστες στο δίκτυό σας είτε θέλετε να δείτε ποιοι ιστότοποι έχουν πρόσβαση σε μια συγκεκριμένη διεύθυνση IP, το Wireshark μπορεί να λειτουργήσει για εσάς.
Έχουμε δώσει μια εισαγωγή στο Wireshark. και αυτή η ανάρτηση βασίζεται στις προηγούμενες θέσεις μας. Λάβετε υπόψη ότι πρέπει να καταγράφετε σε μια θέση στο δίκτυο όπου μπορείτε να δείτε αρκετή επισκεψιμότητα δικτύου. Εάν πραγματοποιήσετε λήψη στο τοπικό σταθμό εργασίας σας, είναι πιθανό να μην δείτε την πλειοψηφία της επισκεψιμότητας στο δίκτυο. Το Wireshark μπορεί να τραβήξει φωτογραφίες από μια απομακρυσμένη τοποθεσία - ελέγξτε την ανάρτηση για τα κόλπα Wireshark για περισσότερες πληροφορίες σχετικά με αυτό.
Προσδιορισμός της ομότιμης κυκλοφορίας
Η στήλη πρωτοκόλλου Wireshark εμφανίζει τον τύπο πρωτοκόλλου για κάθε πακέτο. Αν κοιτάζετε μια καταγραφή Wireshark, ίσως να δείτε BitTorrent ή άλλη επισκεψιμότητα από ομότιμους χρήστες που σέρνονται σε αυτό.
Μπορείτε να δείτε ακριβώς ποια πρωτόκολλα χρησιμοποιούνται στο δίκτυό σας από το Ιεραρχία πρωτοκόλλου εργαλείο, που βρίσκεται κάτω από το Στατιστική μενού.
Αυτό το παράθυρο παρουσιάζει μια ανάλυση της χρήσης του δικτύου ανά πρωτόκολλο. Από εδώ, μπορούμε να δούμε ότι σχεδόν το 5 τοις εκατό των πακέτων στο δίκτυο είναι πακέτα BitTorrent. Αυτό δεν ακούγεται πολύ, αλλά το BitTorrent χρησιμοποιεί επίσης πακέτα UDP. Το σχεδόν 25 τοις εκατό των πακέτων που ταξινομούνται ως πακέτα δεδομένων UDP είναι επίσης η κυκλοφορία BitTorrent εδώ.
Μπορούμε να δούμε μόνο τα πακέτα BitTorrent κάνοντας δεξί κλικ στο πρωτόκολλο και εφαρμόζοντας το ως φίλτρο. Μπορείτε να κάνετε το ίδιο και για άλλους τύπους επισκεψιμότητας από ομότιμους χρήστες που μπορεί να υπάρχουν, όπως το Gnutella, το eDonkey ή το Soulseek.
Χρησιμοποιώντας την επιλογή "Εφαρμογή φίλτρου" εφαρμόζεται το φίλτρο "bittorrent."Μπορείτε να παραλείψετε το μενού δεξί κλικ και να δείτε την κίνηση ενός πρωτοκόλλου πληκτρολογώντας το όνομά του απευθείας στο πλαίσιο Φίλτρο.
Από την φιλτραρισμένη επισκεψιμότητα, μπορούμε να δούμε ότι η τοπική διεύθυνση IP του 192.168.1.64 χρησιμοποιεί το BitTorrent.
Για να δείτε όλες τις διευθύνσεις IP χρησιμοποιώντας το BitTorrent, μπορούμε να επιλέξουμε Τελικά σημεία στο Στατιστική μενού.
Κάντε κλικ πάνω στο IPv4 και ενεργοποιήστε την καρτέλα "Περιορίστε το φίλτρο εμφάνισης"Πλαίσιο ελέγχου. Θα δείτε τόσο τις απομακρυσμένες όσο και τις τοπικές διευθύνσεις IP που σχετίζονται με την κίνηση BitTorrent. Οι τοπικές διευθύνσεις IP θα πρέπει να εμφανίζονται στο επάνω μέρος της λίστας.
Αν θέλετε να δείτε τους διαφορετικούς τύπους πρωτοκόλλων που υποστηρίζει το Wireshark και τα ονόματα φίλτρων τους, επιλέξτε Ενεργοποιημένα πρωτόκολλα σύμφωνα με το Αναλύει μενού.
Μπορείτε να ξεκινήσετε να πληκτρολογείτε ένα πρωτόκολλο για να το αναζητήσετε στο παράθυρο Ενεργοποιημένα πρωτόκολλα.
Παρακολούθηση πρόσβασης στο διαδίκτυο
Τώρα που γνωρίζουμε πώς να σπάσουμε την κίνηση κάτω από το πρωτόκολλο, μπορούμε να πληκτρολογήσουμε "http"Στο πλαίσιο φίλτρου για να δείτε μόνο την επισκεψιμότητα HTTP. Με την επιλογή "Ενεργοποίηση ανάλυσης ονόματος δικτύου", θα εμφανιστούν τα ονόματα των ιστότοπων στις οποίες γίνεται πρόσβαση στο δίκτυο.
Για άλλη μια φορά, μπορούμε να χρησιμοποιήσουμε το Τελικά σημεία επιλογή στο Στατιστική μενού.
Κάντε κλικ πάνω στο IPv4 και ενεργοποιήστε την καρτέλα "Περιορίστε το φίλτρο εμφάνισης"Ξανά. Θα πρέπει επίσης να διασφαλίσετε ότι το "Επίλυση ονομάτων"Είναι ενεργοποιημένο ή θα δείτε μόνο τις διευθύνσεις IP.
Από εδώ μπορούμε να δούμε τους ιστότοπους που προσεγγίζονται. Τα διαφημιστικά δίκτυα και οι ιστότοποι τρίτων που φιλοξενούν σενάρια που χρησιμοποιούνται σε άλλους ιστότοπους θα εμφανίζονται επίσης στη λίστα.
Εάν θέλουμε να το σπάσουμε από μια συγκεκριμένη διεύθυνση IP για να δούμε τι περιγράφει μια διεύθυνση IP, μπορούμε να το κάνουμε αυτό. Χρησιμοποιήστε το συνδυασμένο φίλτρο http και ip.addr == [Διεύθυνση IP] για να δείτε την επισκεψιμότητα HTTP που σχετίζεται με μια συγκεκριμένη διεύθυνση IP.
Ανοίξτε ξανά το παράθυρο διαλόγου τελικών σημείων και θα δείτε μια λίστα με ιστότοπους στους οποίους γίνεται πρόσβαση αυτή η συγκεκριμένη διεύθυνση IP.
Αυτό είναι μόνο το ξύσιμο της επιφάνειας του τι μπορείτε να κάνετε με Wireshark. Θα μπορούσατε να δημιουργήσετε πολύ πιο εξελιγμένα φίλτρα ή ακόμα και να χρησιμοποιήσετε το εργαλείο κανόνων κανόνων ACL από το Wireshark, για να αποκλείσετε εύκολα τους τύπους κίνησης που θα βρείτε εδώ.