Jak zidentyfikować nadużycie w sieci za pomocą Wireshark

Wireshark to szwajcarski scyzoryk narzędzi do analizy sieci. Niezależnie od tego, czy szukasz sieci typu peer-to-peer w swojej sieci, czy chcesz po prostu zobaczyć, do jakich witryn dociera dany adres IP, Wireshark może pracować dla Ciebie.

Poprzednio przedstawiliśmy wprowadzenie do Wiresharka. a ten post opiera się na naszych poprzednich wpisach. Pamiętaj, że musisz przechwytywać dane w lokalizacji w sieci, w której widać wystarczający ruch w sieci. Jeśli zrobisz przechwycenie na lokalnej stacji roboczej, prawdopodobnie nie zobaczysz większości ruchu w sieci. Wireshark może robić przechwytywania ze zdalnej lokalizacji - sprawdź nasz post ze sztuczkami Wireshark, aby uzyskać więcej informacji na ten temat.

Identyfikacja ruchu Peer-to-Peer

Kolumna protokołu Wiresharka wyświetla typ protokołu dla każdego pakietu. Jeśli patrzysz na przechwytywanie Wireshark, możesz zobaczyć w nim BitTorrenta lub inny ruch peer-to-peer.

Możesz zobaczyć, jakie protokoły są używane w twojej sieci od Hierarchia protokołu narzędzie, znajdujące się pod Statystyka menu.

To okno pokazuje podział użycia sieci według protokołu. Stąd widać, że prawie 5 procent pakietów w sieci to pakiety BitTorrent. To nie brzmi zbyt wiele, ale BitTorrent również używa pakietów UDP. Prawie 25 procent pakietów zaklasyfikowanych jako pakiety danych UDP to także ruch w sieci BitTorrent.

Możemy wyświetlić tylko pakiety BitTorrent, klikając prawym przyciskiem myszy protokół i stosując go jako filtr. Możesz zrobić to samo dla innych rodzajów połączeń peer-to-peer, które mogą być obecne, takich jak Gnutella, eDonkey lub Soulseek.

Użycie opcji Zastosuj filtr powoduje zastosowanie filtru "bittorrent."Możesz pominąć menu z prawym przyciskiem myszy i wyświetlić ruch protokołu, wpisując jego nazwę bezpośrednio w polu Filtr.

Z przefiltrowanego ruchu widzimy, że lokalny adres IP 192.168.1.64 używa BitTorrenta.

Aby wyświetlić wszystkie adresy IP za pomocą BitTorrenta, możemy wybrać Punkty końcowe w Statystyka menu.

Kliknij opcję ponad IPv4 tab i włącz "Ogranicz do wyświetlania filtra"Pole wyboru. Zobaczysz zarówno zdalny, jak i lokalny adres IP powiązany z ruchem BitTorrent. Lokalne adresy IP powinny pojawić się na górze listy.

Jeśli chcesz zobaczyć różne typy protokołów obsługiwanych przez Wireshark i ich nazwy filtrów, wybierz Włączone protokoły pod Analizować menu.

Możesz rozpocząć wpisywanie protokołu, aby wyszukać go w oknie Enabled Protocols.

Monitorowanie dostępu do witryny

Teraz, gdy wiemy, jak przełamywać ruch przez protokół, możemy wpisać "http"W polu Filtruj, aby zobaczyć tylko ruch HTTP. Po zaznaczeniu opcji "Włącz rozpoznawanie nazw sieci" zobaczysz nazwy witryn, do których uzyskujesz dostęp w sieci.

Jeszcze raz możemy skorzystać z Punkty końcowe opcja w Statystyka menu.

Kliknij opcję ponad IPv4 tab i włącz "Ogranicz do wyświetlania filtra"Ponownie pole wyboru. Powinieneś także zapewnić, że "Rozpoznawanie nazw"Pole wyboru jest włączone lub zobaczysz tylko adresy IP.

Stąd widzimy dostęp do stron internetowych. Na liście pojawią się także sieci reklamowe i witryny innych firm, które obsługują skrypty używane w innych witrynach.

Jeśli chcemy to zepsuć pod konkretny adres IP, aby zobaczyć, co przegląda pojedynczy adres IP, możemy to zrobić. Użyj połączonego filtra http i ip.addr == [adres IP] aby zobaczyć ruch HTTP powiązany z określonym adresem IP.

Ponownie otwórz okno dialogowe Punkty końcowe, a zobaczysz listę stron internetowych, do których można uzyskać dostęp za pomocą tego konkretnego adresu IP.

To wszystko tylko zarysowanie powierzchni tego, co możesz zrobić z Wireshark. Możesz zbudować znacznie bardziej zaawansowane filtry, a nawet użyć narzędzia Reguły ACL Zapory z naszego postu Wireshark, aby łatwo zablokować typy ruchu, które znajdziesz tutaj.