Vi har tidligere gitt en introduksjon til Wireshark. og dette innlegget bygger på våre tidligere innlegg. Husk at du må fange på et sted på nettverket der du kan se nok nettverkstrafikk. Hvis du gjør en fangst på din lokale arbeidsstasjon, vil du sannsynligvis ikke se størstedelen av trafikken på nettverket. Wireshark kan gjøre fanger fra en ekstern plassering - sjekk ut vårt Wireshark-triksepost for mer informasjon om det.
Identifisere Peer-to-Peer-trafikk
Wiresharks protokollkolonne viser protokolltypen for hver pakke. Hvis du ser på en Wireshark-fangst, kan du se at BitTorrent eller annen peer-to-peer-trafikk lurker i den.
Du kan se akkurat hvilke protokoller som brukes på nettverket ditt fra Protokollhierarki verktøy, plassert under StatistikkMeny.
Ved hjelp av alternativet Apply Filter brukes filteret "bittorrent."Du kan hoppe over høyreklikkmenyen og se en protokolls trafikk ved å skrive navnet direkte i filterboksen.
Fra den filtrerte trafikken kan vi se at den lokale IP-adressen til 192.168.1.64 bruker BitTorrent.
For å vise alle IP-adressene ved hjelp av BitTorrent, kan vi velge endepunkter i Statistikk Meny.
Klikk over til IPv4 kategorien og aktiver "Begrens for å vise filter"I boksen. Du får se både de eksterne og lokale IP-adressene som er knyttet til BitTorrent-trafikken. De lokale IP-adressene skal vises øverst på listen.
Hvis du vil se de forskjellige typer protokoller, støtter Wireshark og deres filternavn, velger du Aktiverte protokoller under Analysere Meny.
Overvåking av tilgang til nettstedet
Nå som vi vet hvordan vi kan bryte trafikk ned etter protokoll, kan vi skrive "http"I Filter-boksen for å se bare HTTP-trafikk. Med alternativet "Aktiver nettverksnavnoppløsning" merket, ser vi navnene på nettstedene som er tilgjengelige på nettverket.
Igjen kan vi bruke endepunkter alternativ i Statistikk Meny.
Klikk over til IPv4 kategorien og aktiver "Begrens for å vise filter"Merk av i boksen igjen. Du bør også sørge for at "Navnoppløsning"Er merket av, eller du ser bare IP-adresser.
Herfra kan vi se nettsidene som er tilgjengelige. Annonseringsnettverk og tredjepartswebsteder som vertsskript som brukes på andre nettsteder, vises også i listen.
Hvis vi ønsker å bryte dette ned av en bestemt IP-adresse for å se hva en enkelt IP-adresse leser, kan vi også gjøre det. Bruk det kombinerte filteret http og ip.addr == [IP-adresse] for å se HTTP-trafikk tilknyttet en bestemt IP-adresse.
Dette er alt bare å skrape overflaten av hva du kan gjøre med Wireshark. Du kan bygge mye mer avanserte filtre, eller til og med bruke Firewall ACL Rules-verktøyet fra vår Wireshark-trickspost for å blokkere de typer trafikk du finner her.