Vi har allerede dekket grunnleggende bruken av Wireshark, så vær sikker på at du leser vår opprinnelige artikkel for en introduksjon til dette kraftige verktøyet for nettverksanalyse.
Nettverksnavn Oppløsning
Mens du tar opp pakker, kan du bli irritert at Wireshark bare viser IP-adresser. Du kan konvertere IP-adressene til domenenavn selv, men det er ikke så praktisk.
Du kan aktivere denne innstillingen ved å åpne innstillingsvinduet fra Redigere -> Preferanser, klikker du på Navn Oppløsning panelet og klikke på "Aktiver oppløsning av nettverksnavn"I boksen.
Start fange automatisk
Du kan opprette en spesiell snarvei ved hjelp av Wirsharks kommandolinjeparametere hvis du vil begynne å fange pakker uten forsinkelse. Du må vite nummeret til nettverksgrensesnittet du vil bruke, basert på rekkefølgen Wireshark viser grensesnittene.
Opprett en kopi av Wiresharks snarvei, høyreklikk den, gå inn i Egenskaper-vinduet og endre kommandolinjeparametrene. Legg til - i # -k til slutten av snarveien, erstatte # med nummeret på grensesnittet du vil bruke. Alternativet -i angir grensesnittet, mens -k-alternativet forteller Wireshark å begynne å fange umiddelbart.
wireshark -i # -k
For flere kommandolinje snarveier, sjekk ut Wiresharks manuelle side.
Fange trafikk fra eksterne datamaskiner
Wireshark fanger trafikk fra systemets lokale grensesnitt som standard, men dette er ikke alltid stedet du vil fange opp fra. For eksempel kan du fange trafikk fra en ruter, server eller en annen datamaskin på en annen plassering i nettverket. Det er her Wiresharks fjernopptaksfunksjon kommer inn. Denne funksjonen er bare tilgjengelig i Windows for øyeblikket - Wiresharks offisielle dokumentasjon anbefaler at Linux-brukere bruker en SSH-tunnel.
Først må du installere WinPcap på fjernsystemet. WinPcap leveres med Wireshark, så du trenger ikke installere WinPCap hvis du allerede har Wireshark installert på fjernsystemet.
Når det ikke er oppgitt, åpner du tjenestevinduet på den eksterne datamaskinen - klikk på Start, skriv inn services.msc inn i søkeboksen i Start-menyen, og trykk på Enter. Finn Remote Packet Capture Protocol service i listen og starte den. Denne tjenesten er deaktivert som standard.
Klikk på Capture Options lenke i Wireshark, velg deretter Remote fra grensesnittboksen.
Skriv inn adressen på fjernsystemet og 2002 som havnen. Du må ha tilgang til port 2002 på det eksterne systemet for å koble til, så du må kanskje åpne denne porten i en brannmur.
Etter tilkobling kan du velge et grensesnitt på fjernsystemet fra grensesnittrullegardinmenyen. Klikk Start etter at du har valgt grensesnittet for å starte fjernopptaket.
Wireshark i en terminal (TShark)
Hvis du ikke har grafisk grensesnitt på systemet, kan du bruke Wireshark fra en terminal med TShark-kommandoen.
Først utgir du tshark -D kommando. Denne kommandoen gir deg tallene for nettverksgrensesnittene dine.
Når du har, kjør tshark -i # kommando, erstatte # med nummeret på grensesnittet du vil fange på.
TShark virker som Wireshark, skriver ut trafikken den fanger til terminalen. Bruk Ctrl-C når du vil stoppe opptaket.
Utskrift av pakkene til terminalen er ikke den mest nyttige oppførselen. Hvis vi ønsker å inspisere trafikken mer detaljert, kan vi få TShark dump det til en fil som vi kan inspisere senere. Bruk denne kommandoen i stedet for å dumpe trafikk til en fil:
tshark -i # -w filename
TShark vil ikke vise deg pakkene som de blir tatt, men det vil telle dem som det fanger dem. Du kan bruke Fil -> Åpen alternativet i Wireshark for å åpne fangstfilen senere.
For mer informasjon om TSharks kommandolinjealternativer, sjekk ut den manuelle siden.
Opprette brannmuren ACL-regler
Hvis du er en nettverksadministrator med ansvar for en brannmur, og du bruker Wireshark til å peke rundt, kan det hende du vil gjøre handling basert på trafikken du ser - kanskje for å blokkere noen mistenkelig trafikk. Wireshark er Firewall ACL-regler verktøyet genererer kommandoene du trenger for å opprette brannmurregler på brannmuren.
Velg først en pakke du vil opprette en brannmurregel basert på ved å klikke på den. Deretter klikker du på Verktøy menyen og velg Firewall ACL-regler.
Bruke Produkt menyen for å velge brannmurtype. Wireshark støtter Cisco IOS, forskjellige typer Linux brannmurer, inkludert iptables, og Windows brannmur.
Du kan bruke Filter boks for å lage en regel basert på systemets MAC-adresse, IP-adresse, port eller både IP-adressen og porten. Du kan se færre filteralternativer, avhengig av brannmurproduktet ditt.
Som standard oppretter verktøyet en regel som nekter innkommende trafikk. Du kan endre reglens oppførsel ved å fjerne merket av innkommende eller Benekte boksene. Når du har opprettet en regel, bruker du Kopiere knappen for å kopiere den, og kjør den på brannmuren for å bruke regelen.
Vil du at vi skal skrive noe spesifikt om Wireshark i fremtiden? Gi oss beskjed i kommentarene hvis du har noen forespørsler eller ideer.
