Hemsida » hur » 5 Killer Tricks för att få ut det mesta av Wireshark

    5 Killer Tricks för att få ut det mesta av Wireshark

    Wireshark har en hel del knep upp på ärmen, från att fånga fjärrtrafik för att skapa brandväggsregler baserat på fångade paket. Läs vidare för några mer avancerade tips om du vill använda Wireshark som ett proffs.

    Vi har redan täckt grundläggande användningen av Wireshark, så var noga med att läsa vår ursprungliga artikel för en introduktion till det här kraftfulla nätverksanalysverktyget.

    Nätverksnamn Upplösning

    Medan du tar upp paket kan du vara irriterad att Wireshark bara visar IP-adresser. Du kan konvertera IP-adresserna till domännamn själv, men det är inte så bekvämt.

    Wireshark kan automatiskt lösa denna IP-adress till domännamn, även om den här funktionen inte är aktiverad som standard. När du aktiverar det här alternativet ser du domännamn istället för IP-adresser när det är möjligt. Nackdelen är att Wireshark måste titta upp varje domännamn, förorena den infångade trafiken med ytterligare DNS-förfrågningar.

    Du kan aktivera denna inställning genom att öppna inställningsfönstret från Redigera -> Inställningar, klicka på Namnupplösning panel och klicka på "Aktivera nätverksnamnupplösning"Kryssrutan.

    Börja fånga automatiskt

    Du kan skapa en speciell genväg med Wirsharks kommandoradsargument om du vill börja fånga paket omedelbart. Du måste veta numret på nätverksgränssnittet du vill använda, baserat på den ordning Wireshark visar gränssnitten.

    Skapa en kopia av Wiresharks genväg, högerklicka på den, gå in i fönstret Egenskaper och ändra kommandoradsargumenten. Lägg till -jag # -k till slutet av genvägen, ersätter # med numret på gränssnittet du vill använda. Alternativet -i anger gränssnittet, medan alternativet -k berättar för Wireshark att börja spela omedelbart.

    Om du använder Linux eller ett annat operativsystem än Windows, skapar du bara en genväg med följande kommando, eller kör det från en terminal för att börja spela omedelbart:

    wireshark -i # -k

    För mer kommandoradsgenvägar, kolla in Wiresharks manualsida.

    Fånga trafik från fjärrdatorer

    Wireshark tar som standard trafik från ditt lokala gränssnitt, men det är inte alltid den plats du vill fånga från. Du kan till exempel fånga trafik från en router, server eller annan dator på en annan plats i nätverket. Det här är Wiresharks fjärrinspelningsfunktion. Denna funktion är bara tillgänglig för Windows för tillfället - Wiresharks officiella dokumentation rekommenderar att Linux-användare använder en SSH-tunnel.

    Först måste du installera WinPcap på fjärrsystemet. WinPcap kommer med Wireshark, så du behöver inte installera WinPCap om du redan har Wireshark installerat på fjärrsystemet.

    När det är upptaget öppnar du fönstret Tjänster på fjärrdatorn - klicka på Start, skriv services.msc i sökrutan i Start-menyn och tryck på Enter. Leta reda på Remote Packet Capture Protocol service i listan och starta den. Den här tjänsten är avstängd som standard.

    Klicka på Capture Alternativs länk i Wireshark, välj sedan Avlägsen från gränssnittsrutan.

    Ange adressen på fjärrsystemet och 2002 som hamnen. Du måste ha tillgång till port 2002 på fjärrsystemet för att ansluta, så du kan behöva öppna den här porten i en brandvägg.

    Efter anslutning kan du välja ett gränssnitt på fjärrsystemet från rullgardinsmenyn Interface. Klick Start efter att du valt gränssnittet för att starta fjärrinspelningen.

    Wireshark i en terminal (TShark)

    Om du inte har grafiskt gränssnitt på ditt system kan du använda Wireshark från en terminal med TShark-kommandot.

    Först utfärda tshark -D kommando. Detta kommando ger dig siffrorna på dina nätverksgränssnitt.

    När du har kör, kör tshark -i # kommando, ersätter # med numret på gränssnittet du vill fånga på.

    TShark agerar som Wireshark, skriver ut den trafik som den fångar till terminalen. Använda sig av Ctrl-C när du vill stoppa fångsten.

    Att skriva ut paket till terminalen är inte det mest användbara beteendet. Om vi ​​vill inspektera trafiken mer detaljerat kan vi få TShark dumpa den till en fil som vi kan inspektera senare. Använd det här kommandot istället för att dumpa trafik till en fil:

    tshark -i # -w filnamn

    TShark kommer inte visa dig paketen som de fångas, men det räknar dem som det fångar dem. Du kan använda Fil -> Öppna alternativet i Wireshark för att öppna upptagningsfilen senare.

    För mer information om TSharks kommandoradsalternativ, kolla in den manuella sidan.

    Skapa ACL-regler för brandväggar

    Om du är en nätverksadministratör som ansvarar för en brandvägg och du använder Wireshark för att poke runt, kanske du vill vidta åtgärder utifrån den trafik du ser - kanske för att blockera någon misstänkt trafik. Wireshark s ACL-regler för brandväggar verktyget genererar de kommandon som du behöver för att skapa brandväggsregler i din brandvägg.

    Välj först ett paket som du vill skapa en brandväggsregel baserat på genom att klicka på den. Därefter klickar du på Verktyg menyn och välj ACL-regler för brandväggar.

    Använd Produkt menyn för att välja din brandväggstyp. Wireshark stöder Cisco IOS, olika typer av Linux brandväggar, inklusive iptables, och Windows-brandväggen.

    Du kan använda Filtrera rutan för att skapa en regel baserad på systemets MAC-adress, IP-adress, port eller både IP-adressen och porten. Det kan hända att du får färre filteralternativ beroende på din brandväggsprodukt.

    Som standard skapar verktyget en regel som nekar inkommande trafik. Du kan ändra regelns beteende genom att avmarkera inkommande eller Förneka kryssrutor. När du har skapat en regel, använd Kopia knappen för att kopiera den, kör sedan den på din brandvägg för att tillämpa regeln.


    Vill du att vi ska skriva något specifikt om Wireshark i framtiden? Låt oss veta i kommentarerna om du har några önskemål eller idéer.