Hur identifierar man nätverksmissbruk med Wireshark
Wireshark är den schweiziska armékniven av nätverksanalysverktyg. Oavsett om du letar efter peer-to-peer-trafik på ditt nätverk eller bara vill se vilka webbplatser en specifik IP-adress har tillgång till, kan Wireshark fungera för dig.
Vi har tidigare gett en introduktion till Wireshark. och det här inlägget bygger på våra tidigare inlägg. Tänk på att du måste fånga plats på nätverket där du kan se noggrann nätverkstrafik. Om du gör en fångst på din lokala arbetsstation ser du sannolikt inte majoriteten av trafiken på nätverket. Wireshark kan göra fångar från en avlägsen plats - kolla in vårt Wireshark-trickpost för mer information om det.
Identifiera Peer-to-Peer-trafik
Wiresharks protokollkolumn visar protokolltypen för varje paket. Om du tittar på en Wireshark-infångning kan du se att BitTorrent eller annan peer-to-peer-trafik lurar i den.
Du kan bara se vilka protokoll som används på ditt nätverk från Protokollhierarki verktyg, beläget under Statistik meny.
I det här fönstret visas en fördelning av nätverksanvändning enligt protokoll. Härifrån kan vi se att nästan 5 procent av paket på nätverket är BitTorrent-paket. Det låter inte så mycket, men BitTorrent använder också UDP-paket. De nästan 25 procenten av paket som klassificeras som UDP Data-paket är också BitTorrent-trafik här.
Vi kan bara visa BitTorrent-paketen genom att högerklicka på protokollet och tillämpa det som ett filter. Du kan göra detsamma för andra typer av peer-to-peer-trafik som kan vara närvarande, till exempel Gnutella, eDonkey eller Soulseek.
Använd alternativet Apply Filter gäller filtret "bittorrent."Du kan hoppa över högreklikkmenyn och visa protokollets trafik genom att skriva in dess namn direkt i filterrutan.
Från den filtrerade trafiken kan vi se att den lokala IP-adressen till 192.168.1.64 använder BitTorrent.
För att visa alla IP-adresser med hjälp av BitTorrent kan vi välja endpoints i Statistik meny.
Klicka över till IPv4 fliken och aktivera "Begränsa för att visa filter"Kryssrutan. Du får se både fjärr- och lokala IP-adresser som är associerade med BitTorrent-trafiken. De lokala IP-adresserna ska visas högst upp i listan.
Om du vill se olika typer av protokoll stödjer Wireshark och deras filternamn, välj Aktiverade protokoll under Analysera meny.
Du kan börja skriva ett protokoll för att söka efter det i fönstret Aktiverade protokoll.
Övervaka webbplatsåtkomst
Nu när vi vet hur man bryter trafik ner genom protokollet, kan vi skriva "http"I filterrutan för att bara se HTTP-trafik. Med alternativet "Aktivera nätverksnamnupplösning" kan du se namnen på de webbplatser som nås på nätverket.
Återigen kan vi använda endpoints alternativet i Statistik meny.
Klicka över till IPv4 fliken och aktivera "Begränsa för att visa filter"Kryssrutan igen. Du bör också se till att "Namnupplösning"Kryssrutan är aktiverad eller bara IP-adresser visas.
Härifrån kan vi se vilka webbplatser som nås. Reklamnät och tredjepartswebbplatser som värdskript som används på andra webbplatser kommer också att visas i listan.
Om vi vill bryta ner det med en viss IP-adress för att se vad en enda IP-adress bläddrar kan vi också göra det. Använd det kombinerade filtret http och ip.addr == [IP-adress] för att se HTTP-trafik som är kopplad till en viss IP-adress.
Öppna dialogrutan Endpoints igen och du får se en lista över webbplatser som nås av den specifika IP-adressen.
Det här är bara att skrapa ytan på vad du kan göra med Wireshark. Du kan bygga mycket mer avancerade filter, eller ens använda Firewall ACL Rules-verktyget från vårt Wireshark-trickpost för att enkelt blockera de typer av trafik du hittar här.