5 Killer Tricksistä, jotka saavat eniten irti Wiresharkista
Wiresharkilla on melko paljon temppuja hihassaan, kaukoliikenteen ottamisesta kiinni palomuurin sääntöihin, jotka perustuvat kaapattuihin paketteihin. Lue lisää edistyneempiä vinkkejä, jos haluat käyttää Wiresharkia kuten pro.
Olemme jo katseet Wiresharkin peruskäyttöön, joten lue alkuperäinen artikkeli, joka sisältää tämän tehokkaan verkkoanalyysityökalun esittelyn.
Verkon nimen resoluutio
Pakettien tallennuksen aikana saatat olla harmissa, että Wireshark näyttää vain IP-osoitteet. Voit muuntaa IP-osoitteet verkkotunnuksiksi itse, mutta se ei ole liian kätevä.
Wireshark voi automaattisesti ratkaista nämä IP-osoitteet verkkotunnuksiksi, vaikka tämä ominaisuus ei ole oletusarvoisesti käytössä. Kun otat tämän vaihtoehdon käyttöön, näet verkkotunnuksia IP-osoitteiden sijasta aina kun mahdollista. Haittapuolena on, että Wireshark joutuu etsimään jokaisen verkkotunnuksen, saastuttamalla kaapatun liikenteen lisä DNS-pyyntöjä.
Voit ottaa tämän asetuksen käyttöön avaamalla asetukset-ikkunan Muokata -> Asetukset, napsauttamalla Nimi Ratkaisu paneeli ja napsauttamallaOta käyttöön verkkotunnuksen resoluutio”-Valintaruutu.
Aloita kaappaaminen automaattisesti
Voit luoda erityisen pikakuvakkeen käyttämällä Wirsharkin komentorivin argumentteja, jos haluat aloittaa pakettien tallentamisen viipymättä. Sinun on tiedettävä käytettävän verkkoliitännän numero, jonka mukaan Wireshark näyttää liitännät.
Luo kopio Wiresharkin pikakuvakkeesta, napsauta sitä hiiren kakkospainikkeella, siirry sen Ominaisuudet-ikkunaan ja muuta komentorivin argumentteja. Lisätä -i # -k pikakuvakkeen loppuun, korvaa # käyttöliittymän numeron kanssa. -I-vaihtoehto määrittää käyttöliittymän, kun -k-optio kertoo Wiresharkille, että se alkaa kaapata välittömästi.
Jos käytät Linuxia tai muuta kuin Windows-käyttöjärjestelmää, luo pikakuvake, jossa on seuraava komento, tai suorita se päätelaitteesta, jotta voit aloittaa kaappaamisen välittömästi:
wireshark -i # -k
Lisätietoja komentorivin pikakuvakkeista on Wiresharkin käsisivulla.
Liikenteen kaappaaminen etätietokoneista
Wireshark tallentaa liikenteen järjestelmän paikallisista rajapinnoista oletusarvoisesti, mutta tämä ei aina ole paikka, josta haluat tallentaa. Saatat haluta esimerkiksi siepata liikennettä reitittimestä, palvelimesta tai toisesta tietokoneesta eri paikassa verkossa. Tässä on Wiresharkin kauko-otto-ominaisuus. Tämä ominaisuus on käytettävissä vain Windowsissa tällä hetkellä - Wiresharkin virallinen dokumentaatio suosittelee, että Linux-käyttäjät käyttävät SSH-tunnelia.
Ensinnäkin sinun on asennettava WinPcap etäjärjestelmään. WinPcapin mukana tulee Wireshark, joten sinun ei tarvitse asentaa WinPCapia, jos sinulla on jo Wireshark asennettu etäjärjestelmään.
Kun se on poistettu käytöstä, avaa etäkoneen Palvelut-ikkuna - valitse Käynnistä, kirjoita services.msc Käynnistä-valikon hakukenttään ja paina Enter. Etsi Remote Packet Capture -protokolla palvelua luettelossa ja aloita se. Tämä palvelu on oletusarvoisesti pois käytöstä.
Klikkaa Capture-vaihtoehtos linkki Wiresharkissa ja valitse sitten Etä Interface-ruudusta.
Syötä etäjärjestelmän osoite ja 2002 kuin satama. Et voi käyttää etäkäyttöjärjestelmän porttia 2002 yhteyden muodostamiseksi, joten saatat joutua avaamaan tämän portin palomuurissa.
Yhdistämisen jälkeen voit valita kauko-ohjaimen käyttöliittymän avattavasta Interface-ruudusta. Klikkaus alkaa sen jälkeen, kun olet valinnut käyttöliittymän käynnistääksesi etäyhteyden.
Wireshark terminaalissa (TShark)
Jos sinulla ei ole graafista käyttöliittymää järjestelmässäsi, voit käyttää Wiresharkia terminaalista TShark-komennolla.
Ilmoita ensin tshark -D komento. Tämä komento antaa sinulle verkkoliitäntöjen numerot.
Kun olet, suorita tshark -i # komennolla # korvataan tallennettavan rajapinnan numero.
TShark toimii Wiresharkin tavoin ja tulostaa liikenteen, jonka se tallentaa päätelaitteeseen. Käyttää Ctrl-C kun haluat lopettaa sieppauksen.
Pakettien tulostaminen päätelaitteelle ei ole hyödyllisin käytös. Jos haluamme tarkistaa liikenteen yksityiskohtaisemmin, TShark voi siirtää sen tiedostoon, jota voimme tarkastaa myöhemmin. Käytä tätä komentoa sen sijaan, että poistat liikenteen tiedostoon:
tshark -i # -w tiedostonimi
TShark ei näytä paketteja, kun ne on kaapattu, mutta se laskee ne, kun ne tallentavat ne. Voit käyttää tiedosto -> Avata Wiresharkissa voit avata tallennustiedoston myöhemmin.
Lisätietoja TSharkin komentorivivalinnoista on sen manuaalinen sivu.
Palomuurin ACL-sääntöjen luominen
Jos olet verkonvalvoja, joka vastaa palomuurista ja käytät Wiresharkia kiertämään, voit halutessasi ryhtyä toimiin liikenteen perusteella - ehkä estää jotakin epäilyttävää liikennettä. Wireshark n Palomuurin ACL-säännöt työkalu luo komennot, joita tarvitset palomuurin sääntöjen luomiseen palomuuriin.
Valitse ensin paketti, jonka haluat luoda palomuurisääntöön napsauttamalla sitä. Tämän jälkeen napsauta Työkalut ja valitse Palomuurin ACL-säännöt.
Käytä Tuote valikosta voit valita palomuurityypin. Wireshark tukee Cisco IOSia, erilaisia Linux-palomuureja, kuten iptablesia ja Windowsin palomuuria.
Voit käyttää Suodattaa ruutuun luoda sääntö, joka perustuu joko järjestelmän MAC-osoitteeseen, IP-osoitteeseen, porttiin tai sekä IP-osoitteeseen että porttiin. Saatat nähdä vähemmän suodatinasetuksia palomuurisi tuotteen mukaan.
Oletuksena työkalu luo säännön, joka kieltää saapuvan liikenteen. Voit muokata säännön käyttäytymistä poistamalla valinnan Saapuva tai kieltää ruudut. Kun olet luonut säännön, käytä Kopio -painiketta kopioida se ja suorita se sitten palomuurissa.
Haluatko, että kirjoitamme tulevaisuudessa jotain erityistä Wiresharkista? Kerro meille kommenteista, jos sinulla on pyyntöjä tai ideoita.
