Wiresharkin verkon väärinkäytön tunnistaminen

Wireshark on verkkoanalyysityökalujen Sveitsin armeijan veitsi. Etsitkö vertaisverkkoa verkossa tai haluat vain nähdä, mitä sivustoja tietty IP-osoite käyttää, Wireshark voi toimia sinulle.

Olemme aiemmin antaneet esittelyn Wiresharkille. ja tämä viesti perustuu aiempiin viesteihin. Muista, että sinun on oltava kaappaamassa verkossa, jossa näkyy riittävästi verkkoliikennettä. Jos otat kaappauksen paikallisessa työasemassa, et todennäköisesti näe suurinta osaa verkon liikenteestä. Wireshark voi tehdä kaappia kaukaisesta sijainnista - tarkista Wiresharkin temppuja.

Vertaisliikenteen tunnistaminen

Wiresharkin protokollapylväs näyttää kunkin paketin protokollatyypin. Jos katselet Wireshark-sieppausta, saatat nähdä BitTorrentin tai muun siihen kuuluvan vertaisliikenteen.

Voit nähdä, mitä protokollia verkossa käytetään Protokollihierarkia työkalun alla tilasto valikko.

Tämä ikkuna näyttää verkon käytön erittelyn protokollan mukaan. Täältä voimme nähdä, että lähes 5 prosenttia verkossa olevista paketeista on BitTorrent-paketteja. Se ei kuulosta paljon, mutta BitTorrent käyttää myös UDP-paketteja. Lähes 25 prosenttia UDP-datapaketeiksi luokitelluista paketeista on myös BitTorrent-liikenne.

Voimme tarkastella vain BitTorrent-paketteja napsauttamalla protokollaa hiiren kakkospainikkeella ja soveltamalla sitä suodattimena. Voit tehdä samoin myös muilla vertaisverkkoilla, jotka voivat olla läsnä, kuten Gnutella, eDonkey tai Soulseek.

Käytä suodatinta -kohdan käyttäminen käyttää suodatinta ”bittorrent.”Voit ohittaa hiiren kakkospainikkeella valikon ja tarkastella protokollan liikennettä kirjoittamalla sen nimen suoraan Suodatin-ruutuun.

Suodatetusta liikenteestä voimme nähdä, että 192.168.1.64: n paikallinen IP-osoite käyttää BitTorrentia.

Voit tarkastella kaikkia IP-osoitteita BitTorrentin avulla valitsemalla Endpoints vuonna tilasto valikko.

Napsauta IPv4 välilehti ja ota käyttöönRajoita suodattimen näyttämiseen”-Valintaruutu. Näet sekä BitTorrent-liikenteeseen liittyvät etä- että paikalliset IP-osoitteet. Paikalliset IP-osoitteet pitäisi näkyä luettelon yläosassa.

Jos haluat nähdä eri tyyppiset protokollat, valitse Wireshark-tuki ja niiden suodattimien nimet Käytössä olevat protokollat alla Analysoida valikko.

Voit aloittaa protokollan kirjoittamisen hakemaan sitä Enabled Protocols -ikkunassa.

Verkkosivuston käytön seuranta

Nyt kun tiedämme, miten liikennettä voidaan rikkoa protokollalla, voimme kirjoittaa "httpNähdäksesi vain HTTP-liikenteen. Kun valintaruutu on "Ota verkkotunnuksen resoluutio" käyttöön, näytämme verkossa olevien verkkosivustojen nimet.

Jälleen kerran voimme käyttää Endpoints vaihtoehto tilasto valikko.

Napsauta IPv4 välilehti ja ota käyttöönRajoita suodattimen näyttämiseen”-Valintaruutu uudelleen. Varmista myös, ettäNimen resoluutio”-Valintaruutu on käytössä tai näet vain IP-osoitteet.

Täältä voimme nähdä, että sivustot ovat käytettävissä. Myös mainosverkostot ja kolmansien osapuolten verkkosivustot, jotka käyttävät muissa sivustoissa käytettyjä skriptejä, näkyvät luettelossa.

Jos haluamme rikkoa tämän tietyn IP-osoitteen avulla nähdäksesi, mitä yksittäinen IP-osoite selaa, voimme tehdä niin. Käytä yhdistettyä suodatinta http ja ip.addr == [IP-osoite] nähdäksesi tiettyyn IP-osoitteeseen liittyvän HTTP-liikenteen.

Avaa Endpoints-valintaikkuna uudelleen ja näet luettelon sivustoista, joihin kyseinen IP-osoite on käytettävissä.

Tämä on vain naarmuuntumista Wiresharkin kanssa. Voit rakentaa paljon kehittyneempiä suodattimia tai jopa käyttää Wiresharkin temppupalvelun palomuurin ACL-sääntöjä -työkalua estääkseen helposti täältä löytyvät liikennetyypit.