5 трикове за убийци, за да извлечете максимума от Wireshark
Wireshark има доста трикове в ръкава си, от заснемане на отдалечен трафик до създаване на правила за защитна стена на базата на заловени пакети. Прочетете за някои по-съвети, ако искате да използвате Wireshark като професионалист.
Вече сме обхванали основното използване на Wireshark, така че не забравяйте да прочетете нашата оригинална статия за въведение в този мощен инструмент за мрежов анализ.
Резолюция на името на мрежата
Докато улавяте пакети, може да се притеснявате, че Wireshark показва само IP адреси. Можете да преобразувате IP адресите в имена на домейни сами, но това не е твърде удобно.
Wireshark може автоматично да разреши тези IP адреси за имена на домейни, въпреки че тази функция не е активирана по подразбиране. Когато активирате тази опция, ще виждате имена на домейни вместо IP адреси, когато е възможно. Недостатъкът е, че Wireshark ще трябва да търси всяко име на домейн, като замърсява заловен трафик с допълнителни DNS заявки.
Можете да активирате тази настройка, като отворите прозореца за предпочитания от редактиране -> Предпочитания, кликвайки върху Резолюция на името панел и щракване върху „Активирайте резолюцията за име на мрежата".
Стартирайте автоматично заснемане
Можете да създадете специален пряк път, като използвате аргументите на командния ред на Wirshark, ако искате да започнете да улавяте пакети без забавяне. Трябва да знаете номера на мрежовия интерфейс, който искате да използвате, на базата на поръчката Wireshark показва интерфейсите.
Създайте копие на пряк път на Wireshark, щракнете с десния бутон върху него, отидете в неговия прозорец Properties и променете аргументите на командния ред. Добави -и К до края на прекия път, заменяйки # с номера на интерфейса, който искате да използвате. Опцията -i указва интерфейса, а опцията -k казва на Wireshark да започне незабавно улавяне.
Ако използвате Linux или друга операционна система, която не е под Windows, просто създайте пряк път със следната команда или я стартирайте от терминал, за да започнете незабавно да улавяте:
wireshark -i # -k
За повече команди за командния ред, проверете страницата за ръководство на Wireshark.
Заснемане на трафик от отдалечени компютри
По подразбиране Wireshark улавя трафика от локалните интерфейси на системата ви, но това не винаги е местоположението, от което искате да заснемете. Например, може да искате да заснемете трафик от маршрутизатор, сървър или друг компютър на друго място в мрежата. Тук се предлага функцията за дистанционно заснемане на Wireshark. Тази функция е достъпна само за Windows в момента - официалната документация на Wireshark препоръчва на потребителите на Linux да използват SSH тунел.
Първо, ще трябва да инсталирате WinPcap на отдалечената система. WinPcap идва с Wireshark, така че не е необходимо да инсталирате WinPCap, ако вече имате инсталиран Wireshark на отдалечената система..
След като бъде инсталиран, отворете прозореца Услуги на отдалечения компютър - щракнете върху Старт, въведете services.msc в полето за търсене в менюто Старт и натиснете Enter. Намерете Протокол за улавяне на отдалечени пакети услугата в списъка и да я стартирате. Тази услуга е деактивирана по подразбиране.
Кликнете върху Опция за улавянев Wireshark, след това изберете отдалечен от интерфейсната кутия.
Въведете адреса на отдалечената система и 2002 като пристанището. Трябва да имате достъп до порт 2002 на отдалечената система, за да се свържете, така че може да се наложи да отворите този порт в защитна стена.
След свързването можете да изберете интерфейс от отдалечената система от падащото меню Интерфейс. Кликнете начало след избиране на интерфейса за стартиране на дистанционното заснемане.
Wireshark в терминал (TShark)
Ако нямате графичен интерфейс на вашата система, можете да използвате Wireshark от терминал с командата TShark.
Първо, издайте tshark -D команда. Тази команда ще ви даде номера на мрежовите интерфейси.
След като го направите, пуснете tshark -i # команда, заменяйки # с номера на интерфейса, който искате да заснемете.
TShark действа като Wireshark, отпечатвайки трафика, който заснема към терминала. употреба Ctrl-C когато искате да спрете заснемането.
Отпечатването на пакети в терминала не е най-полезното поведение. Ако искаме да проверим трафика по-подробно, можем да накараме TShark да го изхвърли във файл, който можем да проверим по-късно. Използвайте тази команда вместо да прехвърляте трафик към файл:
tshark -i # -w име на файл
TShark няма да ви покаже пакетите, докато те бъдат заловени, но ще ги преброи, докато ги улавя. Можете да използвате досие -> отворено опция в Wireshark, за да отвори файла за улавяне по-късно.
За повече информация относно опциите на командния ред на TShark, вижте страницата с ръководството.
Създаване на ACL правила за защитната стена
Ако сте мрежов администратор, който отговаря за защитна стена и използвате Wireshark, за да се натрапвате, може да искате да предприемете действия въз основа на трафика, който виждате - може би да блокирате подозрителния трафик. Wireshark на Правила за ACL за защитната стена инструмент генерира командите, които трябва да създадете правила за защитната стена на защитната стена.
Първо изберете пакет, на който искате да създадете правило за защитна стена, като кликнете върху него. След това кликнете върху Инструменти и изберете Правила за ACL за защитната стена.
Използвай продукт меню, за да изберете типа на защитната стена. Wireshark поддържа Cisco IOS, различни видове защитни стени на Linux, включително iptables и защитната стена на Windows.
Можете да използвате филтър кутия, за да създадете правило въз основа на MAC адреса на системата, IP адреса, порта или и двата IP адреса и порта. Може да видите по-малко опции за филтриране, в зависимост от продукта на защитната стена.
По подразбиране инструментът създава правило, което забранява входящия трафик. Можете да промените поведението на правилото, като махнете отметката от Входящ или отричам отметки. След като създадете правило, използвайте копие за да го копирате, след това го стартирайте на защитната стена, за да приложите правилото.
Искате ли да напишем нещо конкретно за Wireshark в бъдеще? Кажете ни в коментарите, ако имате някакви искания или идеи.