Как да се идентифицират мрежовите злоупотреби с Wireshark

Wireshark е швейцарският армейски нож за инструменти за мрежов анализ. Независимо дали търсите трафик от партньорска към партньорска мрежа в мрежата си или просто искате да видите какви уебсайтове има конкретен IP адрес, Wireshark може да работи за вас.

По-рано сме запознали с Wireshark. и тази публикация се основава на предишните ни постове. Имайте предвид, че трябва да заснемате на място в мрежата, където можете да видите достатъчно мрежов трафик. Ако направите заснемане на локалната си работна станция, вероятно няма да видите по-голямата част от трафика в мрежата. Wireshark може да прави снимки от отдалечено място - проверете нашата публикация за трикове за Wireshark за повече информация за това.

Идентифициране на Peer-to-Peer трафик

Колоната на протокола Wireshark показва типа протокол на всеки пакет. Ако гледате Wireshark заснемане, може да видите BitTorrent или друг peer-to-peer трафик, който се крие в него.

Можете да видите какви протоколи се използват във вашата мрежа от Йерархия на протоколите инструмент, намиращ се под Статистика меню.

Този прозорец показва разбивка на използването на мрежата по протокол. От тук можем да видим, че близо 5% от пакетите в мрежата са BitTorrent пакети. Това не звучи много, но BitTorrent също използва UDP пакети. Почти 25 процента от пакетите, класифицирани като UDP пакети данни, също са BitTorrent трафик тук.

Можем да видим само пакетите BitTorrent, като щракнем с десния бутон върху протокола и го приложихме като филтър. Можете да направите същото и за други типове трафик от партньорска към партньорска мрежа, които могат да присъстват, като Gnutella, eDonkey или Soulseek.

С помощта на опцията Прилагане на филтъра се прилага филтърът “BitTorrent.Можете да пропуснете менюто с десен бутон и да видите трафика на протокол, като въведете името му директно в полето Филтър.

От филтрирания трафик можем да видим, че локалният IP адрес на 192.168.1.64 използва BitTorrent.

За да видите всички IP адреси, използвайки BitTorrent, можем да изберем Endpoints в Статистика меню.

Кликнете върху IPv4 раздела и активирайте „Ограничете показването на филтъра". Ще видите както отдалечените, така и локалните IP адреси, свързани с трафика на BitTorrent. Местните IP адреси трябва да се появят в горната част на списъка.

Ако искате да видите различните типове протоколи, поддържащи Wireshark и техните имена на филтри, изберете Активирани протоколи под Анализирам меню.

Можете да започнете да въвеждате протокол, за да го потърсите в прозореца Enabled Protocols.

Мониторинг на достъпа до сайта

Сега, след като знаем как да разбием трафика по протокол, можем да въведем „HTTP”В полето Филтър, за да видите само HTTP трафик. С опцията „Разрешаване на разрешаването на мрежови имена“, ще видим имената на уебсайтовете, до които се осъществява достъп в мрежата.

Отново можем да използваме Endpoints опция в Статистика меню.

Кликнете върху IPv4 раздела и активирайте „Ограничете показването на филтъра". Трябва също да се уверите, че „Резолюция на иметоЕ отметнато или ще виждате само IP адреси.

От тук можем да видим уебсайтовете, до които се осъществява достъп. В списъка ще се появяват и рекламни мрежи и уебсайтове на трети страни, които използват скриптове, използвани на други уебсайтове.

Ако искаме да прекъснем това с конкретен IP адрес, за да видим какво прелиства един IP адрес, можем да направим и това. Използвайте комбинирания филтър http и ip.addr == [IP адрес] за да видите HTTP трафик, свързан с конкретен IP адрес.

Отворете отново диалоговия прозорец Крайни точки и ще видите списък с уебсайтове, до които се осъществява достъп чрез този конкретен IP адрес.

Това е всичко, което се чеше по повърхността на това, което можеш да направиш с Wireshark. Можете да създадете много по-разширени филтри или дори да използвате инструмента за правилата за защитната стена на ACL от нашата публикация за трикове за Wireshark, за да блокирате лесно типовете трафик, които ще намерите тук.