Wireshark има доста хитрости в ръкава си, от улавяне на отдалечен трафик до създаването на правила за защитна стена въз основа на заловени пакети. Прочетете за някои по-съвременни съвети, ако искате да използвате Wireshark като професионалист.
Вече включихме основната употреба на Wireshark, така че не забравяйте да прочетете оригиналната статия за представяне на този мощен инструмент за анализ на мрежата.
При заснемането на пакети може да се притеснявате, че Wireshark показва само IP адреси. Можете да конвертирате IP адресите в имена на домейни сами, но това не е прекалено удобно.
Wireshark може автоматично да разреши тези IP адреси до имена на домейни, въпреки че тази функция не е активирана по подразбиране. Когато активирате тази опция, винаги ще виждате имена на домейни вместо IP адреси. Недостатъкът е, че Wireshark ще трябва да търси всяко име на домейн, като замърсява записания трафик с допълнителни искания за DNS.
Можете да активирате тази настройка, като отворите прозореца с предпочитанията редактиране -> Предпочитания, кликнете върху Резолюция на името панел и кликване върху "Активиране на разрешаването на име на мрежата"Отметка.
Можете да създадете специален пряк път, използвайки аргументите на командния ред на Wirshark, ако искате да започнете да записвате пакети без забавяне. Ще трябва да знаете номера на мрежовия интерфейс, който искате да използвате, въз основа на поръчката Wireshark показва интерфейсите.
Създайте копие на прекия път на Wireshark, щракнете с десния бутон върху него, отидете в прозореца Properties и променете аргументите на командния ред. Добави -и К до края на командата за бърз достъп, замествайки # с номера на интерфейса, който искате да използвате. Опцията -i определя интерфейса, а опцията -k казва на Wireshark да започне незабавно да заснема.
Ако използвате Linux или друга операционна система, която не работи с Windows, трябва само да създадете пряк път със следната команда или да я стартирате от терминал, за да започнете незабавно да заснемате:
wireshark -i # -k
За повече команди за бърз достъп вижте ръководството на Wireshark.
Wireshark улавя трафика от локалните интерфейси на вашата система по подразбиране, но това не винаги е мястото, от което искате да заснемете. Например, може да искате да уловите трафик от рутер, сървър или друг компютър на друго място в мрежата. Това е мястото, където Wireshark има дистанционно заснемане. Тази функция е достъпна само за Windows в момента - официалната документация на Wireshark препоръчва на потребителите на Linux да използват SSH тунел.
Първо, ще трябва да инсталирате WinPcap на отдалечената система. WinPcap идва с Wireshark, така че не е нужно да инсталирате WinPCap, ако вече сте инсталирали Wireshark на отдалечената система.
След като е внедрен, отворете прозореца Услуги на отдалечения компютър - кликнете върху Старт, въведете services.msc в полето за търсене в менюто "Старт" и натиснете Enter. Намерете Протокол за отдалечено получаване на пакети услуга в списъка и да го стартирате. Тази услуга е деактивирана по подразбиране.
Кликнете върху Опция за заснеманеs в Wireshark, след това изберете отдалечен от полето Интерфейс.
Въведете адреса на отдалечената система и 2002 като пристанище. Трябва да имате достъп до порт 2002 на отдалечената система, за да се свържете, така че може да се наложи да отворите този порт в защитната стена.
След свързването можете да изберете интерфейс на отдалечената система от падащото меню Интерфейс. Кликнете начало след като изберете интерфейса, за да стартирате отдалеченото заснемане.
Ако нямате графичен интерфейс на вашата система, можете да използвате Wireshark от терминал с командата TShark.
Първо, издайте tshark -D команда. Тази команда ще ви даде номерата на мрежовите интерфейси.
Щом разполагате, изпълнете tshark -i # команда, замествайки # с номера на интерфейса, който искате да заснемете.
TShark действа като Wireshark, отпечатвайки трафика, който прихваща към терминала. употреба Ctrl-C когато искате да спрете заснемането.
Отпечатването на пакетите на терминала не е най-полезното поведение. Ако искаме да проверим по-подробно трафика, можем да го заредим в файл, който можем да проверим по-късно. Вместо това използвайте тази команда, за да прехвърлите трафик към файл:
tshark -i # -w името на файла
TShark няма да ви покаже пакетите при заснемането им, но ще ги преброи, тъй като ги улавя. Можете да използвате досие -> отворено в Wireshark, за да отворите файла за заснемане по-късно.
За повече информация относно опциите на TShark за командния ред вижте нейната страница с ръководства.
Ако сте мрежов администратор, който отговаря за защитна стена и използвате Wireshark, за да се захванете, може да искате да предприемете действия въз основа на трафика, който виждате - може би да блокирате подозрителен трафик. Wireshark на Правила за ACL за защитната стена инструмент генерира командите, които ще трябва да създадете правила за защитната стена на защитната стена.
Първо, изберете пакет, на който искате да създадете правило за защитна стена, като кликнете върху него. След това кликнете върху Инструменти и изберете Правила за ACL за защитната стена.
Използвай продукт за да изберете вида на защитната стена. Wireshark поддържа Cisco IOS, различни видове защитни стени на Linux, включително iptables и защитната стена на Windows.
Можете да използвате филтър за да създадете правило, основаващо се на MAC адреса на мрежата, IP адреса, порта или IP адреса и порт. Възможно е да видите по-малко опции за филтриране в зависимост от продукта на защитната стена.
По подразбиране инструментът създава правило, което отхвърля входящия трафик. Можете да промените поведението на правилото, като премахнете отметката от Входящ или отричам отметки.След като създадете правило, използвайте копие за да го копирате, след което го стартирайте на защитната стена, за да приложите правилото.
Искате ли да напишем нещо конкретно за Wireshark в бъдеще? Уведомете ни в коментарите, ако имате някакви искания или идеи.
