5 Killer Tricks at få mest muligt ud af Wireshark
Wireshark har et par tricks på ærmerne, fra at fange fjerntrafik til at oprette firewallregler baseret på indfangede pakker. Læs videre for nogle mere avancerede tips, hvis du vil bruge Wireshark som en proff.
Vi har allerede dækket grundlæggende brug af Wireshark, så sørg for at læse vores originale artikel for en introduktion til dette kraftfulde netværksanalyseværktøj.
Netværksnavn Resolution
Mens du optager pakker, kan du blive irriteret, at Wireshark kun viser IP-adresser. Du kan selv konvertere IP-adresserne til domænenavne, men det er ikke for praktisk.
Wireshark kan automatisk løse denne IP-adresse til domænenavne, selvom denne funktion ikke er aktiveret som standard. Når du aktiverer denne indstilling, vil du så vidt muligt se domænenavne i stedet for IP-adresser. Ulempen er, at Wireshark bliver nødt til at slå op hvert domænenavn, forurening af den fangede trafik med yderligere DNS-anmodninger.
Du kan aktivere denne indstilling ved at åbne indstillingsvinduet fra Redigere -> Indstillinger, klikke på Navn Resolution panel og klikke på "Aktivér netværksnavnetopløsning"Afkrydsningsfelt.
Start med at fange automatisk
Du kan oprette en særlig genvej ved hjælp af Wirsharks kommandolinjeparametre, hvis du vil begynde at fange pakker straks. Du skal vide nummeret på den netværksgrænseflade, du vil bruge, baseret på ordren Wireshark viser grænsefladerne.
Opret en kopi af Wiresharks genvej, højreklik på den, gå ind i egenskabsvinduet og ændre kommandolinjeparametrene. Tilføje -jeg # -k til slutningen af genvejen, udskiftning # med nummeret på den grænseflade, du vil bruge. Indstillingen -i angiver grænsefladen, mens optionen -k fortæller Wireshark at begynde at fange med det samme.
Hvis du bruger Linux eller et andet ikke-Windows-operativsystem, skal du bare oprette en genvej med følgende kommando eller køre den fra en terminal for at begynde at fange med det samme:
wireshark -i # -k
For mere kommandolinje genveje, se Wireshark's manuelle side.
Fange trafik fra fjerncomputere
Wireshark fanger som standard trafik fra systemets lokale grænseflader, men det er ikke altid den placering, du vil fange fra. Du kan f.eks. Fange trafik fra en router, server eller en anden computer på en anden placering på netværket. Det er her, Wiresharks fjernoptagelsesfunktion kommer ind. Denne funktion er kun tilgængelig på Windows i øjeblikket - Wiresharks officielle dokumentation anbefaler, at Linux-brugere bruger en SSH-tunnel.
Først skal du installere WinPcap på fjernsystemet. WinPcap leveres med Wireshark, så du behøver ikke installere WinPCap, hvis du allerede har Wireshark installeret på fjernsystemet.
Når det ikke er tilfældet, skal du åbne vinduet Services på fjerncomputeren - klik på Start, skriv services.msc i søgefeltet i menuen Start og tryk på Enter. Find den Remote Packet Capture Protocol service i listen og starte den. Denne tjeneste er deaktiveret som standard.
Klik på knappen Optagelsesmuligheds link i Wireshark, vælg derefter Fjern fra grænsefladen.
Indtast adressen til fjernsystemet og 2002 som havnen. Du skal have adgang til port 2002 på fjernsystemet for at oprette forbindelse, så du skal muligvis åbne denne port i en firewall.
Efter tilslutning kan du vælge en grænseflade på fjernbetjeningen fra rullemenuen Interface. Klik Start efter at have valgt grænsefladen for at starte fjernoptagelsen.
Wireshark i en terminal (TShark)
Hvis du ikke har en grafisk grænseflade på dit system, kan du bruge Wireshark fra en terminal med TShark kommandoen.
Først udstedes tshark -D kommando. Denne kommando giver dig antallet af dine netværksgrænseflader.
Når du har det, skal du køre tshark -i # kommando, erstatter # med nummeret på den grænseflade, du vil fange på.
TShark virker som Wireshark, udskrivning af den trafik, den fanger til terminalen. Brug Ctrl-C når du vil stoppe optagelsen.
Udskrivning af pakkerne til terminalen er ikke den mest nyttige opførsel. Hvis vi ønsker at inspicere trafikken mere detaljeret, kan vi få TShark dump det til en fil, som vi kan inspicere senere. Brug denne kommando i stedet for at dump trafik til en fil:
tshark -i # -w filnavn
TShark vil ikke vise dig pakkerne som de bliver fanget, men det vil tælle dem, da det fanger dem. Du kan bruge Fil -> Åben mulighed i Wireshark for at åbne fangstfilen senere.
For mere information om TSharks kommandolinje muligheder, tjek den manuelle side.
Oprettelse af Firewall ACL-regler
Hvis du er en netværksadministrator, der har ansvaret for en firewall, og du bruger Wireshark til at kaste dig rundt, kan du måske tage handling baseret på den trafik, du ser - måske for at blokere for mistænkelig trafik. Wireshark s Firewall ACL-regler værktøj genererer de kommandoer, du skal bruge til at oprette firewallregler på din firewall.
Vælg først en pakke, du vil oprette en firewall-regel baseret på, ved at klikke på den. Herefter klikker du på Værktøj menuen og vælg Firewall ACL-regler.
Brug Produkt menuen for at vælge din firewall type. Wireshark understøtter Cisco IOS, forskellige typer af Linux firewalls, herunder iptables og Windows firewall.
Du kan bruge Filter boks for at oprette en regel baseret på systemets MAC-adresse, IP-adresse, port eller både IP-adressen og porten. Du kan få færre filterindstillinger afhængigt af dit firewallprodukt.
Som standard opretter værktøjet en regel, der nægter indgående trafik. Du kan ændre reglens adfærd ved at fjerne markeringen af Indgående eller Nægte afkrydsningsfelter. Når du har oprettet en regel, skal du bruge Kopi knappen for at kopiere den og derefter køre den på din firewall for at anvende reglen.
Vil du have os til at skrive noget specifikt om Wireshark i fremtiden? Lad os vide i kommentarerne, hvis du har nogen anmodninger eller ideer.
