Sådan identificeres netværksmisbrug med Wireshark
Wireshark er den schweiziske hærkniv af netværksanalyseværktøjer. Uanset om du leder efter peer-to-peer-trafik på dit netværk eller bare vil se, hvilke websteder en bestemt IP-adresse har adgang til, kan Wireshark arbejde for dig.
Vi har tidligere givet en introduktion til Wireshark. og dette indlæg bygger på vores tidligere indlæg. Husk at du skal fange et sted på netværket, hvor du kan se nok netværkstrafik. Hvis du laver en optagelse på din lokale arbejdsstation, vil du sandsynligvis ikke se størstedelen af trafikken på netværket. Wireshark kan gøre fanger fra en fjernplacering - se vores Wireshark-trickspost for mere information om det.
Identifikation af peer-to-peer-trafik
Wiresharks protokolkolonne viser protokolstypen for hver pakke. Hvis du kigger på en Wireshark-optagelse, kan du se, at BitTorrent eller anden peer-to-peer-trafik lurer i det.
Du kan se, hvilke protokoller der bruges på dit netværk fra Protokol Hierarki værktøj, der er placeret under Statistik menu.
Dette vindue viser en sammenbrud af netværksforbrug pr. Protokol. Herfra kan vi se, at næsten 5 procent af pakkerne på netværket er BitTorrent-pakker. Det lyder ikke så meget, men BitTorrent bruger også UDP-pakker. De næsten 25 procent af pakker klassificeret som UDP Data pakker er også BitTorrent trafik her.
Vi kan kun se BitTorrent-pakkerne ved at højreklikke på protokollen og anvende den som et filter. Du kan gøre det samme for andre typer peer-to-peer-trafik, der kan være til stede, såsom Gnutella, eDonkey eller Soulseek.
Ved hjælp af alternativet Apply Filter anvendes filteret "bittorrent."Du kan springe over højreklikmenuen og se en protokols trafik ved at indtaste navnet direkte i filterboksen.
Fra den filtrerede trafik kan vi se, at den lokale IP-adresse på 192.168.1.64 bruger BitTorrent.
For at se alle IP-adresserne ved hjælp af BitTorrent, kan vi vælge endpoints i Statistik menu.
Klik over til IPv4 fanebladet og aktiver "Begræns for at vise filter"Afkrydsningsfelt. Du får vist både de eksterne og lokale IP-adresser, der er forbundet med BitTorrent-trafikken. De lokale IP-adresser skal vises øverst på listen.
Hvis du vil se de forskellige typer protokoller, understøtter Wireshark og deres filternavne, vælg Aktiverede protokoller under Analysere menu.
Du kan begynde at skrive en protokol for at søge efter det i vinduet Aktiverede protokoller.
Overvågning af adgang til hjemmesiden
Nu hvor vi ved, hvordan vi kan bryde trafikken ned ad protokollen, kan vi skrive "http"I filterboksen for kun at se HTTP-trafik. Med valgmuligheden "Aktiver netværksnavnet" markeret, får vi se navnene på de websteder, der er tilgængelige på netværket.
Endnu engang kan vi bruge endpoints mulighed i Statistik menu.
Klik over til IPv4 fanebladet og aktiver "Begræns for at vise filter"Afkrydsningsfelt igen. Du bør også sikre, at "Navneopløsning"Afkrydsningsfeltet er aktiveret, eller du får kun se IP-adresser.
Herfra kan vi se, hvilke websteder der er tilgængelige. Annonceringsnetværk og tredjepartswebsteder, som værtsskripter, der bruges på andre websteder, vises også i listen.
Hvis vi ønsker at bryde dette ned ved en bestemt IP-adresse for at se, hvad en enkelt IP-adresse browser, kan vi også gøre det. Brug det kombinerede filter http og ip.addr == [IP-adresse] at se HTTP-trafik i forbindelse med en bestemt IP-adresse.
Åbn dialogboksen Endpoints igen, og du får vist en liste over websteder, der er tilgængelige for den pågældende IP-adresse.
Dette er alt sammen bare at skrabe overfladen af hvad du kan gøre med Wireshark. Du kan opbygge meget mere avancerede filtre eller endda bruge Firewall ACL Rules værktøjet fra vores Wireshark tricks post for nemt at blokere de typer af trafik, du finder her.