5 žudikų gudrybės, kad gautumėte maksimalią naudą iš Wireshark
„Wireshark“ turi daugybę triukų savo rankovėmis, nuo nuotolinio srauto užfiksavimo iki užkardos taisyklių, pagrįstų užfiksuotais paketais, kūrimo. Jei norite naudoti „Wireshark“ kaip profesionalą, skaitykite daugiau patarimų.
Mes jau aprėpėme pagrindinį „Wireshark“ naudojimą, todėl būtinai perskaitykite mūsų originalų straipsnį, kad galėtumėte susipažinti su šiuo galingu tinklo analizės įrankiu.
Tinklo pavadinimo raiška
Užfiksavę paketus, gali būti sujaudintas, kad „Wireshark“ rodo tik IP adresus. IP adresus galite konvertuoti į domenų vardus, tačiau tai nėra pernelyg patogi.
„Wireshark“ gali automatiškai išspręsti šiuos IP adresus prie domeno vardų, nors ši funkcija nėra įjungta pagal numatytuosius nustatymus. Kai įgalinsite šią parinktį, vietoj IP adresų, kai tik įmanoma, pamatysite domenų vardus. Trūkumas yra tai, kad Wireshark turės ieškoti kiekvieno domeno vardo, užteršdamas užfiksuotą srautą su papildomais DNS prašymais.
Šį nustatymą galite įjungti atidarydami parinkčių langą Redaguoti -> Nuostatos, spustelėję Pavadinimas Rezoliucija ir spustelėję „Įgalinti tinklo pavadinimo rezoliuciją" žymimasis langelis.
Pradėkite užfiksuoti automatiškai
Jei norite pradėti užfiksuoti paketus nedelsiant, galite sukurti specialią nuorodą naudodami Wirshark komandinės eilutės argumentus. Turėsite žinoti tinklo sąsajos, kurią norite naudoti, numerį, pagal užsakymą „Wireshark“ rodo sąsajas.
Sukurkite Wireshark nuorodos kopiją, spustelėkite jį dešiniuoju pelės klavišu, eikite į jo ypatybių langą ir pakeiskite komandų eilutės argumentus. Papildyti -i # -k iki nuorodos pabaigos, pakeičiant # su norimos naudoti sąsajos numeriu. „-I“ parinktis nurodo sąsają, o „K“ parinktis nurodo „Wireshark“ nedelsiant užfiksuoti.
Jei naudojate „Linux“ ar kitą ne „Windows“ operacinę sistemą, tiesiog sukurkite nuorodą su šia komanda arba paleiskite ją iš terminalo, kad galėtumėte nedelsiant pradėti užfiksuoti:
wireshark -i # -k
Norėdami gauti daugiau komandinės eilutės nuorodų, patikrinkite Wireshark vadovą.
Eismo užfiksavimas iš nuotolinių kompiuterių
„Wireshark“ pagal numatytuosius nustatymus užfiksuoja srautą iš jūsų sistemos vietinių sąsajų, tačiau tai ne visada yra vieta, kurią norite užfiksuoti. Pvz., Galbūt norėsite užfiksuoti srautą iš maršrutizatoriaus, serverio ar kito kompiuterio kitoje tinklo vietoje. Tai yra vieta, kur ateina „Wireshark“ nuotolinio fiksavimo funkcija. Ši funkcija prieinama tik „Windows“ šiuo metu - oficialus „Wireshark“ dokumentas rekomenduoja „Linux“ naudotojams naudoti SSH tunelį.
Pirma, jūs turite įdiegti „WinPcap“ į nuotolinę sistemą. „WinPcap“ ateina su „Wireshark“, taigi jums nereikia įdiegti „WinPCap“, jei jau turite „Wireshark“ įdiegtą nuotolinėje sistemoje.
Po to, kai jis bus išjungtas, atidarykite langą „Paslaugos“ nuotoliniame kompiuteryje - spustelėkite Pradėti, įveskite services.msc į paieškos laukelį meniu Pradėti ir paspauskite „Enter“. Raskite „Remote Packet Capture“ protokolas paslaugą sąraše ir paleiskite jį. Ši paslauga pagal nutylėjimą yra išjungta.
Spustelėkite Fotografavimo parinktiss nuorodą Wireshark, tada pasirinkite Nuotolinis iš sąsajos dėžutės.
Įveskite nuotolinės sistemos adresą ir 2002 m kaip uostas. Kad galėtumėte prisijungti, turite turėti prieigą prie 2002 m. Nuotolinės sistemos prievado, todėl gali tekti atidaryti šį prievadą ugniasienėje.
Prijungę, galite pasirinkti nuotolinės sistemos sąsają iš išskleidžiamojo lango Sąsaja. Spustelėkite Pradėti pasirinkus sąsają, kad pradėtumėte nuotolinį fiksavimą.
„Wireshark“ terminale (TShark)
Jei neturite savo sistemoje grafinės sąsajos, galite naudoti „Wireshark“ iš terminalo su TShark komanda.
Pirma, išduokite tshark -D komandą. Ši komanda suteiks jūsų tinklo sąsajų numerius.
Kai turite, paleiskite tshark -i # komandą, pakeisdami # su sąsajos, kurią norite užfiksuoti, numeriu.
TShark veikia kaip „Wireshark“, spausdindamas srautą, kurį jis užfiksuoja į terminalą. Naudokite Ctrl-C kai norite sustabdyti surinkimą.
Paketų spausdinimas į terminalą nėra naudingiausias elgesys. Jei norime išsamiau apžiūrėti eismą, TShark galime perkelti jį į failą, kurį galime patikrinti vėliau. Vietoj to, naudokite šią komandą, kad iškelstumėte srautą į failą:
tshark -i # -w failo pavadinimas
TShark neparodys jums paketų, kai jie bus užfiksuoti, tačiau jie juos suskaičiuos, nes juos užfiksuos. Galite naudoti Failas -> Atviras „Wireshark“ parinktis atidaryti fotografavimo failą vėliau.
Norėdami gauti daugiau informacijos apie TShark komandinės eilutės parinktis, peržiūrėkite jo vadovą.
Firewall ACL taisyklių kūrimas
Jei esate tinklo administratorius, atsakingas už užkardą, ir jūs naudojate „Wireshark“, kad galėtumėte apsisukti, galbūt norėsite imtis veiksmų pagal matomą srautą - galbūt blokuoti tam tikrą įtartiną srautą. „Wireshark“ Firewall ACL taisyklės įrankis generuoja komandas, kurias reikia sukurti ugniasienės taisykles.
Pirmiausia pasirinkite paketą, kurį norite sukurti užkardos taisyklę, paspaudę ant jo. Po to spustelėkite Įrankiai meniu ir pasirinkite Firewall ACL taisyklės.
Naudoti Produktas meniu, norėdami pasirinkti užkardos tipą. „Wireshark“ palaiko „Cisco IOS“, įvairių tipų „Linux“ užkardas, įskaitant „iptables“, ir „Windows“ užkardą.
Galite naudoti Filtras langelį, jei norite sukurti taisyklę, pagrįstą sistemos MAC adresu, IP adresu, prievadu arba IP adresu ir uoste. Priklausomai nuo jūsų užkardos produkto, galite matyti mažiau filtro parinkčių.
Pagal numatytuosius nustatymus įrankis sukuria taisyklę, kuri neigia atvykstamąjį srautą. Taisyklių elgseną galite pakeisti išvalydami Gaunamas arba Neleisti langeliai. Sukūrę taisyklę naudokite Kopijuoti mygtuką, kad kopijuotumėte jį, tada paleiskite jį užkardoje, kad galėtumėte taikyti taisyklę.
Ar norite, kad ateityje rašytume ką nors apie Wireshark? Komentuok, jei turite kokių nors užklausų ar idėjų, praneškite mums.