Predtým sme uviedli úvod do služby Wireshark. a tento príspevok vychádza z našich predchádzajúcich príspevkov. Majte na pamäti, že musíte zachytiť na mieste v sieti, kde môžete vidieť dostatok sieťovej prevádzky. Ak vykonávate snímanie na miestnej pracovnej stanici, pravdepodobne nebudete vidieť väčšinu návštevnosti v sieti. Wireshark dokáže zachytávať zo vzdialeného miesta - pozrite si náš článok o trikoch Wireshark a získajte viac informácií o tom.
Identifikácia návštevnosti peer-to-peer
Stĺpec protokolu Wireshark zobrazuje typ protokolu pre každý paket. Ak sa pozeráte na snímanie Wireshark, môže sa v ňom vyskytovať BitTorrent alebo iná komunikácia typu peer-to-peer.
Môžete vidieť, aké protokoly sa v sieti používajú Hierarchia protokolov nástroj, umiestnený pod štatistikaPonuka.
Použitím možnosti Použiť filter použije filter "bittorrent."Môžete preskočiť menu s pravým kliknutím a zobraziť prevádzku protokolu zadaním jeho názvu priamo do poľa Filter.
Z filtrovanej návštevnosti môžeme vidieť, že lokálna IP adresa 192.168.1.64 používa BitTorrent.
Ak chcete zobraziť všetky adresy IP pomocou BitTorrentu, môžeme vybrať Endpoints v štatistika Ponuka.
Kliknutím na tlačidlo prejdete na IPv4 kartu a zapnite funkciu "Obmedziť zobrazenie filtra"Začiarkavacie políčko. Zobrazia sa vzdialené aj lokálne adresy IP spojené s návštevnosťou BitTorrent. Miestne IP adresy by sa mali objaviť v hornej časti zoznamu.
Ak chcete vidieť rôzne typy protokolov podporujúcich protokol Wireshark a ich názvy filtrov, vyberte položku Povolené protokoly pod analyzovať Ponuka.
Monitorovanie prístupu k webovým stránkam
Teraz, keď vieme, ako prelomiť návštevnosť podľa protokolu, môžeme napísať "http"Do políčka Filter zobraziť iba návštevnosť HTTP. Ak je začiarknutá možnosť Povoliť rozlíšenie názvu siete, uvidíme názvy webových stránok, ku ktorým sa pristupuje v sieti.
Opäť môžeme použiť Endpoints možnosť v štatistika Ponuka.
Kliknutím na tlačidlo prejdete na IPv4 kartu a zapnite funkciu "Obmedziť zobrazenie filtra"Znovu začiarkavacie políčko. Mali by ste tiež zabezpečiť,Rozlíšenie mena"Je povolené alebo uvidíte len adresy IP.
Odtiaľ môžeme vidieť webové stránky, ktoré sú prístupné. V zozname sa tiež zobrazia reklamné siete a webové stránky tretích strán, ktoré obsahujú skripty používané na iných webových stránkach.
Ak chceme rozdeliť túto konkrétnu IP adresu, aby sme videli, čo prechádza jedna IP adresa, môžeme to urobiť aj my. Použite kombinovaný filter http a ip.addr == [IP adresa] aby sa zobrazila návštevnosť HTTP spojená s konkrétnou IP adresou.
To je všetko len poškriabanie povrchu toho, čo môžete robiť s Wireshark. Mohli by ste vytvoriť oveľa pokročilejšie filtre alebo dokonca použiť nástroj Pravidlá ACL pre firewall z nášho príspevku na triky Wireshark, aby ste ľahko zablokovali typy návštevnosti, ktoré nájdete tu.
