Slik identifiserer du nettverksmisbruk med Wireshark

Wireshark er den sveitsiske hærkniven av nettverksanalyseværktøy. Enten du leter etter peer-to-peer-trafikk på nettverket ditt eller bare vil se hvilke nettsteder en bestemt IP-adresse har tilgang til, kan Wireshark jobbe for deg.

Vi har tidligere gitt en introduksjon til Wireshark. og dette innlegget bygger på våre tidligere innlegg. Husk at du må fange på et sted på nettverket der du kan se nok nettverkstrafikk. Hvis du tar en fangst på din lokale arbeidsstasjon, vil du sannsynligvis ikke se størstedelen av trafikken på nettverket. Wireshark kan ta fanger fra en ekstern plassering - sjekk ut vårt Wireshark-triksepost for mer informasjon om det.

Identifisere Peer-to-Peer-trafikk

Wiresharks protokollkolonne viser protokolltypen for hver pakke. Hvis du ser på en Wireshark-fangst, kan du se at BitTorrent eller annen peer-to-peer-trafikk lurker i det.

Du kan se akkurat hvilke protokoller som brukes på nettverket ditt fra Protokollhierarki verktøy, plassert under Statistikk Meny.

Dette vinduet viser en sammenbrudd av nettverksbruk etter protokoll. Herfra kan vi se at nesten 5 prosent av pakkene på nettverket er BitTorrent-pakker. Det høres ikke så mye ut, men BitTorrent bruker også UDP-pakker. De nesten 25 prosent av pakkene som er klassifisert som UDP Data pakker, er også BitTorrent-trafikk her.

Vi kan bare vise BitTorrent-pakkene ved å høyreklikke protokollen og bruke den som et filter. Du kan gjøre det samme for andre typer peer-to-peer-trafikk som kan være til stede, for eksempel Gnutella, eDonkey eller Soulseek.

Ved hjelp av alternativet Apply Filter brukes filteret "bittorrent."Du kan hoppe over høyreklikkmenyen og se en protokolls trafikk ved å skrive navnet direkte inn i filterboksen.

Fra den filtrerte trafikken kan vi se at den lokale IP-adressen til 192.168.1.64 bruker BitTorrent.

For å vise alle IP-adressene ved hjelp av BitTorrent, kan vi velge endepunkter i Statistikk Meny.

Klikk over til IPv4 kategorien og aktiver "Begrens for å vise filter"I boksen. Du får se både de eksterne og lokale IP-adressene som er knyttet til BitTorrent-trafikken. De lokale IP-adressene skal vises øverst på listen.

Hvis du vil se de forskjellige typer protokoller, støtter Wireshark og deres filternavn, velger du Aktiverte protokoller under Analysere Meny.

Du kan begynne å skrive en protokoll for å søke etter det i vinduet Aktiverte protokoller.

Overvåking av tilgang til nettstedet

Nå som vi vet hvordan vi kan bryte trafikk ned etter protokoll, kan vi skrive "http"I filterboksen for å se bare HTTP-trafikk. Med alternativet "Aktiver nettverksnavnoppløsning" merket, ser vi navnene på nettstedene som blir åpnet på nettverket.

Igjen kan vi bruke endepunkter alternativ i Statistikk Meny.

Klikk over til IPv4 kategorien og aktiver "Begrens for å vise filter"I boksen igjen. Du bør også sørge for at "Navnoppløsning"Er merket av, eller du ser bare IP-adresser.

Herfra kan vi se at nettsidene er tilgjengelige. Annonseringsnettverk og tredjepartswebsteder som vertsskript som brukes på andre nettsteder, vises også i listen.

Hvis vi ønsker å bryte dette ned av en bestemt IP-adresse for å se hva en enkelt IP-adresse leser, kan vi også gjøre det. Bruk det kombinerte filteret http og ip.addr == [IP-adresse] for å se HTTP-trafikk tilknyttet en bestemt IP-adresse.

Åpne Endpoints-dialogboksen igjen, og du får se en liste over nettsteder som er tilgjengelige for den bestemte IP-adressen.

Dette er alt bare å skrape overflaten av hva du kan gjøre med Wireshark. Du kan bygge mye mer avanserte filtre, eller til og med bruke Firewall ACL Rules-verktøyet fra vårt Wireshark-trickspost for å blokkere de typer trafikk du finner her.