Wiresharkilla on vain muutamia temppuja hihassaan, kaapata kauko-liikennettä palomuurisääntöjen luomiseen kaapattujen pakettien perusteella. Lue lisää kehittyneistä vinkistä, jos haluat käyttää Wiresharkia kuin ammattilainen.
Olemme jo käsitelleet Wiresharkin peruskäyttöä, joten muista lukea alkuperäistä artikkeliasi tämän tehokkaan verkkoanalysointityökalun käyttöönottoon.
Pakettien kaappaamisen aikana saatat olla ärsyttävää, että Wireshark näyttää vain IP-osoitteet. Voit muuntaa IP-osoitteet verkkotunnuksiksi, mutta se ei ole liian kätevä.
Wireshark voi automaattisesti ratkaista tämän IP-osoitteen verkkotunnuksiin, vaikka tämä ominaisuus ei ole oletusarvoisesti käytössä. Kun otat tämän vaihtoehdon käyttöön, verkkotunnukset näkyy aina IP-osoitteiden sijasta. Haittapuolena on, että Wiresharkin täytyy etsiä jokaisen verkkotunnuksen nimi, joka saastuttaa kaapattua liikennettä ja lisää DNS-pyyntöjä.
Voit ottaa tämän asetuksen käyttöön avaamalla asetusten ikkunan Muokata -> Asetukset, napsauttamalla Nimi tarkkuus paneeli ja napsauttamalla "Ota verkon nimi -tarkkuus käyttöön"-Valintaruudun.
Voit luoda erityisen pikakuvakkeen käyttämällä Wirsharkin komentorivin argumentteja, jos haluat aloittaa pakettien kaappaamisen viivytyksettä. Sinun on tiedettävä käytettävän verkkoliittymän numero, mikäli Wiresharkin tilaus näyttää liitännät.
Luo kopio Wiresharkin pikakuvakkeesta, napsauta sitä hiiren kakkospainikkeella, siirry Ominaisuudet-ikkunaan ja muuta komentorivin argumentteja. Lisätä -i # -k pikavalinnan loppuun, korvaa # jossa haluat käyttää käyttöliittymää. -I -asetus määrittää käyttöliittymän, kun taas -k-vaihtoehto kertoo Wiresharkille, että se aloittaa kuvaamisen välittömästi.
Jos käytät Linuxia tai jotain muuta kuin Windows-käyttöjärjestelmää, luo pikakuvake seuraavalla komennolla tai suorita se päätelaitteesta aloittaaksesi kaapata välittömästi:
wireshark -i # -k
Jos haluat lisätietoja komentorivin pikavalinnoista, tutustu Wiresharkin manuaalisivuun.
Wireshark kaappaa liikenteen oletusarvoisesti järjestelmän paikallisista rajapinnoista, mutta tämä ei aina ole paikka, josta haluat kaapata. Voit esimerkiksi haluta kaapata liikennettä reitittimestä, palvelimesta tai toisesta tietokoneesta verkon eri paikassa. Tämä on Wiresharkin kauko-kaappausominaisuus. Tämä ominaisuus on käytettävissä vain Windowsissa tällä hetkellä - Wiresharkin virallinen dokumentaatio suosittelee, että Linux-käyttäjät käyttävät SSH-tunnelia.
Ensin sinun on asennettava WinPcap etäjärjestelmään. WinPcapin mukana tulee Wireshark, joten sinun ei tarvitse asentaa WinPCapia, jos sinulla on jo Wireshark asennettuna etäjärjestelmään.
Kun se on suljettu, avaa Palvelin-ikkuna etätietokoneessa - valitse Käynnistä, kirjoita services.msc Käynnistä-valikon hakukenttään ja paina Enter. Etsi Remote Packet Capture Protocol palveluun ja käynnistä se. Tämä palvelu on oletusarvoisesti pois käytöstä.
Klikkaa Capture Options linkki Wiresharkiin, valitse sitten Etä liittymästä.
Syötä kauko-ohjaimen osoite ja 2002 kuin satama. Sinulla on oltava yhteys kauko-ohjaimen porttiin 2002, jotta voit muodostaa yhteyden, joten sinun pitää avata tämä portti palomuurissa.
Kun olet liittänyt yhteyden, voit valita rajapinnan kaukosäätimestä Interface-pudotusvalikosta. Klikkaus alkaa kun olet valinnut liitännän etäkaappauksen käynnistämiseksi.
Jos järjestelmässäsi ei ole graafista käyttöliittymää, voit käyttää Wiresharkia päätelaitteesta, jossa on TShark-komento.
Anna ensin tshark -D komento. Tämä komento antaa sinulle verkkoliitäntöjen numerot.
Kun olet, suorita tshark -i # komento, korvaamalla # käyttöliittymän numerolla, jonka haluat tallentaa.
TShark toimii kuten Wireshark, tulostetaan liikennettä, jonka se kaappaa päätteelle. Käyttää Ctrl-C kun haluat lopettaa kaapata.
Pakettien tulostaminen päätelaitteeseen ei ole hyödyllisin käyttäytyminen. Jos haluamme tarkastella liikennettä tarkemmin, voimme lähettää TShark-tiedoston tiedostoon, jota voimme tarkastella myöhemmin. Käytä tätä komentoa sen sijaan, että kaadetaan liikenne tiedostoon:
tshark -i # -w tiedostonimi
TShark ei näytä paketteja, kun niitä kaapataan, mutta se laskee ne, kun ne kaappaavat ne. Voit käyttää tiedosto -> Avata vaihtoehtoa Wiresharkissa avataksesi kaappaustiedoston myöhemmin.
Lisätietoja TSharkin komentorivin vaihtoehdoista on sen manuaalisen sivun kautta.
Jos olet verkon pääkäyttäjä, joka vastaa palomuurista ja käytät Wiresharkia hautamassa, sinun kannattaa ryhtyä toimiin näkemäsi liikenteen perusteella - ehkä estää epäilyttävää liikennettä. Wireshark n Palomuurin ACL-säännöt työkalu luo komennot, joiden avulla palomuurisääntöjä on luotava.
Valitse ensin paketti, jolle haluat luoda palomuurisäännön, napsauttamalla sitä. Napsauta sen jälkeen Työkalut valikosta ja valitse Palomuurin ACL-säännöt.
Käytä Tuote valikko palomuurityypin valitsemiseksi. Wireshark tukee Cisco IOS: ia, erilaisia Linux-palomuureja, kuten iptablesia ja Windows-palomuuria.
Voit käyttää Suodattaa -ruutuun luoda sääntö, joka perustuu joko järjestelmän MAC-osoitteeseen, IP-osoitteeseen, porttiin tai sekä IP-osoitteeseen että porttiin. Saatat nähdä vähemmän suodatusvaihtoehtoja riippuen palomuurituotteesta.
Oletuksena työkalu luo säännön, joka kieltää saapuvan liikenteen. Voit muokata sääntökäyttäytymistä poistamalla sen Saapuva tai kieltää ruudut.Kun olet luonut säännön, käytä Kopio -painiketta kopioaksesi sen ja suorittamaan sen palomuurilla sääntöä noudattaen.
Haluatteko meidän kirjoittaa tulevaisuudessakin jotain erityistä Wiresharkia? Kerro meille kommentit, jos sinulla on pyyntöjä tai ideoita.
