Wireshark on Sveitsin armeijan verkkoanalysointityökalun veitsi. Etsitpä sitten vertaisverkkoyhteyttä verkostossasi tai haluat vain nähdä, mitä verkkosivustoja tietty IP-osoite käyttää, Wireshark voi työskennellä puolestasi.
Olemme aiemmin ottaneet käyttöön johdannot Wiresharkille. ja tämä viesti perustuu edellisiin virkoihimme. Muista, että sinun on kaapattava verkon sijaintipaikassa, jossa näet tarpeeksi verkkoliikennettä. Jos teet kaappauksen paikallisella työasemalla, et todennäköisesti näe suurta osaa verkon liikenteestä. Wireshark voi tehdä kaappauksia etäiseltä paikalta - tutustu Wireshark-temppuja postitse saadaksesi lisätietoja siitä.
Wiresharkin protokollakerroin näyttää kunkin paketin protokollatyypin. Jos katsot Wireshark-kaappausta, näet BitTorrentin tai muun peer-to-peer-liikenteen valehtelevan siihen.
Näet, mitä protokollia käytetään verkossasi Protokollien hierarkia työkalu, joka sijaitsee tilastovalikko.
Tässä ikkunassa näkyy verkon käytön jakautuminen protokollana. Tästä näemme, että lähes 5 prosenttia verkon paketeista on BitTorrent-paketteja. Tämä ei vaikuta paljon, mutta BitTorrent käyttää myös UDP-paketteja. Lähes 25 prosenttia UDP-datapaketeista luokitelluista paketeista on myös BitTorrent-liikennettä.
Voimme tarkastella vain BitTorrent-paketteja napsauttamalla hiiren oikealla painikkeella protokollaa ja käyttämällä sitä suodattimena. Voit tehdä samanlaisen muun vertaistason liikenteen osalta, kuten Gnutella, eDonkey tai Soulseek.
Käytä suodatus -asetusta käyttämällä suodatinta "bittorrent."Voit ohittaa oikean klikkauksen valikon ja tarkastella protokollan liikennettä kirjoittamalla sen nimen suoraan Suodatin-ruutuun.
Suodatusta liikenteestä voimme nähdä, että 192.168.1.64: n paikallinen IP-osoite käyttää BitTorrentia.
Voit tarkastella kaikkia IP-osoitteita BitTorrentin avulla Endpoints vuonna tilasto valikko.
Napsauta yli IPv4 välilehti ja ota käyttöön "Rajoita näyttösuodatin"-Valintaruudun. Näet sekä BitTorrent-liikenteeseen liittyvät etä- että paikalliset IP-osoitteet. Paikalliset IP-osoitteet näkyvät luettelon yläosassa.
Jos haluat nähdä erilaiset protokollat Wireshark tukee ja niiden suodatinnimet, valitse Käytössä olevat protokollat alla Analysoida valikko.
Voit aloittaa protokollan kirjoittamisen etsimällä sen Enabled Protocols -ikkunassa.
Nyt, kun tiedämme, miten rikkoa liikennettä protokollaa käyttäen, voimme kirjoittaa "http"Nähdäksesi vain HTTP-liikenteen Suodatin-ruutuun. Kun valitaan Verkkoasetusten määrittäminen -asetus, verkon verkkosivustojen nimet näkyvät verkossa.
Jälleen kerran voimme käyttää Endpoints vaihtoehto tilasto valikko.
Napsauta yli IPv4 välilehti ja ota käyttöön "Rajoita näyttösuodatin"Valintaruutu uudelleen. Sinun on myös varmistettava, että "Nimen resoluutio"-Valintaruutu on käytössä tai näet vain IP-osoitteet.
Täältä voimme nähdä sivustot, joihin pääsee. Myös mainosverkostot ja kolmannen osapuolen verkkosivustot, jotka ylläpitävät muita sivustoja käyttäviä komentosarjoja, näkyvät myös luettelossa.
Jos haluamme katkaista tämän tietyn IP-osoitteen avulla nähdäksesi, mitä yksittäinen IP-osoite selailee, voimme tehdä sen myös. Käytä yhdistettyä suodatinta http ja ip.addr == [IP-osoite] nähdäksesi tiettyyn IP-osoitteeseen liittyvän HTTP-liikenteen.
Avaa päätepisteiden valintaikkuna uudelleen ja näet luettelon verkkosivustoista, joihin kyseinen IP-osoite käyttää.
Tämä on vain naarmuuntumista, mitä voit tehdä Wiresharkilla. Voit rakentaa paljon kehittyneempiä suodattimia tai jopa käyttää Firewall ACL Rules -työkalua Wireshark-temppujen postista, jotta voit helposti estää tämän tyyppiset liikennetyypit.