Ранее мы познакомились с Wireshark. и этот пост основывается на наших предыдущих постах. Имейте в виду, что вы должны захватывать местоположение в сети, где вы можете видеть достаточный сетевой трафик. Если вы выполняете захват на своей локальной рабочей станции, вы, вероятно, не увидите большую часть трафика в сети. Wireshark может делать снимки из удаленного места - ознакомьтесь с нашим сообщением об уловках Wireshark для получения дополнительной информации об этом.
Идентификация однорангового трафика
В столбце протокола Wireshark отображается тип протокола для каждого пакета. Если вы смотрите на захват Wireshark, вы можете увидеть BitTorrent или другой одноранговый трафик, скрывающийся в нем.
Вы можете видеть, какие протоколы используются в вашей сети из Иерархия протоколов инструмент, расположенный под Статистикаменю.
При использовании параметра Apply Filter применяется фильтр битторрент.«Вы можете пропустить меню правой кнопки мыши и просмотреть трафик протокола, введя его имя непосредственно в поле« Фильтр ».
Из фильтрованного трафика видно, что локальный IP-адрес 192.168.1.64 использует BitTorrent.
Чтобы просмотреть все IP-адреса с помощью BitTorrent, мы можем выбрать Endpoints в Статистика меню.
Перейдите к IPv4 и включить "Ограничить отображение фильтра". Вы увидите как удаленные, так и локальные IP-адреса, связанные с трафиком BitTorrent. Локальные IP-адреса должны отображаться в верхней части списка.
Если вы хотите увидеть различные типы протоколов Wireshark и их имена фильтров, выберите Включенные протоколы под анализировать меню.
Мониторинг доступа к сайту
Теперь, когда мы знаем, как разорвать трафик по протоколу, мы можем ввести HTTP«В поле« Фильтр », чтобы видеть только HTTP-трафик. При включенной опции «Разрешить разрешение сетевого имени» мы увидим имена веб-сайтов, которые будут доступны в сети.
Еще раз, мы можем использовать Endpoints в Статистика меню.
Перейдите к IPv4 и включить "Ограничить отображение фильтра"Снова. Вы также должны убедиться, что "Разрешение имен», Или вы увидите только IP-адреса.
Отсюда мы можем видеть доступ к веб-сайтам. В списке также появятся рекламные сети и сторонние веб-сайты, на которых размещаются скрипты, используемые на других сайтах.
Если мы хотим разбить это на определенный IP-адрес, чтобы увидеть, что просматривает один IP-адрес, мы тоже можем это сделать. Использовать комбинированный фильтр http и ip.addr == [IP-адрес] для просмотра HTTP-трафика, связанного с определенным IP-адресом.
Это все просто царапает поверхность того, что вы можете сделать с Wireshark. Вы могли бы создавать гораздо более продвинутые фильтры или даже использовать инструмент правил ACL для брандмауэра из нашего сообщения об уловках Wireshark, чтобы легко блокировать типы трафика, которые вы найдете здесь.