Мы уже рассмотрели базовое использование Wireshark, поэтому не забудьте прочитать нашу оригинальную статью для ознакомления с этим мощным инструментом анализа сети.
Разрешение имени сети
При захвате пакетов вы можете быть недовольны тем, что Wireshark отображает только IP-адреса. Вы можете конвертировать IP-адреса в имена доменов самостоятельно, но это не слишком удобно.
Вы можете включить этот параметр, открыв окно настроек из редактировать -> предпочтения, нажав Разрешение имен и нажмите кнопку "Включить разрешение имен сети".
Автоматически запускать захват
Вы можете создать специальный ярлык, используя аргументы командной строки Wirshark, если вы хотите начать захват пакетов без задержек. Вам нужно знать номер сетевого интерфейса, который вы хотите использовать, на основе порядка Wireshark отображает интерфейсы.
Создайте копию ярлыка Wireshark, щелкните его правой кнопкой мыши, зайдите в его окно «Свойства» и измените аргументы командной строки. добавлять - i # -k до конца ярлыка, заменив # с номером интерфейса, который вы хотите использовать. Опция -i указывает интерфейс, в то время как опция -k сообщает Wireshark немедленно начать запись.
wireshark -i # -k
Дополнительные ссылки для командной строки см. В справочной странице Wireshark.
Захват трафика с удаленных компьютеров
Wireshark фиксирует трафик с локальных интерфейсов вашей системы по умолчанию, но это не всегда место, из которого вы хотите захватить. Например, вы можете захотеть захватить трафик с маршрутизатора, сервера или другого компьютера в другом месте в сети. Здесь присутствует функция удаленного захвата Wireshark. Эта функция доступна только в Windows на данный момент - официальная документация Wireshark рекомендует пользователям Linux использовать SSH-туннель.
Во-первых, вам придется установить WinPcap в удаленной системе. WinPcap поставляется с Wireshark, поэтому вам не нужно устанавливать WinPCap, если у вас уже установлена Wireshark на удаленной системе.
После того, как он не установлен, откройте окно «Службы» на удаленном компьютере - нажмите «Пуск», введите services.msc в поле поиска в меню «Пуск» и нажмите «Ввод». Найдите Протокол удаленной передачи пакетов сервис в списке и запустите его. По умолчанию эта служба отключена.
Нажмите Опция захватассылку в Wireshark, затем выберите Дистанционный пульт из окна интерфейса.
Введите адрес удаленной системы и 2002 как порт. У вас должен быть доступ к порту 2002 в удаленной системе для подключения, поэтому вам может понадобиться открыть этот порт в брандмауэре.
После подключения вы можете выбрать интерфейс в удаленной системе в раскрывающемся списке Интерфейс. Нажмите Начните после выбора интерфейса для запуска удаленного захвата.
Wireshark в терминале (TShark)
Если у вас нет графического интерфейса в вашей системе, вы можете использовать Wireshark с терминала с помощью команды TShark.
Во-первых, tshark -D команда. Эта команда даст вам номера ваших сетевых интерфейсов.
После этого запустите tshark -i #, заменив # номером интерфейса, который вы хотите захватить.
TShark действует как Wireshark, печатая трафик, который он захватывает на терминал. использование Ctrl-C, когда вы хотите остановить захват.
Печать пакетов на терминал не является наиболее полезным поведением. Если мы хотим проверить трафик более подробно, мы можем заставить TShark выгрузить его в файл, который мы можем проверить позже. Вместо этого используйте эту команду, чтобы сбрасывать трафик в файл:
tshark -i # -w filename
TShark не покажет вам пакеты, поскольку они захватываются, но они будут считать их, когда они захватывают их. Вы можете использовать файл -> открыто в Wireshark, чтобы открыть файл захвата позже.
Дополнительные сведения о параметрах командной строки TShark см. На странице руководства.
Создание правил ACL брандмауэра
Если вы являетесь сетевым администратором, отвечающим за брандмауэр, и вы используете Wireshark, чтобы выкарабкаться, вы можете принять меры на основе трафика, который вы видите - возможно, чтобы заблокировать некоторый подозрительный трафик. Wireshark-х Правила ACL брандмауэра инструмент генерирует команды, необходимые для создания правил брандмауэра на вашем брандмауэре.
Сначала выберите пакет, который вы хотите создать правило брандмауэра, на основе щелчка по нему. После этого нажмите инструменты меню и выберите Правила ACL брандмауэра.
Использовать Товар для выбора типа брандмауэра. Wireshark поддерживает Cisco IOS, различные типы брандмауэров Linux, включая iptables и брандмауэр Windows.
Вы можете использовать Фильтр чтобы создать правило, основанное на MAC-адресе любой системы, IP-адресе, порту или обоих IP-адресах и портах. В зависимости от вашего продукта брандмауэра вы можете увидеть меньше параметров фильтра.
По умолчанию инструмент создает правило, запрещающее входящий трафик. Вы можете изменить поведение правила, сняв флажок прибывающий или же Отрицать флажки. После того, как вы создали правило, используйте копия чтобы скопировать его, затем запустите его на брандмауэре, чтобы применить правило.
Вы хотите, чтобы мы писали что-нибудь конкретное о Wireshark в будущем? Сообщите нам в комментариях, если у вас есть какие-либо просьбы или идеи.
