In precedenza abbiamo dato un'introduzione a Wireshark. e questo post si basa sui nostri post precedenti. Ricordare che è necessario acquisire in una posizione sulla rete in cui è possibile vedere un traffico di rete sufficiente. Se si esegue un'acquisizione sulla workstation locale, è probabile che non si veda la maggior parte del traffico sulla rete. Wireshark può catturare da una postazione remota - controlla il nostro post di trucchi su Wireshark per ulteriori informazioni al riguardo.
Identificazione del traffico peer-to-peer
La colonna del protocollo di Wireshark mostra il tipo di protocollo di ciascun pacchetto. Se stai guardando un'acquisizione di Wireshark, potresti vedere BitTorrent o altro traffico peer-to-peer in agguato.
Puoi vedere quali protocolli vengono utilizzati sulla tua rete da Gerarchia del protocollo strumento, situato sotto il statisticamenu.
L'utilizzo dell'opzione Apply Filter applica il filtro "bittorrent."Puoi saltare il menu del tasto destro e visualizzare il traffico di un protocollo digitandone il nome direttamente nella casella Filtro.
Dal traffico filtrato, possiamo vedere che l'indirizzo IP locale di 192.168.1.64 sta usando BitTorrent.
Per visualizzare tutti gli indirizzi IP usando BitTorrent, possiamo selezionare endpoint nel statistica menu.
Clicca sopra IPv4 scheda e abilitare il "Limita a visualizzare il filtro"Casella di controllo. Vedrai sia gli indirizzi IP remoti sia quelli locali associati al traffico BitTorrent. Gli indirizzi IP locali dovrebbero apparire in cima all'elenco.
Se vuoi vedere i diversi tipi di protocolli supportati da Wireshark e i loro nomi di filtri, seleziona Protocolli abilitati sotto il Analizzare menu.
Monitoraggio dell'accesso al sito web
Ora che sappiamo come interrompere il traffico dal protocollo, possiamo digitare "http"Nella casella Filtro per vedere solo il traffico HTTP. Con l'opzione "Abilita la risoluzione del nome della rete" selezionata, vedremo i nomi dei siti Web a cui si accede sulla rete.
Ancora una volta, possiamo usare il endpoint opzione nel statistica menu.
Clicca sopra IPv4 scheda e abilitare il "Limita a visualizzare il filtro"Nuovamente la casella di controllo. Dovresti anche assicurarti che il "Risoluzione dei nomi"La casella di controllo è abilitata o vedrai solo gli indirizzi IP.
Da qui, possiamo vedere i siti Web a cui si accede. Anche le reti pubblicitarie e i siti Web di terze parti che ospitano script utilizzati su altri siti Web verranno visualizzati nell'elenco.
Se vogliamo abbattere questo da un indirizzo IP specifico per vedere cosa sta navigando un singolo indirizzo IP, possiamo farlo anche noi. Usa il filtro combinato http e ip.addr == [indirizzo IP] per vedere il traffico HTTP associato a uno specifico indirizzo IP.
Tutto ciò è solo un graffio sulla superficie di ciò che puoi fare con Wireshark. È possibile creare filtri molto più avanzati o persino utilizzare lo strumento Regole ACL firewall dal nostro post di trucchi Wireshark per bloccare facilmente i tipi di traffico che troverete qui.
