Wireshark – это швейцарский армейский нож инструментов сетевого анализа. Если вы ищете одноранговый трафик в своей сети или просто хотите посмотреть, к каким веб-сайтам обращается определенный IP-адрес, Wireshark может вам помочь.
Ранее мы уже знакомились с Wireshark. и этот пост основан на наших предыдущих постах. Имейте в виду, что вы должны захватывать в месте в сети, где вы можете видеть достаточно сетевого трафика. Если вы делаете захват на своей локальной рабочей станции, вы, скорее всего, не увидите большую часть трафика в сети. Wireshark может делать снимки из удаленного местоположения – ознакомьтесь с нашей статьей о хитростях Wireshark для получения дополнительной информации об этом.
Определение однорангового трафика
Столбец протокола Wireshark отображает тип протокола каждого пакета. Если вы смотрите на захват Wireshark, вы можете увидеть BitTorrent или другой одноранговый трафик, скрывающийся в нем.
Вы можете увидеть, какие протоколы используются в вашей сети, с помощью инструмента Иерархия протоколов , расположенного в меню Статистика .
Это окно показывает разбивку использования сети по протоколу. Отсюда видно, что почти 5 процентов пакетов в сети являются пакетами BitTorrent. Это не так много, но BitTorrent также использует UDP-пакеты. Почти 25 процентов пакетов, классифицированных как пакеты данных UDP, также являются трафиком BitTorrent.
Мы можем просматривать только пакеты BitTorrent, щелкнув правой кнопкой мыши по протоколу и применив его в качестве фильтра. Вы можете сделать то же самое для других типов однорангового трафика, например Gnutella, eDonkey или Soulseek.
При использовании параметра «Применить фильтр» применяется фильтр « bittorrent. ». Вы можете пропустить контекстное меню и просмотреть трафик протокола, введя его имя непосредственно в поле «Фильтр».
Из отфильтрованного трафика видно, что локальный IP-адрес 192.168.1.64 использует BitTorrent.
Чтобы просмотреть все IP-адреса с помощью BitTorrent, мы можем выбрать Конечные точки в меню Статистика .
Перейдите на вкладку IPv4 и установите флажок « Ограничить отображение фильтра ». Вы увидите как удаленные, так и локальные IP-адреса, связанные с трафиком BitTorrent. Локальные IP-адреса должны отображаться в верхней части списка.
Если вы хотите увидеть различные типы протоколов, поддерживаемых Wireshark, и имена их фильтров, выберите Включенные протоколы в меню Анализ .
Вы можете начать вводить протокол для его поиска в окне Enabled Protocols.
Мониторинг доступа к сайту
Теперь, когда мы знаем, как разбить трафик по протоколу, мы можем ввести «em» http в поле «Фильтр», чтобы увидеть только HTTP-трафик. Если флажок «Включить разрешение сетевых имен» установлен, мы увидим имена веб-сайтов, к которым осуществляется доступ в сети.
Еще раз, мы можем использовать параметр Конечные точки в меню Статистика .
Перейдите на вкладку IPv4 и снова установите флажок Limit to display filter . Вы также должны убедиться, что флажок Разрешение имен включен, или вы увидите только IP-адреса.
Отсюда мы можем видеть доступ к веб-сайтам. Рекламные сети и сторонние веб-сайты, на которых размещены скрипты, используемые на других веб-сайтах, также появятся в списке.
Если мы хотим разбить это по определенному IP-адресу, чтобы увидеть, что просматривает один IP-адрес, мы тоже можем это сделать. Используйте комбинированный фильтр http и ip.addr == [IP-адрес] , чтобы просмотреть HTTP-трафик, связанный с конкретным IP-адресом.
Снова откройте диалоговое окно «Конечные точки», и вы увидите список веб-сайтов, доступ к которым осуществляется по данному IP-адресу.
Это всего лишь царапина на поверхности того, что вы можете сделать с помощью Wireshark. Вы можете создать гораздо более сложные фильтры или даже использовать инструмент «Правила ACL для брандмауэра» из нашего поста о трюках с Wireshark, чтобы легко заблокировать типы трафика, которые вы найдете здесь.
