Wireshark har ett par knep på sin ärm, från att ta bort fjärrtrafik för att skapa brandväggsregler baserade på fångade paket. Läs vidare om några mer avancerade tips om du vill använda Wireshark som ett proffs.

Vi har redan täckt grundläggande användningen av Wireshark, så var noga med att läsa vår ursprungliga artikel för en introduktion till det här kraftfulla nätverksanalysverktyget.

Nätverksnamnslösning

Medan du tar upp paket kan du vara irriterad att Wireshark bara visar IP-adresser. Du kan konvertera IP-adresserna till domännamn själv, men det är inte så bekvämt.

Wireshark kan automatiskt lösa IP-adressen till domännamn, även om den här funktionen inte är aktiverad som standard. När du aktiverar det här alternativet ser du domännamn istället för IP-adresser när det är möjligt. Nackdelen är att Wireshark måste titta upp varje domännamn och förorena den infångade trafiken med ytterligare DNS-förfrågningar.

Du kan aktivera den här inställningen genom att öppna inställningsfönstret från Redigera -> Inställningar , klicka på kryssrutan Namnupplösning och klicka på kryssrutan Aktivera nätverksnamnupplösning .

Starta automatiskt vidtagning

Du kan skapa en speciell genväg med Wirsharks kommandoradsargument om du vill börja fånga paket omedelbart. Du måste veta numret på nätverksgränssnittet du vill använda, baserat på den ordning Wireshark visar gränssnitten.

Skapa en kopia av Wiresharks genväg, högerklicka på den, gå in i fönstret Egenskaper och ändra kommandot radargument. Lägg till -i # -k till slutet av genvägen, ersätt # med numret på gränssnittet du vill använda. Alternativet -i anger gränssnittet, medan alternativet -k berättar att Wireshark börjar omedelbart fånga.

Om du använder Linux eller ett annat Windows-operativsystem, skapa bara en genväg med följande kommando eller kör det från en terminal för att börja fånga omedelbart:

wireshark -i # -k

För mer kommandoradsgenvägar, kolla in Wiresharks manualsida.

Fånga trafik från fjärrdatorer

Wireshark fångar trafik från ditt lokala system gränssnitt som standard, men det här är inte alltid den plats du vill fånga från. Du kan till exempel fånga trafik från en router, server eller annan dator på en annan plats i nätverket. Det här är Wiresharks fjärrinspelningsfunktion. Denna funktion är bara tillgänglig för Windows just nu - Wiresharks officiella dokumentation rekommenderar att Linux-användare använder en SSH-tunnel.

Först måste du installera WinPcap på fjärrsystemet. WinPcap kommer med Wireshark, så du behöver inte installera WinPCap om du redan har Wireshark installerat på fjärrsystemet.

När det är klart, öppna fönstret Services på fjärrdatorn - klicka på Start, skriv tjänster. msc i sökrutan i Start-menyn och tryck på Enter. Leta reda på Remote Packet Capture Protocol -tjänsten i listan och starta det. Den här tjänsten är inaktiverad som standard.

Klicka på länken Capture Option i Wireshark och välj sedan Fjärrkontroll från gränssnittslådan.

Ange adressen på fjärrsystemet och 2002 som hamnen. Du måste ha tillgång till port 2002 på fjärrsystemet för att ansluta, så du kan behöva öppna den här porten i en brandvägg.

Efter anslutning kan du välja ett gränssnitt på fjärrsystemet från rullgardinsmenyn Gränssnitt. Klicka på Start efter att du har valt gränssnittet för att starta fjärrinspelningen.

Wireshark i en terminal (TShark)

Om du inte har ett grafiskt gränssnitt på ditt system kan du använda Wireshark från en terminal med TShark-kommandot.

Utför först kommandot tshark -D . Kommandot kommer att ge dig antalet nätverksgränssnitt.

När du har kört kommandot tshark -i # , ersätter du # med numret på gränssnittet du vill fånga på.

TShark agerar som Wireshark, skriver ut den trafik som den fångar till terminalen. Använd Ctrl-C när du vill stoppa inspelningen.

Utskrift av paket till terminalen är inte det mest användbara beteendet. Om vi ​​vill inspektera trafiken mer i detalj kan vi få TShark dumpa den till en fil som vi kan inspektera senare. Använd det här kommandot istället för att dumpa trafik till en fil:

tshark -i # -w filnamn

TShark kommer inte visa dig paketen som de tas, men det räknar dem när de tar dem. Du kan använda alternativet Arkiv -> Öppna i Wireshark för att öppna upptagningsfilen senare.

För mer information om TSharks kommandoradsalternativ, kolla in den manuella sidan.

Skapa ACL-regler för brandväggar

Om du är en nätverksadministratör med ansvar för en brandvägg och du använder Wireshark för att peka runt, kanske du vill vidta åtgärder utifrån den trafik du ser - kanske för att blockera någon misstänkt trafik. Wiresharks Firewall ACL Rules -verktyg genererar de kommandon som du behöver för att skapa brandväggsregler i din brandvägg.

Välj först ett paket som du vill skapa en brandväggsregel baserat på genom att klicka på den. Klicka sedan på menyn Verktyg och välj Firewall ACL Rules .

Använd menyn Produkt för att välja din brandväggstyp. Wireshark stöder Cisco IOS, olika typer av Linux-brandväggar, inklusive iptables och Windows-brandväggen.

Du kan använda rutan Filter för att skapa en regel baserad på systemets MAC-adress, IP-adress, port, eller både IP-adressen och porten. Du kanske får färre filteralternativ beroende på din brandväggsprodukt.

Som standard skapar verktyget en regel som nekar inkommande trafik. Du kan ändra regelns beteende genom att avmarkera kryssrutorna Inkommande eller Avvisa . När du har skapat en regel, använd knappen Kopiera för att kopiera den och kör sedan den i din brandvägg för att tillämpa regeln.

Vill du att vi ska skriva något specifikt om Wireshark i framtiden? Låt oss veta i kommentarerna om du har några önskemål eller idéer.

Fixera skrivarspooler-tjänsten avslutad oväntat

Förra veckan gick jag för att skriva ut ett Word-dokument från min dator och blev lite förvånad över att det inte fanns några skrivare i dialogrutan Skriv ut! Så då bestämde jag mig för att gå till kontrollpanelen, skrivare och fax och blev ännu mer förvånad över att den var helt tom!Jag klickade på

(How-to)

Så här kopierar du TWRP Android-säkerhetskopior till din dator för säker hantering

TWRP-säkerhetskopior kan spara din bacon om du förstör din Android-enhet. Men om du har slutfört utrymme på din telefon, eller om du behöver torka lagringsutrymmet, kan du kopiera säkerhetskopiorna till din dator med ett enkelt ADB-kommando. Så här kopierar du TWRP-säkerhetskopior till din dator RELATERAT: Hur man installerar och använder ADB, Android Debug Bridge Utility Massor av Android hacking kräver att torka din telefon och torka telefonen innebär att du missar de säkerhetskopiorna, vilket du behöver spara om något går fel.

(how-to)