Wireshark har ett par knep på sin ärm, från att ta bort fjärrtrafik för att skapa brandväggsregler baserade på fångade paket. Läs vidare om några mer avancerade tips om du vill använda Wireshark som ett proffs.

Vi har redan täckt grundläggande användningen av Wireshark, så var noga med att läsa vår ursprungliga artikel för en introduktion till det här kraftfulla nätverksanalysverktyget.

Nätverksnamnslösning

Medan du tar upp paket kan du vara irriterad att Wireshark bara visar IP-adresser. Du kan konvertera IP-adresserna till domännamn själv, men det är inte så bekvämt.

Wireshark kan automatiskt lösa IP-adressen till domännamn, även om den här funktionen inte är aktiverad som standard. När du aktiverar det här alternativet ser du domännamn istället för IP-adresser när det är möjligt. Nackdelen är att Wireshark måste titta upp varje domännamn och förorena den infångade trafiken med ytterligare DNS-förfrågningar.

Du kan aktivera den här inställningen genom att öppna inställningsfönstret från Redigera -> Inställningar , klicka på kryssrutan Namnupplösning och klicka på kryssrutan Aktivera nätverksnamnupplösning .

Starta automatiskt vidtagning

Du kan skapa en speciell genväg med Wirsharks kommandoradsargument om du vill börja fånga paket omedelbart. Du måste veta numret på nätverksgränssnittet du vill använda, baserat på den ordning Wireshark visar gränssnitten.

Skapa en kopia av Wiresharks genväg, högerklicka på den, gå in i fönstret Egenskaper och ändra kommandot radargument. Lägg till -i # -k till slutet av genvägen, ersätt # med numret på gränssnittet du vill använda. Alternativet -i anger gränssnittet, medan alternativet -k berättar att Wireshark börjar omedelbart fånga.

Om du använder Linux eller ett annat Windows-operativsystem, skapa bara en genväg med följande kommando eller kör det från en terminal för att börja fånga omedelbart:

wireshark -i # -k

För mer kommandoradsgenvägar, kolla in Wiresharks manualsida.

Fånga trafik från fjärrdatorer

Wireshark fångar trafik från ditt lokala system gränssnitt som standard, men det här är inte alltid den plats du vill fånga från. Du kan till exempel fånga trafik från en router, server eller annan dator på en annan plats i nätverket. Det här är Wiresharks fjärrinspelningsfunktion. Denna funktion är bara tillgänglig för Windows just nu - Wiresharks officiella dokumentation rekommenderar att Linux-användare använder en SSH-tunnel.

Först måste du installera WinPcap på fjärrsystemet. WinPcap kommer med Wireshark, så du behöver inte installera WinPCap om du redan har Wireshark installerat på fjärrsystemet.

När det är klart, öppna fönstret Services på fjärrdatorn - klicka på Start, skriv tjänster. msc i sökrutan i Start-menyn och tryck på Enter. Leta reda på Remote Packet Capture Protocol -tjänsten i listan och starta det. Den här tjänsten är inaktiverad som standard.

Klicka på länken Capture Option i Wireshark och välj sedan Fjärrkontroll från gränssnittslådan.

Ange adressen på fjärrsystemet och 2002 som hamnen. Du måste ha tillgång till port 2002 på fjärrsystemet för att ansluta, så du kan behöva öppna den här porten i en brandvägg.

Efter anslutning kan du välja ett gränssnitt på fjärrsystemet från rullgardinsmenyn Gränssnitt. Klicka på Start efter att du har valt gränssnittet för att starta fjärrinspelningen.

Wireshark i en terminal (TShark)

Om du inte har ett grafiskt gränssnitt på ditt system kan du använda Wireshark från en terminal med TShark-kommandot.

Utför först kommandot tshark -D . Kommandot kommer att ge dig antalet nätverksgränssnitt.

När du har kört kommandot tshark -i # , ersätter du # med numret på gränssnittet du vill fånga på.

TShark agerar som Wireshark, skriver ut den trafik som den fångar till terminalen. Använd Ctrl-C när du vill stoppa inspelningen.

Utskrift av paket till terminalen är inte det mest användbara beteendet. Om vi ​​vill inspektera trafiken mer i detalj kan vi få TShark dumpa den till en fil som vi kan inspektera senare. Använd det här kommandot istället för att dumpa trafik till en fil:

tshark -i # -w filnamn

TShark kommer inte visa dig paketen som de tas, men det räknar dem när de tar dem. Du kan använda alternativet Arkiv -> Öppna i Wireshark för att öppna upptagningsfilen senare.

För mer information om TSharks kommandoradsalternativ, kolla in den manuella sidan.

Skapa ACL-regler för brandväggar

Om du är en nätverksadministratör med ansvar för en brandvägg och du använder Wireshark för att peka runt, kanske du vill vidta åtgärder utifrån den trafik du ser - kanske för att blockera någon misstänkt trafik. Wiresharks Firewall ACL Rules -verktyg genererar de kommandon som du behöver för att skapa brandväggsregler i din brandvägg.

Välj först ett paket som du vill skapa en brandväggsregel baserat på genom att klicka på den. Klicka sedan på menyn Verktyg och välj Firewall ACL Rules .

Använd menyn Produkt för att välja din brandväggstyp. Wireshark stöder Cisco IOS, olika typer av Linux-brandväggar, inklusive iptables och Windows-brandväggen.

Du kan använda rutan Filter för att skapa en regel baserad på systemets MAC-adress, IP-adress, port, eller både IP-adressen och porten. Du kanske får färre filteralternativ beroende på din brandväggsprodukt.

Som standard skapar verktyget en regel som nekar inkommande trafik. Du kan ändra regelns beteende genom att avmarkera kryssrutorna Inkommande eller Avvisa . När du har skapat en regel, använd knappen Kopiera för att kopiera den och kör sedan den i din brandvägg för att tillämpa regeln.

Vill du att vi ska skriva något specifikt om Wireshark i framtiden? Låt oss veta i kommentarerna om du har några önskemål eller idéer.

Nybörjare: Så här underhåller du, arkiverar och säkerhetskopierar dina data i Outlook 2013

Idag täcker vi de "tråkiga" Outlook-sakerna. Underhåll och säkerhet, liksom i, upprätthålla och säkra din Outlook 2013-datafil - full av alla dina viktiga data - genom att säkerhetskopiera och arkivera det. Så här långt, om du har använt Outlook för att komponera och skicka e -meddelanden, och du har tagit dig tid att importera dina G-postkontakter i din adressbok eller det faktum att du ens använder en Outlook-adressbok betyder att du har mycket data som behöver skydda.

(how-to)

Hur man förlänger Windows 10: s 30-dagars gränser för att rulla tillbaka till Windows 7 eller 8.1

Efter uppgradering till Windows 10 har du 30 dagar, ungefär en månad, för att återgå till Windows 7 eller 8.1 om du så önskar. Därefter tar Windows alternativet ifrån dig. Men det finns ett sätt att förlänga denna tidsbegränsning till kostnaden för lite diskutrymme. Varning : Den här processen fungerade för oss med Windows 10 build 1511.

(how-to)