sv.phhsnews.com


sv.phhsnews.com / 5 Killer Tricks för att få ut det mesta av Wireshark

5 Killer Tricks för att få ut det mesta av Wireshark


Wireshark har ett par knep på sin ärm, från att ta bort fjärrtrafik för att skapa brandväggsregler baserade på fångade paket. Läs vidare om några mer avancerade tips om du vill använda Wireshark som ett proffs.

Vi har redan täckt grundläggande användningen av Wireshark, så var noga med att läsa vår ursprungliga artikel för en introduktion till det här kraftfulla nätverksanalysverktyget.

Nätverksnamnslösning

Medan du tar upp paket kan du vara irriterad att Wireshark bara visar IP-adresser. Du kan konvertera IP-adresserna till domännamn själv, men det är inte så bekvämt.

Wireshark kan automatiskt lösa IP-adressen till domännamn, även om den här funktionen inte är aktiverad som standard. När du aktiverar det här alternativet ser du domännamn istället för IP-adresser när det är möjligt. Nackdelen är att Wireshark måste titta upp varje domännamn och förorena den infångade trafiken med ytterligare DNS-förfrågningar.

Du kan aktivera den här inställningen genom att öppna inställningsfönstret från Redigera -> Inställningar , klicka på kryssrutan Namnupplösning och klicka på kryssrutan Aktivera nätverksnamnupplösning .

Starta automatiskt vidtagning

Du kan skapa en speciell genväg med Wirsharks kommandoradsargument om du vill börja fånga paket omedelbart. Du måste veta numret på nätverksgränssnittet du vill använda, baserat på den ordning Wireshark visar gränssnitten.

Skapa en kopia av Wiresharks genväg, högerklicka på den, gå in i fönstret Egenskaper och ändra kommandot radargument. Lägg till -i # -k till slutet av genvägen, ersätt # med numret på gränssnittet du vill använda. Alternativet -i anger gränssnittet, medan alternativet -k berättar att Wireshark börjar omedelbart fånga.

Om du använder Linux eller ett annat Windows-operativsystem, skapa bara en genväg med följande kommando eller kör det från en terminal för att börja fånga omedelbart:

wireshark -i # -k

För mer kommandoradsgenvägar, kolla in Wiresharks manualsida.

Fånga trafik från fjärrdatorer

Wireshark fångar trafik från ditt lokala system gränssnitt som standard, men det här är inte alltid den plats du vill fånga från. Du kan till exempel fånga trafik från en router, server eller annan dator på en annan plats i nätverket. Det här är Wiresharks fjärrinspelningsfunktion. Denna funktion är bara tillgänglig för Windows just nu - Wiresharks officiella dokumentation rekommenderar att Linux-användare använder en SSH-tunnel.

Först måste du installera WinPcap på fjärrsystemet. WinPcap kommer med Wireshark, så du behöver inte installera WinPCap om du redan har Wireshark installerat på fjärrsystemet.

När det är klart, öppna fönstret Services på fjärrdatorn - klicka på Start, skriv tjänster. msc i sökrutan i Start-menyn och tryck på Enter. Leta reda på Remote Packet Capture Protocol -tjänsten i listan och starta det. Den här tjänsten är inaktiverad som standard.

Klicka på länken Capture Option i Wireshark och välj sedan Fjärrkontroll från gränssnittslådan.

Ange adressen på fjärrsystemet och 2002 som hamnen. Du måste ha tillgång till port 2002 på fjärrsystemet för att ansluta, så du kan behöva öppna den här porten i en brandvägg.

Efter anslutning kan du välja ett gränssnitt på fjärrsystemet från rullgardinsmenyn Gränssnitt. Klicka på Start efter att du har valt gränssnittet för att starta fjärrinspelningen.

Wireshark i en terminal (TShark)

Om du inte har ett grafiskt gränssnitt på ditt system kan du använda Wireshark från en terminal med TShark-kommandot.

Utför först kommandot tshark -D . Kommandot kommer att ge dig antalet nätverksgränssnitt.

När du har kört kommandot tshark -i # , ersätter du # med numret på gränssnittet du vill fånga på.

TShark agerar som Wireshark, skriver ut den trafik som den fångar till terminalen. Använd Ctrl-C när du vill stoppa inspelningen.

Utskrift av paket till terminalen är inte det mest användbara beteendet. Om vi ​​vill inspektera trafiken mer i detalj kan vi få TShark dumpa den till en fil som vi kan inspektera senare. Använd det här kommandot istället för att dumpa trafik till en fil:

tshark -i # -w filnamn

TShark kommer inte visa dig paketen som de tas, men det räknar dem när de tar dem. Du kan använda alternativet Arkiv -> Öppna i Wireshark för att öppna upptagningsfilen senare.

För mer information om TSharks kommandoradsalternativ, kolla in den manuella sidan.

Skapa ACL-regler för brandväggar

Om du är en nätverksadministratör med ansvar för en brandvägg och du använder Wireshark för att peka runt, kanske du vill vidta åtgärder utifrån den trafik du ser - kanske för att blockera någon misstänkt trafik. Wiresharks Firewall ACL Rules -verktyg genererar de kommandon som du behöver för att skapa brandväggsregler i din brandvägg.

Välj först ett paket som du vill skapa en brandväggsregel baserat på genom att klicka på den. Klicka sedan på menyn Verktyg och välj Firewall ACL Rules .

Använd menyn Produkt för att välja din brandväggstyp. Wireshark stöder Cisco IOS, olika typer av Linux-brandväggar, inklusive iptables och Windows-brandväggen.

Du kan använda rutan Filter för att skapa en regel baserad på systemets MAC-adress, IP-adress, port, eller både IP-adressen och porten. Du kanske får färre filteralternativ beroende på din brandväggsprodukt.

Som standard skapar verktyget en regel som nekar inkommande trafik. Du kan ändra regelns beteende genom att avmarkera kryssrutorna Inkommande eller Avvisa . När du har skapat en regel, använd knappen Kopiera för att kopiera den och kör sedan den i din brandvägg för att tillämpa regeln.


Vill du att vi ska skriva något specifikt om Wireshark i framtiden? Låt oss veta i kommentarerna om du har några önskemål eller idéer.


Hur man avinstallerar (eller installerar om) Windows 10: s Ubuntu Bash Shell

Hur man avinstallerar (eller installerar om) Windows 10: s Ubuntu Bash Shell

Windows 10: s nya Ubuntu-baserade Bash-skal fungerar inte som ett normalt program. För att avinstallera det eller återställa tillståndet för att få en ny Linux-miljö måste du använda några speciella kommandon. Uppdatering : Som från Fall Creators Update kan du nu avinstallera Ubuntu eller någon annan Linux-distribution som en vanlig applikation.

(how-to)

Hur får du meddelanden för någon Facebook-post utan att kommentera det?

Hur får du meddelanden för någon Facebook-post utan att kommentera det?

Har du någonsin märkt att personer som skriver "följer" i kommentarer från ett Facebook-inlägg? De gör det så att de kan få meddelanden när postuppdateringarna finns, men det finns ett mycket enklare och effektivare sätt att göra detta. Det är byggt direkt in i Facebook. Beviljas, skriv ordet "följa" som din kommentar uppnår syfte, men det innebär också att alla andra som också vill följa ett posts framsteg slutar brukar skriva det också.

(how-to)