da.phhsnews.com


da.phhsnews.com / 5 Killer tricks for at få mest ud af Wireshark

5 Killer tricks for at få mest ud af Wireshark


Wireshark har et par tricks på ærmerne, fra at fange fjerntrafik til at oprette firewallregler baseret på indfangede pakker. Læs videre for nogle mere avancerede tips, hvis du vil bruge Wireshark som en pro.

Vi har allerede dækket grundlæggende brug af Wireshark, så sørg for at læse vores originale artikel for at få en introduktion til dette kraftfulde netværksanalyseværktøj.

Netværksnavnetopløsning

Mens du optager pakker, kan du blive irriteret, at Wireshark kun viser IP-adresser. Du kan konvertere IP-adresserne til domænenavne selv, men det er ikke så praktisk.

Wireshark kan automatisk løse denne IP-adresse til domænenavne, selvom denne funktion ikke er aktiveret som standard. Når du aktiverer denne indstilling, vises der domænenavne i stedet for IP-adresser, når det er muligt. Ulempen er, at Wireshark bliver nødt til at kigge op på hvert domænenavn, forurener den fangede trafik med yderligere DNS-anmodninger.

Du kan aktivere denne indstilling ved at åbne præferencesvinduet fra Rediger -> Indstillinger , klik på panelet Navnopløsning og klik på afkrydsningsfeltet " Aktivér netværkskonfiguration ".

Start automatisk optagelse

Du kan oprette en særlig genvej ved hjælp af Wirshark kommandolinje argumenter, hvis du vil begynde at fange pakker straks. Du skal vide nummeret på den netværksgrænseflade, du vil bruge, baseret på den rækkefølge, Wireshark viser grænsefladerne.

Opret en kopi af Wiresharks genvej, højreklik på den, gå ind i egenskabsvinduet og skift kommando line argumenter. Tilføj -i # -k til slutningen af ​​genvejen, erstatter # med nummeret på det interface, du vil bruge. Indstillingen -i angiver grænsefladen, mens opsætningen -k fortæller Wireshark at begynde at fange med det samme.

Hvis du bruger Linux eller et andet Windows-operativsystem, skal du bare oprette en genvej med følgende kommando eller køre den fra en terminal til at begynde at fange med det samme:

wireshark -i # -k

For mere kommandolinje genveje, se Wireshark's manual side.

Fange trafik fra fjerncomputere

Wireshark fanger trafik fra dit lokale system grænseflader som standard, men dette er ikke altid den placering, du vil fange fra. Du kan f.eks. Fange trafik fra en router, server eller en anden computer på en anden placering i netværket. Det er her Wiresharks fjernoptagelsesfunktion kommer ind. Denne funktion er kun tilgængelig på Windows i øjeblikket - Wiresharks officielle dokumentation anbefaler, at Linux-brugere bruger en SSH-tunnel.

Først skal du installere WinPcap på fjernsystemet. WinPcap leveres med Wireshark, så du behøver ikke installere WinPCap, hvis du allerede har Wireshark installeret på fjernsystemet.

Når det ikke er tilfældet, skal du åbne vinduet Services på fjerncomputeren - klik på Start, skriv tjenester. msc i søgefeltet i menuen Start, og tryk på Enter. Find Remote Packet Capture Protocol -tjenesten i listen og start den. Denne tjeneste er deaktiveret som standard.

Klik på linket Capture Option i Wireshark, vælg derefter Fjernbetjening i grænsefladen.

Indtast fjernsystemets adresse og 2002 som havn. Du skal have adgang til port 2002 på fjernbetjeningen for at oprette forbindelse, så du skal muligvis åbne denne port i en firewall.

Efter tilslutning kan du vælge en grænseflade på fjernsystemet fra rullemenuen Interface. Klik på Start efter at have valgt grænsefladen for at starte fjernoptagelsen.

Wireshark i en terminal (TShark)

Hvis du ikke har en grafisk grænseflade på dit system, kan du bruge Wireshark fra en terminal med TShark-kommandoen.

Udfør først kommandoen tshark -D . Denne kommando vil give dig antallet af dine netværksgrænseflader.

Når du har kørt kommandoen tshark -i # , erstatter du # med nummeret på det grænseflade, du vil fange på.

TShark optræder som Wireshark, udskrivning af den trafik, den fanger til terminalen. Brug Ctrl-C , når du vil stoppe optagelsen.

Udskrivning af pakkerne til terminalen er ikke den mest nyttige opførsel. Hvis vi ønsker at inspicere trafikken mere detaljeret, kan vi få TShark dump det til en fil, som vi kan inspicere senere. Brug denne kommando i stedet for at dump trafik til en fil:

tshark -i # -w filnavn

TShark vil ikke vise dig pakkerne, som de bliver fanget, men det tæller dem, da det fanger dem. Du kan bruge indstillingen Filer -> Åbn i Wireshark for at åbne optagelsesfilen senere.

For mere information om TSharks kommandolinjeindstillinger, se den manuelle side.

Oprettelse af Firewall-ACL-regler

Hvis du er en netværksadministrator, der har ansvaret for en firewall, og du bruger Wireshark til at kaste dig rundt, vil du muligvis tage handling baseret på den trafik, du ser - måske for at blokere for mistænkelig trafik. Wiresharks Firewall ACL Rules værktøj genererer de kommandoer, du skal oprette firewallregler på din firewall.

Vælg først en pakke, du vil oprette en firewallregel baseret på, ved at klikke på den. Klik derefter på menuen Værktøjer og vælg Firewall ACL-regler .

Brug menuen Produkt til at vælge din firewalltype. Wireshark understøtter Cisco IOS, forskellige typer af Linux firewalls, herunder iptables og Windows firewall.

Du kan bruge feltet Filter til at oprette en regel baseret på systemets MAC-adresse, IP-adresse, port, eller både IP-adressen og porten. Du kan få færre filterindstillinger afhængigt af din firewallprodukt.

Som standard opretter værktøjet en regel, der nægter indgående trafik. Du kan ændre reglernes adfærd ved at fjerne markeringen af ​​afkrydsningsfelterne Indgående eller Afvis . Når du har oprettet en regel, skal du bruge knappen Copy til at kopiere den og derefter køre den på din firewall for at anvende reglen.


Vil du have, at vi skriver noget specifikt om Wireshark i fremtiden? Lad os vide i kommentarerne, hvis du har nogen anmodninger eller ideer.


Sådan konfigureres en foretrukken kontaktmetode til kontakter i iOS 10

Sådan konfigureres en foretrukken kontaktmetode til kontakter i iOS 10

Hvis du er fan af at organisere dine kontaktlister, kan du sige, at du dikterer dine dubletter eller grupperer kontakter for en renere liste- du vil være glad for at vide, at iOS 10 nu lader dig ændre standardhandlingerne på de blå hurtige tilslutningsknapper på en kontaktes side. Skift standardhandling for Blue Connect-knappen på en kontaktside Når du ' ser på en kontaktes side, vil du se fire blå knapper under kontaktens navn for hurtigt at forbinde dem med besked, telefon, video eller e-mail.

(how-to)

Sådan udskrives et Word-dokument uden sporændringsmærkerne

Sådan udskrives et Word-dokument uden sporændringsmærkerne

Funktionen Track Changes i Word gør det muligt at markere ændringer, du laver i et dokument, så alle andre, der arbejder på dokumentet, ved, hvad der ændrer dig lavet. Som standard vises disse mærker på det udskrevne dokument, men du kan forhindre dem i at vise. Hvis du vil deaktivere sporændringerne, når du udskriver det aktuelle dokument, skal du klikke på fanen "File".

(how-to)