da.phhsnews.com


da.phhsnews.com / 5 Killer tricks for at få mest ud af Wireshark

5 Killer tricks for at få mest ud af Wireshark


Wireshark har et par tricks på ærmerne, fra at fange fjerntrafik til at oprette firewallregler baseret på indfangede pakker. Læs videre for nogle mere avancerede tips, hvis du vil bruge Wireshark som en pro.

Vi har allerede dækket grundlæggende brug af Wireshark, så sørg for at læse vores originale artikel for at få en introduktion til dette kraftfulde netværksanalyseværktøj.

Netværksnavnetopløsning

Mens du optager pakker, kan du blive irriteret, at Wireshark kun viser IP-adresser. Du kan konvertere IP-adresserne til domænenavne selv, men det er ikke så praktisk.

Wireshark kan automatisk løse denne IP-adresse til domænenavne, selvom denne funktion ikke er aktiveret som standard. Når du aktiverer denne indstilling, vises der domænenavne i stedet for IP-adresser, når det er muligt. Ulempen er, at Wireshark bliver nødt til at kigge op på hvert domænenavn, forurener den fangede trafik med yderligere DNS-anmodninger.

Du kan aktivere denne indstilling ved at åbne præferencesvinduet fra Rediger -> Indstillinger , klik på panelet Navnopløsning og klik på afkrydsningsfeltet " Aktivér netværkskonfiguration ".

Start automatisk optagelse

Du kan oprette en særlig genvej ved hjælp af Wirshark kommandolinje argumenter, hvis du vil begynde at fange pakker straks. Du skal vide nummeret på den netværksgrænseflade, du vil bruge, baseret på den rækkefølge, Wireshark viser grænsefladerne.

Opret en kopi af Wiresharks genvej, højreklik på den, gå ind i egenskabsvinduet og skift kommando line argumenter. Tilføj -i # -k til slutningen af ​​genvejen, erstatter # med nummeret på det interface, du vil bruge. Indstillingen -i angiver grænsefladen, mens opsætningen -k fortæller Wireshark at begynde at fange med det samme.

Hvis du bruger Linux eller et andet Windows-operativsystem, skal du bare oprette en genvej med følgende kommando eller køre den fra en terminal til at begynde at fange med det samme:

wireshark -i # -k

For mere kommandolinje genveje, se Wireshark's manual side.

Fange trafik fra fjerncomputere

Wireshark fanger trafik fra dit lokale system grænseflader som standard, men dette er ikke altid den placering, du vil fange fra. Du kan f.eks. Fange trafik fra en router, server eller en anden computer på en anden placering i netværket. Det er her Wiresharks fjernoptagelsesfunktion kommer ind. Denne funktion er kun tilgængelig på Windows i øjeblikket - Wiresharks officielle dokumentation anbefaler, at Linux-brugere bruger en SSH-tunnel.

Først skal du installere WinPcap på fjernsystemet. WinPcap leveres med Wireshark, så du behøver ikke installere WinPCap, hvis du allerede har Wireshark installeret på fjernsystemet.

Når det ikke er tilfældet, skal du åbne vinduet Services på fjerncomputeren - klik på Start, skriv tjenester. msc i søgefeltet i menuen Start, og tryk på Enter. Find Remote Packet Capture Protocol -tjenesten i listen og start den. Denne tjeneste er deaktiveret som standard.

Klik på linket Capture Option i Wireshark, vælg derefter Fjernbetjening i grænsefladen.

Indtast fjernsystemets adresse og 2002 som havn. Du skal have adgang til port 2002 på fjernbetjeningen for at oprette forbindelse, så du skal muligvis åbne denne port i en firewall.

Efter tilslutning kan du vælge en grænseflade på fjernsystemet fra rullemenuen Interface. Klik på Start efter at have valgt grænsefladen for at starte fjernoptagelsen.

Wireshark i en terminal (TShark)

Hvis du ikke har en grafisk grænseflade på dit system, kan du bruge Wireshark fra en terminal med TShark-kommandoen.

Udfør først kommandoen tshark -D . Denne kommando vil give dig antallet af dine netværksgrænseflader.

Når du har kørt kommandoen tshark -i # , erstatter du # med nummeret på det grænseflade, du vil fange på.

TShark optræder som Wireshark, udskrivning af den trafik, den fanger til terminalen. Brug Ctrl-C , når du vil stoppe optagelsen.

Udskrivning af pakkerne til terminalen er ikke den mest nyttige opførsel. Hvis vi ønsker at inspicere trafikken mere detaljeret, kan vi få TShark dump det til en fil, som vi kan inspicere senere. Brug denne kommando i stedet for at dump trafik til en fil:

tshark -i # -w filnavn

TShark vil ikke vise dig pakkerne, som de bliver fanget, men det tæller dem, da det fanger dem. Du kan bruge indstillingen Filer -> Åbn i Wireshark for at åbne optagelsesfilen senere.

For mere information om TSharks kommandolinjeindstillinger, se den manuelle side.

Oprettelse af Firewall-ACL-regler

Hvis du er en netværksadministrator, der har ansvaret for en firewall, og du bruger Wireshark til at kaste dig rundt, vil du muligvis tage handling baseret på den trafik, du ser - måske for at blokere for mistænkelig trafik. Wiresharks Firewall ACL Rules værktøj genererer de kommandoer, du skal oprette firewallregler på din firewall.

Vælg først en pakke, du vil oprette en firewallregel baseret på, ved at klikke på den. Klik derefter på menuen Værktøjer og vælg Firewall ACL-regler .

Brug menuen Produkt til at vælge din firewalltype. Wireshark understøtter Cisco IOS, forskellige typer af Linux firewalls, herunder iptables og Windows firewall.

Du kan bruge feltet Filter til at oprette en regel baseret på systemets MAC-adresse, IP-adresse, port, eller både IP-adressen og porten. Du kan få færre filterindstillinger afhængigt af din firewallprodukt.

Som standard opretter værktøjet en regel, der nægter indgående trafik. Du kan ændre reglernes adfærd ved at fjerne markeringen af ​​afkrydsningsfelterne Indgående eller Afvis . Når du har oprettet en regel, skal du bruge knappen Copy til at kopiere den og derefter køre den på din firewall for at anvende reglen.

Vil du have, at vi skriver noget specifikt om Wireshark i fremtiden? Lad os vide i kommentarerne, hvis du har nogen anmodninger eller ideer.

Sådan gør du Windows Defender Scan til potentielt uønskede programmer

Sådan gør du Windows Defender Scan til potentielt uønskede programmer

Windows Defender er beregnet til at levere baseline, indbygget virusbeskyttelse til Windows-brugere. Dens primære fordel (bortset fra at være indbygget) er, at den er nem at bruge og vil ikke glemme dig med meddelelser. Alligevel er det ikke nødvendigvis din bedste løsning. Der er masser af gode tredjeparts antivirusprogrammer, der vil gøre et bedre job, hvoraf nogle er gratis, og hvoraf nogle også scanner efter PUP'er.

(how-to)

Advarsel:

Advarsel: "Gæstemodus" på mange Wi-Fi-routere er ikke sikker

Mange hjemme routere tilbyder en "Gæstemodus." Dette isolerer dine gæster på et separat Wi-Fi-netværk, og du behøver ikke give dem din normale Wi-FI-adgangskode. Men gæstemodus er ofte usikker. Gæstemodus er ikke altid dårlig - D-Link, Netgear og ASUS router synes at gøre det rigtigt. Men hvis du har den type gæstemodus, vi har set på hjemme routere fra Linksys og Belkin, skal du aldrig bruge den.

(how-to)

Interessante Artikler
Amazonas populære Echo-højttalersystem (og den personlige assistent Alexa, der følger med det) ser helt ud til Amazon Amazon-økosystemet, men det betyder det Du har brug for en Prime-konto for at udnytte Echo?

Amazonas populære Echo-højttalersystem (og den personlige assistent Alexa, der følger med det) ser helt ud til Amazon Amazon-økosystemet, men det betyder det Du har brug for en Prime-konto for at udnytte Echo?
Sådan vælger du hvilken musikabonnementstjeneste der passer dig

Sådan vælger du hvilken musikabonnementstjeneste der passer dig
Freeware Download Sites, der ikke styrker Crapware på dig

Freeware Download Sites, der ikke styrker Crapware på dig
Sådan fjerner du en gammel computer fra en Windows-hjemmegruppe

Sådan fjerner du en gammel computer fra en Windows-hjemmegruppe