Wireshark har et par tricks på ærmerne, fra at fange fjerntrafik til at oprette firewallregler baseret på indfangede pakker. Læs videre for nogle mere avancerede tips, hvis du vil bruge Wireshark som en pro.
Vi har allerede dækket grundlæggende brug af Wireshark, så sørg for at læse vores originale artikel for at få en introduktion til dette kraftfulde netværksanalyseværktøj.
Mens du optager pakker, kan du blive irriteret, at Wireshark kun viser IP-adresser. Du kan konvertere IP-adresserne til domænenavne selv, men det er ikke så praktisk.
Wireshark kan automatisk løse denne IP-adresse til domænenavne, selvom denne funktion ikke er aktiveret som standard. Når du aktiverer denne indstilling, vises der domænenavne i stedet for IP-adresser, når det er muligt. Ulempen er, at Wireshark bliver nødt til at kigge op på hvert domænenavn, forurener den fangede trafik med yderligere DNS-anmodninger.
Du kan aktivere denne indstilling ved at åbne præferencesvinduet fra Rediger -> Indstillinger , klik på panelet Navnopløsning og klik på afkrydsningsfeltet " Aktivér netværkskonfiguration ".
Du kan oprette en særlig genvej ved hjælp af Wirshark kommandolinje argumenter, hvis du vil begynde at fange pakker straks. Du skal vide nummeret på den netværksgrænseflade, du vil bruge, baseret på den rækkefølge, Wireshark viser grænsefladerne.
Opret en kopi af Wiresharks genvej, højreklik på den, gå ind i egenskabsvinduet og skift kommando line argumenter. Tilføj -i # -k til slutningen af genvejen, erstatter # med nummeret på det interface, du vil bruge. Indstillingen -i angiver grænsefladen, mens opsætningen -k fortæller Wireshark at begynde at fange med det samme.
Hvis du bruger Linux eller et andet Windows-operativsystem, skal du bare oprette en genvej med følgende kommando eller køre den fra en terminal til at begynde at fange med det samme:
wireshark -i # -k
For mere kommandolinje genveje, se Wireshark's manual side.
Wireshark fanger trafik fra dit lokale system grænseflader som standard, men dette er ikke altid den placering, du vil fange fra. Du kan f.eks. Fange trafik fra en router, server eller en anden computer på en anden placering i netværket. Det er her Wiresharks fjernoptagelsesfunktion kommer ind. Denne funktion er kun tilgængelig på Windows i øjeblikket - Wiresharks officielle dokumentation anbefaler, at Linux-brugere bruger en SSH-tunnel.
Først skal du installere WinPcap på fjernsystemet. WinPcap leveres med Wireshark, så du behøver ikke installere WinPCap, hvis du allerede har Wireshark installeret på fjernsystemet.
Når det ikke er tilfældet, skal du åbne vinduet Services på fjerncomputeren - klik på Start, skriv tjenester. msc i søgefeltet i menuen Start, og tryk på Enter. Find Remote Packet Capture Protocol -tjenesten i listen og start den. Denne tjeneste er deaktiveret som standard.
Klik på linket Capture Option i Wireshark, vælg derefter Fjernbetjening i grænsefladen.
Indtast fjernsystemets adresse og 2002 som havn. Du skal have adgang til port 2002 på fjernbetjeningen for at oprette forbindelse, så du skal muligvis åbne denne port i en firewall.
Efter tilslutning kan du vælge en grænseflade på fjernsystemet fra rullemenuen Interface. Klik på Start efter at have valgt grænsefladen for at starte fjernoptagelsen.
Hvis du ikke har en grafisk grænseflade på dit system, kan du bruge Wireshark fra en terminal med TShark-kommandoen.
Udfør først kommandoen tshark -D . Denne kommando vil give dig antallet af dine netværksgrænseflader.
Når du har kørt kommandoen tshark -i # , erstatter du # med nummeret på det grænseflade, du vil fange på.
TShark optræder som Wireshark, udskrivning af den trafik, den fanger til terminalen. Brug Ctrl-C , når du vil stoppe optagelsen.
Udskrivning af pakkerne til terminalen er ikke den mest nyttige opførsel. Hvis vi ønsker at inspicere trafikken mere detaljeret, kan vi få TShark dump det til en fil, som vi kan inspicere senere. Brug denne kommando i stedet for at dump trafik til en fil:
tshark -i # -w filnavn
TShark vil ikke vise dig pakkerne, som de bliver fanget, men det tæller dem, da det fanger dem. Du kan bruge indstillingen Filer -> Åbn i Wireshark for at åbne optagelsesfilen senere.
For mere information om TSharks kommandolinjeindstillinger, se den manuelle side.
Hvis du er en netværksadministrator, der har ansvaret for en firewall, og du bruger Wireshark til at kaste dig rundt, vil du muligvis tage handling baseret på den trafik, du ser - måske for at blokere for mistænkelig trafik. Wiresharks Firewall ACL Rules værktøj genererer de kommandoer, du skal oprette firewallregler på din firewall.
Vælg først en pakke, du vil oprette en firewallregel baseret på, ved at klikke på den. Klik derefter på menuen Værktøjer og vælg Firewall ACL-regler .
Brug menuen Produkt til at vælge din firewalltype. Wireshark understøtter Cisco IOS, forskellige typer af Linux firewalls, herunder iptables og Windows firewall.
Du kan bruge feltet Filter til at oprette en regel baseret på systemets MAC-adresse, IP-adresse, port, eller både IP-adressen og porten. Du kan få færre filterindstillinger afhængigt af din firewallprodukt.
Som standard opretter værktøjet en regel, der nægter indgående trafik. Du kan ændre reglernes adfærd ved at fjerne markeringen af afkrydsningsfelterne Indgående eller Afvis . Når du har oprettet en regel, skal du bruge knappen Copy til at kopiere den og derefter køre den på din firewall for at anvende reglen.
Vil du have, at vi skriver noget specifikt om Wireshark i fremtiden? Lad os vide i kommentarerne, hvis du har nogen anmodninger eller ideer.
Sådan får du mest ud af Reddit med RES
Reddit har lige siden starten været en dampende kedel af kontroverser, der er skændt med skandaler som Gamergate, Ellen Pao-porten og fejlidentifikationen af Boston Bombing suspects tilbage i 2014. Men selvom det måske ikke er alles kop te, for dem, der nyder at rulle gennem deres yndlingsunderstøtter, er Reddit Enhancement Suite et must have add-on, der skaber en helt ny oplevelse til den daglige redditor.
Sådan skjuler du tekstbeskeder på iPhone (Sluk Forhåndsvisning)
Som standard vil iPhone vise verden din SMS-tekster og iMessages på din låseskærm, uanset om du har Touch ID eller en adgangskodeopsætning på din enhed. For de fleste er dette ikke en stor ting, og derfor ændrer de ikke indstillingen.Det kan dog faktisk være et stort privatliv eller sikkerhedsproblem. For e