Mes jau aptarėme pagrindinį "Wireshark" naudojimą, todėl būtinai perskaitykite mūsų originalų straipsnį, kad galėtumėte įžvelgti šį galingą tinklo analizės įrankį.
Tinklo vardo skiriamoji geba
Nors užfiksuojant paketus, jums gali būti erzina, kad "Wireshark" rodo tik IP adresus. IP adresus galite paversti domeno vardais patys, bet tai nėra per daug patogus.
Galite įjungti šį nustatymą, atidarę nustatymų langą Redaguoti -> Nustatymaispustelėję mygtuką Vardo raiška skydas ir spustelėję "Įgalinti tinklo vardo skiriamąją gebą" žymimasis langelis.
Pradėkite fotografuoti automatiškai
Naudodami Wirshark komandinės eilutės argumentus galite sukurti specialią nuorodą, jei norite nedelsiant pradėti rinkti paketus. Turėsite žinoti norimos naudoti tinklo sąsajos numerį, priklausomai nuo to, kaip Wireshark rodo sąsajas.
Sukurkite "Wireshark" sparčiosios programos kopiją, dešiniuoju pelės mygtuku spustelėkite ją, eikite į jos ypatybių langą ir pakeiskite komandinės eilutės argumentus. Papildyti - i # -k iki nuorodos pabaigos, pakeičiant # su norimos naudoti sąsajos numeriu. Parametras -i nurodo sąsają, o variantas -k nurodo "Wireshark" pradėti tuoj pat užfiksuoti.
wireshark -i # -k
Jei norite daugiau komandinės eilutės nuorodų, žr. Wireshark vadovą.
Užfiksuoti srautą iš nuotolinių kompiuterių
Pagal numatytuosius nustatymus "Wireshark" užfiksuoja srautą iš jūsų sistemos vietinių sąsajų, bet tai ne visada vieta, kurią norite užfiksuoti. Pavyzdžiui, galbūt norėsite užfiksuoti srautą iš maršrutizatoriaus, serverio ar kito kompiuterio kitoje tinklo vietoje. Tai yra Wireshark nuotolinio fiksavimo funkcija. Ši funkcija šiuo metu prieinama tik "Windows" sistemoje - oficialūs Wireshark dokumentai rekomenduoja, kad Linux vartotojai naudotų SSH tunelį.
Pirmiausia turėsite įdiegti WinPcap nuotolinėje sistemoje. WinPcap ateina su "Wireshark", taigi jums nereikia įdiegti "WinPCap", jei jau turite "Wireshark" įdiegtą nuotolinę sistemą.
Po to, kai jis yra pašalintas, atidarykite "Services" langą nuotoliniame kompiuteryje - spustelėkite "Start", įveskite services.msc į paieškos laukelį meniu "Pradėti" ir paspauskite "Enter". Raskite Nuotolinis paketų surinkimo protokolas paslauga sąraše ir paleiskite ją. Pagal nutylėjimą ši paslauga išjungta.
Spustelėkite Fiksavimo parinktiss nuorodą Wireshark, tada pasirinkite Nuotolinis iš sąsajos dėžutės.
Įveskite nuotolinės sistemos adresą ir 2002 kaip uostas. Norėdami prisijungti prie nuotolinės sistemos, turite prisijungti prie prievado 2002, todėl gali tekti atidaryti šį prievadą užkardoje.
Po prijungimo galite pasirinkti nuotolinės sistemos sąsają iš išskleidžiamojo meniu "Sąsaja". Spustelėkite Pradėti po to, kai pasirinkote sąsają nuotolinio fotografavimo paleidimui.
Wireshark terminale (TShark)
Jei neturite grafinės sąsajos savo sistemoje, galite naudoti Wireshark iš terminalo su komanda TShark.
Pirma, išduoti Tshark -D komanda Ši komanda suteiks jums jūsų tinklo sąsajų numerius.
Kai turėsite, paleiskite Tshark-i # komandą, pakeičiant # su sąskaitos numeriu, kurį norite užfiksuoti.
TShark veikia kaip "Wireshark", spausdindamas eismą, kurį fiksuoja į terminalą. Naudok Ctrl-C kai norite sustabdyti fotografavimą.
Paketų spausdinimas į terminalą nėra labiausiai naudingas elgesys. Jei mes norime išsamiau patikrinti eismą, mes galime turėti TShark paketą į failą, kurį galėsime patikrinti vėliau. Užuot naudodamiesi šia komanda nukreipkite srautą į failą:
tshark -i # -w filename
TShark neparodys jums paketų, kai jie bus užfiksuoti, bet jie suskaičiuos juos, kai juos užfiksuos. Galite naudoti Failas -> Atviras Wireshark parinktis atidaryti fiksavimo failą vėliau.
Norėdami gauti daugiau informacijos apie TShark komandų eilutės parinktis, peržiūrėkite jo vadovą.
Kuriant ugniasienės ACL taisykles
Jei esate už tinklo ugniasienę atsakingas tinklo administratorius ir naudojate "Wireshark", kad galėtumėte apsisukti, galbūt norėsite imtis veiksmų atsižvelgdami į matomą srautą - galbūt norėdami užblokuoti įtartiną srautą. Wireshark's Firewall ACL taisyklės įrankis generuoja komandas, kurių reikia ugniasienės ugniasienės taisyklėms nustatyti.
Pirmiausia pasirinkite paketą, į kurį norite sukurti užkardos taisyklę, spustelėdami ją. Po to spustelėkite mygtuką Įrankiai meniu ir pasirinkite Firewall ACL taisyklės.
Naudoti Produktas meniu pasirinkite ugniasienės tipą. Wireshark palaiko "Cisco IOS", įvairių tipų "Linux" ugniasienes, įskaitant "iptables", ir "Windows" ugniasienę.
Galite naudoti Filtras laukelyje, kad būtų sukurta taisyklė, pagrįsta sistemos MAC adresu, IP adresu, prievadu arba tiek IP adresu, tiek prievadu. Atsižvelgiant į ugniasienės produktą, galite matyti mažiau filtro parinkčių.
Pagal numatytuosius nustatymus įrankis sukuria taisyklę, kuri atmetė įeinantį srautą. Galite keisti taisyklės elgesį, panaikindami parinktį Atvykstamasis arba Atmesti žymės langelius. Sukūrę taisyklę naudokite Kopijuoti mygtuką, kad jį kopijuoti, tada paleiskite jį savo ugniasiene, kad galėtumėte taikyti taisyklę.
Ar norėtumėte, kad ateityje mes parašytume apie "Wireshark" ką nors konkretų? Leiskite mums žinoti komentarus, jei turite kokių nors užklausų ar idėjų.