Mēs jau esam apskatījuši Wireshark pamatlietošanu, tāpēc noteikti izlasiet mūsu oriģinālo rakstu, lai iepazītu šo spēcīgo tīkla analīzes rīku.
Tīkla nosaukuma izšķirtspēja
Kaut arī fiksējot paketes, jūs varētu būt annoyed ka Wireshark tikai parāda IP adreses. IP adreses varat pārvērst domēna nosaukumos pats, bet tas nav pārāk ērti.
Varat iespējot šo iestatījumu, atverot preferenču logu no Rediģēt -> Preferences, noklikšķinot uz Nosaukuma izšķirtspēja paneļa un noklikšķinot uz "Iespējot tīkla nosaukumu izšķirtspēju"Rūtiņu.
Sāciet automātiski ierakstīt
Varat izveidot īpašu saīsni, izmantojot Wirshark komandrindas argumentus, ja vēlaties nekavējoties sākt notverēt paketes. Jums būs jāzina tā tīkla interfeisa numurs, kuru vēlaties izmantot, pamatojoties uz pasūtījumu, kurā Wireshark parādīs saskarnes.
Izveidojiet Wireshark īsceļa kopiju, ar peles labo pogu noklikšķiniet uz tās, dodieties uz tās rekvizītu logu un mainiet komandrindas argumentus. Pievienot - i # -k līdz saīsnes beigām, aizstājot # ar interfeisa numuru, kuru vēlaties izmantot. Opcija -i norāda interfeisu, bet opcija -k paziņo Wireshark, lai nekavējoties sāktu uzņemt.
wireshark -i # -k
Lai iegūtu vairāk komandrindas saīsnes, skatiet Wireshark rokasgrāmatas lapu.
Attēlu noņemšanas datplūsma
Wireshark pēc noklusējuma notver satiksmi no jūsu sistēmas vietējām saskarnēm, taču tas ne vienmēr ir vieta, no kuras vēlaties uzņemt. Piemēram, iespējams, vēlēsities uzņemt datplūsmu no maršrutētāja, servera vai cita datora citā tīkla vietā. Šeit ir iekļauta Wireshark tālvadības uztveršanas funkcija. Šobrīd šī funkcija ir pieejama tikai operētājsistēmās Windows - Wireshark oficiālajās dokumentācijās ieteikts Linux lietotājiem izmantot SSH tuneļu.
Pirmkārt, jums būs jāinstalē WinPcap attālajā sistēmā. WinPcap nāk ar Wireshark, tādēļ jums nav nepieciešams instalēt WinPCap, ja jums jau ir instalēta Wireshark tālvadības sistēmā.
Pēc tam, kad tas ir notnalled, atveriet pakalpojumu logu attālajā datorā - noklikšķiniet uz Sākt, ierakstiet services.msc meklēšanas lodziņā izvēlnē Sākt un nospiediet taustiņu Enter. Atrodiet Attālā pakešaptveršanas protokols pakalpojumu sarakstā un sāciet to. Pēc noklusējuma šis pakalpojums ir atspējots.
Noklikšķiniet uz Uzņemšanas opcijas saiti Wireshark, pēc tam izvēlieties Tālvadība no interfeisa lodziņa.
Ievadiet attālās sistēmas adresi un 2002 kā osta. Lai izveidotu savienojumu, tālvadības sistēmai ir jābūt piekļuvei porta 2002, tādēļ jums var būt nepieciešams atvērt šo portu ugunsmūrī.
Pēc pieslēgšanas nolaižamajā lodziņā Interface varat izvēlēties interfeisu attālajā sistēmā. Klikšķis Sākt pēc interfeisa izvēles tālvadības uzņemšanai.
Wireshark terminālā (TShark)
Ja jūsu sistēmā nav grafiskā saskarnes, varat izmantot Wireshark no termināļa ar TShark komandu.
Pirmkārt, izsniedziet tshark-D komandu Šī komanda sniegs jūsu tīkla saskarnes numurus.
Kad esat, palaidiet tshark-i # komanda, aizstājot # ar saskarnes numuru, kuru vēlaties uzņemt.
TShark darbojas kā Wireshark, drukājot tajā esošo datplūsmu uz termināli. Izmantojiet Ctrl-C kad vēlaties pārtraukt uzņemšanu.
Paketes nosūtīšana uz terminālu nav visnoderīgākā rīcība. Ja mēs vēlamies detalizētāk pārbaudīt datplūsmu, TShark varēs to izmest uz failu, kuru mēs varam pārbaudīt vēlāk. Lai noņemtu datplūsmu uz failu, izmantojiet šo komandu:
tshark -i # -w filename
TShark neparādīs jums paketes, jo tās tiek uzņemtas, bet tās tiks uzskaitītas, jo tās tos uzņem. Jūs varat izmantot Fails -> Atvērt Wireshark opcija, lai vēlāk atvērtu uzņemšanas failu.
Lai iegūtu papildinformāciju par TShark komandrindas opcijām, izlasiet tās rokasgrāmatas lapu.
Firewall ACL noteikumu izveide
Ja esat tīkla administrators, kas atbild par ugunsmūri, un jūs izmantojat Wireshark, lai piesaistītu apkārt, iespējams, vēlēsities rīkoties, ņemot vērā redzamo datplūsmu - iespējams, lai bloķētu kādu aizdomīgu datplūsmu. Wireshark's Firewall ACL noteikumi rīks ģenerē komandas, kas jums būs nepieciešams, lai izveidotu firewall noteikumus jūsu ugunsmūri.
Pirmkārt, izvēlieties paketi, kuram vēlaties izveidot ugunsmūra noteikumu, pamatojoties uz to, noklikšķinot uz tā. Pēc tam noklikšķiniet uz Rīki izvēlieties un izvēlieties Firewall ACL noteikumi.
Izmantojiet Produkts izvēlieties ugunsmūra veidu. Wireshark atbalsta Cisco IOS, dažāda veida Linux ugunsmūrus, tostarp iptables, un Windows ugunsmūri.
Jūs varat izmantot Filtrēt lai izveidotu noteikumu, kas balstīts uz sistēmas MAC adresi, IP adresi, portu vai gan IP adresi, gan portu. Atkarībā no ugunsmūra produkta jūs varat redzēt mazāk filtra opciju.
Pēc noklusējuma rīks izveido noteikumu, kas noraida ienākošo informāciju. Varat mainīt noteikuma darbību, noņemot atzīmi no Ienākošais vai Liegties izvēles rūtiņas. Kad esat izveidojis noteikumu, izmantojiet Kopēt pogu, lai to kopētu, un palaidiet to ugunsmūrī, lai piemērotu šo noteikumu.
Vai jūs vēlaties, lai mēs nākotnē rakstītu kaut ko konkrētu par Wireshark? Informējiet mūs komentāros, ja jums ir kādi pieprasījumi vai idejas.