10 Tipps zur Verwendung von Wireshark, um Pakete in Ihrem Netzwerk zu analysieren

10 Tipps zur Verwendung von Wireshark, um Pakete in Ihrem Netzwerk zu analysieren

In jedem Paket-Switched-Netzwerk stellen Pakete Dateneinheiten dar, die zwischen Computern übertragen werden. Es liegt in der Verantwortung von Netzwerkingenieuren und Systemadministratoren, die Pakete auf Sicherheits- und Fehlerbehebungszwecke zu überwachen und zu überprüfen.

Dazu verlassen sie sich auf Softwareprogramme, die als Netzwerkpaketanalysatoren bezeichnet werden, mit Wireshark Vielleicht am beliebtesten und aufgrund seiner Vielseitigkeit und Leichtigkeit des Gebrauchs am häufigsten verwendet werden. Darüber hinaus, Wireshark Ermöglicht Ihnen, den Datenverkehr nicht nur in Echtzeit zu überwachen, sondern auch für eine spätere Inspektion in einer Datei zu speichern.

Verwandte Lesen: Beste Linux -Bandbreitenüberwachungstools zur Analyse der Netzwerknutzung

In diesem Artikel werden wir 10 Tipps zur Verwendung teilen Wireshark Um Pakete in Ihrem Netzwerk zu analysieren und zu hoffen, dass Sie beim Erreichen des Zusammenfassungsabschnitts geneigt sind, ihn zu Ihren Lesezeichen hinzuzufügen.

Installieren Sie Wireshark unter Linux

Installieren Wireshark, Wählen Sie den richtigen Installateur für Ihr Betriebssystem/Ihre Architektur aus https: // www aus.Wireshark.org/download.html.

Insbesondere, wenn Sie Linux verwenden, muss Wireshark direkt über die Repositories Ihrer Verteilung verfügbar sein, um eine einfachere Installation nach Belieben zu erhalten. Obwohl sich Versionen unterscheiden können, sollten die Optionen und Menüs ähnlich sein - wenn nicht in jedem einzelnen identisch.

------------ Auf Debian/Ubuntu -basierter Distribu ------------ $ sudo apt-Get install Wireshark ------------ Auf Centos/Rhelbasis Distribros ------------ $ sudo yum install Wireshark ------------ Auf Fedora 22+ Veröffentlichungen ------------ $ sudo dnf install Wireshark 

Es gibt einen bekannten Fehler in Debian und Ableitungen, die verhindern können, dass die Netzwerkschnittstellen aufgelistet sind. Um dies zu beheben, folgen Sie der akzeptierten Antwort in diesem Beitrag.

Einmal Wireshark Läuft ausgeführt, Sie können die Netzwerkschnittstelle auswählen, unter der Sie überwachen möchten Ergreifen:

Wireshark Network Analyzer

In diesem Artikel werden wir verwenden Eth0, Sie können jedoch einen anderen auswählen, wenn Sie möchten. Klicken Sie noch nicht auf die Schnittstelle - wir werden dies später tun, sobald wir einige Erfassungsoptionen überprüft haben.

Festlegen von Erfassungsoptionen

Die nützlichsten Erfassungsoptionen, die wir berücksichtigen werden, sind:

  1. Netzwerkschnittstelle - Wie wir bereits erläutert haben, werden wir nur Pakete analysieren, die durchkommen Eth0, Entweder eingehende oder ausstehende.
  2. Erfassungsfilter - Mit dieser Option können wir angeben, welche Art von Verkehr wir über Port, Protokoll oder Typ überwachen möchten.

Bevor wir mit den Tipps fortfahren, ist es wichtig zu beachten Wireshark in ihren Netzwerken. Wenn Sie Wireshark nicht für persönliche Zwecke verwenden, stellen Sie sicher, dass Ihre Organisation ihre Verwendung erlaubt.

Wählen Sie vorerst einfach aus Eth0 in der Dropdown -Liste und klicken Sie auf Start am Knopf. Sie werden sehen, wie der gesamte Verkehr durch diese Schnittstelle geht. Nicht wirklich nützlich für Überwachungszwecke aufgrund der hohen Menge an inspizierten Paketen, aber es ist ein Anfang.

Überwachung der Netzwerkschnittstellenverkehr

Im obigen Bild können wir auch die sehen Ikonen um die verfügbaren Schnittstellen aufzulisten, um stoppen die aktuelle Erfassung und zu Neustart es (rote Box auf der links) und um einen Filter zu konfigurieren und zu bearbeiten (rote Box auf der Rechts). Wenn Sie über eines dieser Symbole schweben, wird ein Tooltip angezeigt, um anzuzeigen, was es tut.

Wir werden zunächst die Erfassungsoptionen veranschaulichen, während Tipps Tipps #7 durch #10 wird diskutieren, wie man tatsächlich etwas Nützliches mit einer Erfassung tut.

Tipp Nr. 1 - HTTP -Verkehr inspizieren

Typ http im Filterfeld und klicken Sie auf Anwenden. Starten Sie Ihren Browser und gehen Sie zu jeder Website, die Sie wünschen:

Überprüfen Sie den HTTP -Netzwerkverkehr

Um jeden nachfolgenden Tipp zu beginnen, stoppen Sie die Live -Erfassung und bearbeiten Sie den Erfassungsfilter.

Tipp Nr. 2 - Überprüfen Sie den HTTP -Verkehr von einer bestimmten IP -Adresse

In diesem speziellen Tipp werden wir uns vorbereiten IP == 192.168.0.10 && an die Filterstrophe, um den HTTP -Verkehr zwischen dem lokalen Computer und zu überwachen und 192.168.0.10:

Überprüfen Sie den HTTP -Verkehr unter der IP -Adresse

Tipp Nr. 3 - Überprüfen Sie den HTTP -Verkehr auf eine bestimmte IP -Adresse

Eng verwandt mit #2, In diesem Fall werden wir verwenden IP.dst Als Teil des Erfassungsfilters wie folgt:

IP.DST == 192.168.0.10 && http 
Überwachen Sie den HTTP -Netzwerkverkehr in IP -Adresse

Tipps zu kombinieren #2 Und #3, Sie können verwenden IP.ADDR in der Filterregel anstelle von IP.src oder IP.dst.

Tipp Nr. 4 - Überwachen Sie Apache und MySQL -Netzwerkverkehr

Manchmal sind Sie daran interessiert, den Verkehr zu inspizieren, der entweder (oder in beiden) Bedingungen entspricht. Zum Beispiel, um den Verkehr an TCP -Ports zu überwachen 80 (Webserver) und 3306 (MySQL / MariADB -Datenbankserver) Sie können eine verwenden ODER Bedingung im Erfassungsfilter:

TCP.Port == 80 || TCP.Port == 3306 
Überwachen Sie Apache und MySQL -Verkehr

In Tipps #2 Und #3, || und das Wort oder produzieren die gleichen Ergebnisse. Das gleiche mit && und das Wort Und.

Tipp Nr. 5 - Lehnen Sie Pakete in eine angegebene IP -Adresse ab

Um Pakete auszuschließen, die nicht der Filterregel entsprechen, verwenden Sie ! und schließen Sie die Regel in Klammern ein. Um beispielsweise Pakete auszuschließen, die von einer bestimmten IP -Adresse stammen oder an eine bestimmte IP -Adresse gerichtet werden, können Sie verwenden:

!(IP.addr == 192.168.0.10)) 

Tipp Nr. 6 - Überwachen Sie den lokalen Netzwerkverkehr (192.168.0.0/24)

Die folgende Filterregel zeigt nur den lokalen Datenverkehr an und schließt Pakete aus und kommt aus dem Internet:

IP.src == 192.168.0.0/24 und IP.DST == 192.168.0.0/24 
Überwachen Sie den lokalen Netzwerkverkehr

Tipp Nr. 7 - Überwachen Sie den Inhalt eines TCP -Gesprächs

Um den Inhalt von a zu inspizieren TCP Konversation (Datenaustausch), klicken Sie mit der rechten Maustaste auf ein bestimmtes Paket und wählen Sie folgen TCP Strom. Ein Fenster wird mit dem Inhalt des Gesprächs eröffnet.

Dies wird einschließen Http Header, wenn wir den Webverkehr inspizieren, und auch irgendwelche Klartext -Anmeldeinformationen, die während des Prozesses übertragen werden, falls vorhanden.

Überwachen Sie die TCP -Konversation

Tipp Nr. 8 - Malvorlagen bearbeiten

Inzwischen bin ich sicher, dass Sie bereits bemerkt haben, dass jede Zeile im Erfassungsfenster gefärbt ist. Standardmäßig, Http Verkehr erscheint in der Grün Hintergrund mit schwarzem Text, während Überprüfung Fehler werden in angezeigt Rot Text mit schwarzem Hintergrund.

Wenn Sie diese Einstellungen ändern möchten, klicken Sie auf die Bearbeiten Symbol für Malvorlagen, wählen Sie einen bestimmten Filter und klicken Sie auf Bearbeiten.

Passen Sie die WireShark -Ausgabe in Farben an

Tipp Nr. 9 - Speichern Sie die Erfassung in einer Datei

Wenn wir den Inhalt der Erfassung speichern. Um dies zu tun, gehen Sie zu Datei → Exportieren und wählen Sie ein Exportformat aus der Liste:

Speichern Sie Wireshark Capture in Datei

Tipp Nr. 10 - Üben Sie mit Einfangproben

Wenn Sie denken, Ihr Netzwerk ist "langweiligWireshark bietet eine Reihe von Beispielerfassungsdateien, mit denen Sie üben und lernen können. Sie können diese Samplecapturen herunterladen und über die importieren Datei → Import Speisekarte.

Zusammenfassung

Wireshark ist kostenlose und Open-Source-Software, wie Sie im FAQS-Abschnitt der offiziellen Website sehen können. Sie können einen Erfassungsfilter entweder vor oder nach Beginn einer Inspektion konfigurieren.

Falls Sie es nicht bemerkt haben, verfügt der Filter über eine automatische Funktion, mit der Sie problemlos nach den am häufigsten verwendeten Optionen suchen können, die Sie später anpassen können. Damit ist der Himmel die Grenze!

Zögern Sie wie immer nicht, uns eine Zeile mit dem folgenden Kommentarformular zu fallen, wenn Sie Fragen oder Beobachtungen zu diesem Artikel haben.