โฮมเพจ » ทำอย่างไร » 5 เคล็ดลับนักฆ่าเพื่อรับประโยชน์สูงสุดจาก Wireshark

    5 เคล็ดลับนักฆ่าเพื่อรับประโยชน์สูงสุดจาก Wireshark

    Wireshark มีเคล็ดลับค่อนข้างน้อยตั้งแต่การรับส่งข้อมูลระยะไกลไปจนถึงการสร้างกฎไฟร์วอลล์ตามแพ็กเก็ตที่จับ อ่านต่อไปสำหรับเคล็ดลับขั้นสูงเพิ่มเติมหากคุณต้องการใช้ Wireshark อย่างมืออาชีพ.

    เราได้ครอบคลุมการใช้งานพื้นฐานของ Wireshark แล้วดังนั้นโปรดอ่านบทความต้นฉบับของเราเพื่อแนะนำเครื่องมือวิเคราะห์เครือข่ายที่ทรงพลังนี้.

    การแก้ไขชื่อเครือข่าย

    ในขณะที่จับแพ็คเก็ตคุณอาจรำคาญว่า Wireshark แสดงเฉพาะที่อยู่ IP คุณสามารถแปลงที่อยู่ IP เป็นชื่อโดเมนได้ด้วยตัวเอง แต่ไม่สะดวกเกินไป.

    Wireshark สามารถแก้ไขที่อยู่ IP เหล่านี้เป็นชื่อโดเมนได้โดยอัตโนมัติแม้ว่าคุณสมบัตินี้จะไม่เปิดใช้งานตามค่าเริ่มต้น เมื่อคุณเปิดใช้งานตัวเลือกนี้คุณจะเห็นชื่อโดเมนแทนที่อยู่ IP ทุกครั้งที่ทำได้ ข้อเสียคือ Wireshark จะต้องค้นหาชื่อโดเมนแต่ละชื่อสร้างมลภาวะทราฟฟิกที่ถูกจับด้วยการร้องขอ DNS เพิ่มเติม.

    คุณสามารถเปิดใช้งานการตั้งค่านี้ได้โดยเปิดหน้าต่างการตั้งค่าจาก แก้ไข -> การตั้งค่า, คลิกที่ การแก้ไขชื่อ แผงควบคุมและคลิก“เปิดใช้งานการแก้ไขชื่อเครือข่ายช่องทำเครื่องหมาย.

    เริ่มการจับภาพโดยอัตโนมัติ

    คุณสามารถสร้างทางลัดพิเศษโดยใช้อาร์กิวเมนต์บรรทัดคำสั่งของ Wirshark หากคุณต้องการเริ่มจับภาพแพ็กเก็ตโดยไม่ชักช้า คุณจะต้องรู้จำนวนอินเทอร์เฟซเครือข่ายที่คุณต้องการใช้ตามลำดับ Wireshark แสดงอินเทอร์เฟซ.

    สร้างสำเนาของทางลัดของ Wireshark คลิกขวาไปที่หน้าต่างคุณสมบัติและเปลี่ยนอาร์กิวเมนต์บรรทัดคำสั่ง เพิ่ม -ฉัน # -k ที่ส่วนท้ายของทางลัดแทนที่ # ด้วยหมายเลขของอินเทอร์เฟซที่คุณต้องการใช้ อ็อพชัน -i ระบุอินเตอร์เฟสขณะที่อ็อพชัน -k บอกให้ Wireshark เริ่มต้นการดักจับทันที.

    หากคุณใช้ Linux หรือระบบปฏิบัติการอื่นที่ไม่ใช่ Windows เพียงสร้างทางลัดด้วยคำสั่งต่อไปนี้หรือเรียกใช้จากเทอร์มินัลเพื่อเริ่มการจับภาพทันที:

    wireshark -i # -k

    สำหรับทางลัดบรรทัดคำสั่งเพิ่มเติมดูที่หน้าคู่มือของ Wireshark.

    บันทึกการรับส่งข้อมูลจากคอมพิวเตอร์ระยะไกล

    Wireshark บันทึกการรับส่งข้อมูลจากอินเทอร์เฟซในระบบของคุณตามค่าเริ่มต้น แต่นี่ไม่ใช่ตำแหน่งที่คุณต้องการถ่ายภาพ ตัวอย่างเช่นคุณอาจต้องการจับภาพการรับส่งข้อมูลจากเราเตอร์เซิร์ฟเวอร์หรือคอมพิวเตอร์เครื่องอื่นในตำแหน่งที่ตั้งอื่นบนเครือข่าย นี่คือที่มาของคุณสมบัติการจับภาพระยะไกลของ Wireshark คุณลักษณะนี้มีให้บริการบน Windows ในขณะนี้เท่านั้น - เอกสารทางการของ Wireshark แนะนำให้ผู้ใช้ Linux ใช้อุโมงค์ SSH.

    ก่อนอื่นคุณจะต้องติดตั้ง WinPcap บนระบบระยะไกล WinPcap มาพร้อมกับ Wireshark ดังนั้นคุณไม่ต้องติดตั้ง WinPCap หากคุณมี Wireshark ติดตั้งอยู่ในระบบรีโมตแล้ว.

    หลังจากไม่มีการเรียกใช้ให้เปิดหน้าต่างบริการบนคอมพิวเตอร์ระยะไกล - คลิกเริ่มพิมพ์ services.msc ลงในช่องค้นหาในเมนูเริ่มแล้วกด Enter ค้นหา โปรโตคอลการจับแพ็คเก็ตระยะไกล บริการในรายการและเริ่ม บริการนี้ถูกปิดใช้งานโดยค่าเริ่มต้น.

    คลิก ตัวเลือกการจับภาพลิงก์ใน Wireshark จากนั้นเลือก ห่างไกล จากกล่องอินเตอร์เฟส.

    ป้อนที่อยู่ของระบบรีโมตและ 2002 เป็นพอร์ต คุณต้องมีการเข้าถึงพอร์ต 2002 บนระบบระยะไกลเพื่อเชื่อมต่อดังนั้นคุณอาจต้องเปิดพอร์ตนี้ในไฟร์วอลล์.

    หลังจากเชื่อมต่อคุณสามารถเลือกอินเทอร์เฟซบนระบบระยะไกลได้จากกล่องดรอปดาวน์ของอินเทอร์เฟซ คลิก เริ่มต้น หลังจากเลือกอินเทอร์เฟซเพื่อเริ่มการจับภาพระยะไกล.

    Wireshark ในอาคารผู้โดยสาร (TShark)

    หากคุณไม่มีส่วนต่อประสานกราฟิกในระบบของคุณคุณสามารถใช้ Wireshark จากเทอร์มินัลด้วยคำสั่ง TShark.

    ก่อนอื่นให้ออก tshark -D คำสั่ง คำสั่งนี้จะให้หมายเลขของอินเทอร์เฟซเครือข่ายของคุณ.

    เมื่อคุณเรียกใช้ tshark -i # คำสั่งแทนที่ # ด้วยจำนวนอินเตอร์เฟสที่คุณต้องการดักจับ.

    TShark ทำหน้าที่เหมือน Wireshark พิมพ์การรับส่งข้อมูลที่จับไปยังเทอร์มินัล ใช้ Ctrl-C เมื่อคุณต้องการหยุดการจับ.

    การพิมพ์แพ็คเก็ตไปยังเครื่องเทอร์มินัลไม่ได้มีประโยชน์มาก หากเราต้องการตรวจสอบการรับส่งข้อมูลโดยละเอียดเราสามารถนำ TShark ไปไว้ในไฟล์ที่เราสามารถตรวจสอบได้ในภายหลัง ใช้คำสั่งนี้แทนดัมพ์ทราฟฟิกไปยังไฟล์:

    tshark -i # -w ชื่อไฟล์

    TShark จะไม่แสดงแพ็กเก็ตให้คุณเห็นขณะที่พวกเขากำลังถูกจับ แต่มันจะนับมันเมื่อมันถูกจับ คุณสามารถใช้ ไฟล์ -> เปิด ตัวเลือกใน Wireshark เพื่อเปิดไฟล์จับภาพในภายหลัง.

    สำหรับข้อมูลเพิ่มเติมเกี่ยวกับตัวเลือกบรรทัดคำสั่งของ TShark ดูที่หน้าคู่มือ.

    การสร้างกฎไฟร์วอลล์ ACL

    หากคุณเป็นผู้ดูแลระบบเครือข่ายที่รับผิดชอบไฟร์วอลล์และคุณใช้ Wireshark เพื่อกระตุ้นคุณอาจต้องดำเนินการตามปริมาณการใช้งานที่คุณเห็นซึ่งอาจบล็อกการรับส่งข้อมูลที่น่าสงสัย Wireshark ของ กฎไฟร์วอลล์ ACL เครื่องมือสร้างคำสั่งที่คุณจะต้องสร้างกฎไฟร์วอลล์บนไฟร์วอลล์ของคุณ.

    ก่อนอื่นเลือกแพ็คเก็ตที่คุณต้องการสร้างกฎไฟร์วอลล์โดยคลิกที่มัน หลังจากนั้นคลิก เครื่องมือ เมนูและเลือก กฎไฟร์วอลล์ ACL.

    ใช้ สินค้า เมนูเพื่อเลือกประเภทไฟร์วอลล์ของคุณ Wireshark รองรับ Cisco IOS, ไฟร์วอลล์ Linux ชนิดต่าง ๆ รวมถึง iptables และไฟร์วอลล์ Windows.

    คุณสามารถใช้ กรอง เพื่อสร้างกฎตามที่อยู่ MAC ของระบบ, ที่อยู่ IP, พอร์ตหรือทั้งที่อยู่ IP และพอร์ต คุณอาจเห็นตัวกรองน้อยลงทั้งนี้ขึ้นอยู่กับผลิตภัณฑ์ไฟร์วอลล์ของคุณ.

    โดยค่าเริ่มต้นเครื่องมือสร้างกฎที่ปฏิเสธการรับส่งข้อมูลขาเข้า คุณสามารถปรับเปลี่ยนพฤติกรรมของกฎได้โดยยกเลิกการเลือก ขาเข้า หรือ ปฏิเสธ ช่องทำเครื่องหมาย หลังจากที่คุณสร้างกฎแล้วให้ใช้ สำเนา เพื่อคัดลอกจากนั้นเรียกใช้บนไฟร์วอลล์ของคุณเพื่อใช้กฎ.


    คุณต้องการให้เราเขียนอะไรเกี่ยวกับ Wireshark ในอนาคตหรือไม่? แจ้งให้เราทราบในความคิดเห็นหากคุณมีคำขอหรือความคิดใด ๆ.