5 เคล็ดลับนักฆ่าเพื่อรับประโยชน์สูงสุดจาก Wireshark
Wireshark มีเคล็ดลับค่อนข้างน้อยตั้งแต่การรับส่งข้อมูลระยะไกลไปจนถึงการสร้างกฎไฟร์วอลล์ตามแพ็กเก็ตที่จับ อ่านต่อไปสำหรับเคล็ดลับขั้นสูงเพิ่มเติมหากคุณต้องการใช้ Wireshark อย่างมืออาชีพ.
เราได้ครอบคลุมการใช้งานพื้นฐานของ Wireshark แล้วดังนั้นโปรดอ่านบทความต้นฉบับของเราเพื่อแนะนำเครื่องมือวิเคราะห์เครือข่ายที่ทรงพลังนี้.
การแก้ไขชื่อเครือข่าย
ในขณะที่จับแพ็คเก็ตคุณอาจรำคาญว่า Wireshark แสดงเฉพาะที่อยู่ IP คุณสามารถแปลงที่อยู่ IP เป็นชื่อโดเมนได้ด้วยตัวเอง แต่ไม่สะดวกเกินไป.
Wireshark สามารถแก้ไขที่อยู่ IP เหล่านี้เป็นชื่อโดเมนได้โดยอัตโนมัติแม้ว่าคุณสมบัตินี้จะไม่เปิดใช้งานตามค่าเริ่มต้น เมื่อคุณเปิดใช้งานตัวเลือกนี้คุณจะเห็นชื่อโดเมนแทนที่อยู่ IP ทุกครั้งที่ทำได้ ข้อเสียคือ Wireshark จะต้องค้นหาชื่อโดเมนแต่ละชื่อสร้างมลภาวะทราฟฟิกที่ถูกจับด้วยการร้องขอ DNS เพิ่มเติม.
คุณสามารถเปิดใช้งานการตั้งค่านี้ได้โดยเปิดหน้าต่างการตั้งค่าจาก แก้ไข -> การตั้งค่า, คลิกที่ การแก้ไขชื่อ แผงควบคุมและคลิก“เปิดใช้งานการแก้ไขชื่อเครือข่ายช่องทำเครื่องหมาย.
เริ่มการจับภาพโดยอัตโนมัติ
คุณสามารถสร้างทางลัดพิเศษโดยใช้อาร์กิวเมนต์บรรทัดคำสั่งของ Wirshark หากคุณต้องการเริ่มจับภาพแพ็กเก็ตโดยไม่ชักช้า คุณจะต้องรู้จำนวนอินเทอร์เฟซเครือข่ายที่คุณต้องการใช้ตามลำดับ Wireshark แสดงอินเทอร์เฟซ.
สร้างสำเนาของทางลัดของ Wireshark คลิกขวาไปที่หน้าต่างคุณสมบัติและเปลี่ยนอาร์กิวเมนต์บรรทัดคำสั่ง เพิ่ม -ฉัน # -k ที่ส่วนท้ายของทางลัดแทนที่ # ด้วยหมายเลขของอินเทอร์เฟซที่คุณต้องการใช้ อ็อพชัน -i ระบุอินเตอร์เฟสขณะที่อ็อพชัน -k บอกให้ Wireshark เริ่มต้นการดักจับทันที.
หากคุณใช้ Linux หรือระบบปฏิบัติการอื่นที่ไม่ใช่ Windows เพียงสร้างทางลัดด้วยคำสั่งต่อไปนี้หรือเรียกใช้จากเทอร์มินัลเพื่อเริ่มการจับภาพทันที:
wireshark -i # -k
สำหรับทางลัดบรรทัดคำสั่งเพิ่มเติมดูที่หน้าคู่มือของ Wireshark.
บันทึกการรับส่งข้อมูลจากคอมพิวเตอร์ระยะไกล
Wireshark บันทึกการรับส่งข้อมูลจากอินเทอร์เฟซในระบบของคุณตามค่าเริ่มต้น แต่นี่ไม่ใช่ตำแหน่งที่คุณต้องการถ่ายภาพ ตัวอย่างเช่นคุณอาจต้องการจับภาพการรับส่งข้อมูลจากเราเตอร์เซิร์ฟเวอร์หรือคอมพิวเตอร์เครื่องอื่นในตำแหน่งที่ตั้งอื่นบนเครือข่าย นี่คือที่มาของคุณสมบัติการจับภาพระยะไกลของ Wireshark คุณลักษณะนี้มีให้บริการบน Windows ในขณะนี้เท่านั้น - เอกสารทางการของ Wireshark แนะนำให้ผู้ใช้ Linux ใช้อุโมงค์ SSH.
ก่อนอื่นคุณจะต้องติดตั้ง WinPcap บนระบบระยะไกล WinPcap มาพร้อมกับ Wireshark ดังนั้นคุณไม่ต้องติดตั้ง WinPCap หากคุณมี Wireshark ติดตั้งอยู่ในระบบรีโมตแล้ว.
หลังจากไม่มีการเรียกใช้ให้เปิดหน้าต่างบริการบนคอมพิวเตอร์ระยะไกล - คลิกเริ่มพิมพ์ services.msc ลงในช่องค้นหาในเมนูเริ่มแล้วกด Enter ค้นหา โปรโตคอลการจับแพ็คเก็ตระยะไกล บริการในรายการและเริ่ม บริการนี้ถูกปิดใช้งานโดยค่าเริ่มต้น.
คลิก ตัวเลือกการจับภาพลิงก์ใน Wireshark จากนั้นเลือก ห่างไกล จากกล่องอินเตอร์เฟส.
ป้อนที่อยู่ของระบบรีโมตและ 2002 เป็นพอร์ต คุณต้องมีการเข้าถึงพอร์ต 2002 บนระบบระยะไกลเพื่อเชื่อมต่อดังนั้นคุณอาจต้องเปิดพอร์ตนี้ในไฟร์วอลล์.
หลังจากเชื่อมต่อคุณสามารถเลือกอินเทอร์เฟซบนระบบระยะไกลได้จากกล่องดรอปดาวน์ของอินเทอร์เฟซ คลิก เริ่มต้น หลังจากเลือกอินเทอร์เฟซเพื่อเริ่มการจับภาพระยะไกล.
Wireshark ในอาคารผู้โดยสาร (TShark)
หากคุณไม่มีส่วนต่อประสานกราฟิกในระบบของคุณคุณสามารถใช้ Wireshark จากเทอร์มินัลด้วยคำสั่ง TShark.
ก่อนอื่นให้ออก tshark -D คำสั่ง คำสั่งนี้จะให้หมายเลขของอินเทอร์เฟซเครือข่ายของคุณ.
เมื่อคุณเรียกใช้ tshark -i # คำสั่งแทนที่ # ด้วยจำนวนอินเตอร์เฟสที่คุณต้องการดักจับ.
TShark ทำหน้าที่เหมือน Wireshark พิมพ์การรับส่งข้อมูลที่จับไปยังเทอร์มินัล ใช้ Ctrl-C เมื่อคุณต้องการหยุดการจับ.
การพิมพ์แพ็คเก็ตไปยังเครื่องเทอร์มินัลไม่ได้มีประโยชน์มาก หากเราต้องการตรวจสอบการรับส่งข้อมูลโดยละเอียดเราสามารถนำ TShark ไปไว้ในไฟล์ที่เราสามารถตรวจสอบได้ในภายหลัง ใช้คำสั่งนี้แทนดัมพ์ทราฟฟิกไปยังไฟล์:
tshark -i # -w ชื่อไฟล์
TShark จะไม่แสดงแพ็กเก็ตให้คุณเห็นขณะที่พวกเขากำลังถูกจับ แต่มันจะนับมันเมื่อมันถูกจับ คุณสามารถใช้ ไฟล์ -> เปิด ตัวเลือกใน Wireshark เพื่อเปิดไฟล์จับภาพในภายหลัง.
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับตัวเลือกบรรทัดคำสั่งของ TShark ดูที่หน้าคู่มือ.
การสร้างกฎไฟร์วอลล์ ACL
หากคุณเป็นผู้ดูแลระบบเครือข่ายที่รับผิดชอบไฟร์วอลล์และคุณใช้ Wireshark เพื่อกระตุ้นคุณอาจต้องดำเนินการตามปริมาณการใช้งานที่คุณเห็นซึ่งอาจบล็อกการรับส่งข้อมูลที่น่าสงสัย Wireshark ของ กฎไฟร์วอลล์ ACL เครื่องมือสร้างคำสั่งที่คุณจะต้องสร้างกฎไฟร์วอลล์บนไฟร์วอลล์ของคุณ.
ก่อนอื่นเลือกแพ็คเก็ตที่คุณต้องการสร้างกฎไฟร์วอลล์โดยคลิกที่มัน หลังจากนั้นคลิก เครื่องมือ เมนูและเลือก กฎไฟร์วอลล์ ACL.
ใช้ สินค้า เมนูเพื่อเลือกประเภทไฟร์วอลล์ของคุณ Wireshark รองรับ Cisco IOS, ไฟร์วอลล์ Linux ชนิดต่าง ๆ รวมถึง iptables และไฟร์วอลล์ Windows.
คุณสามารถใช้ กรอง เพื่อสร้างกฎตามที่อยู่ MAC ของระบบ, ที่อยู่ IP, พอร์ตหรือทั้งที่อยู่ IP และพอร์ต คุณอาจเห็นตัวกรองน้อยลงทั้งนี้ขึ้นอยู่กับผลิตภัณฑ์ไฟร์วอลล์ของคุณ.
โดยค่าเริ่มต้นเครื่องมือสร้างกฎที่ปฏิเสธการรับส่งข้อมูลขาเข้า คุณสามารถปรับเปลี่ยนพฤติกรรมของกฎได้โดยยกเลิกการเลือก ขาเข้า หรือ ปฏิเสธ ช่องทำเครื่องหมาย หลังจากที่คุณสร้างกฎแล้วให้ใช้ สำเนา เพื่อคัดลอกจากนั้นเรียกใช้บนไฟร์วอลล์ของคุณเพื่อใช้กฎ.
คุณต้องการให้เราเขียนอะไรเกี่ยวกับ Wireshark ในอนาคตหรือไม่? แจ้งให้เราทราบในความคิดเห็นหากคุณมีคำขอหรือความคิดใด ๆ.