วิธีการระบุการละเมิดเครือข่ายด้วย Wireshark
Wireshark เป็นเครื่องมือการวิเคราะห์เครือข่ายของ Swiss Army ไม่ว่าคุณกำลังมองหาการรับส่งข้อมูลแบบเพียร์ทูเพียร์บนเครือข่ายของคุณหรือเพียงแค่ต้องการดูว่าเว็บไซต์ใดที่มีการเข้าถึงที่อยู่ IP เฉพาะ Wireshark สามารถทำงานให้คุณได้.
ก่อนหน้านี้เราได้แนะนำ Wireshark และโพสต์นี้สร้างขึ้นจากโพสต์ก่อนหน้าของเรา โปรดทราบว่าคุณต้องจับภาพที่ตำแหน่งบนเครือข่ายที่คุณสามารถดูปริมาณการใช้เครือข่ายที่เพียงพอ หากคุณทำการจับภาพบนเวิร์กสเตชันท้องถิ่นของคุณคุณอาจไม่เห็นการรับส่งข้อมูลส่วนใหญ่บนเครือข่าย Wireshark สามารถจับภาพได้จากสถานที่ห่างไกล - ตรวจสอบเคล็ดลับ Wireshark ของเราสำหรับข้อมูลเพิ่มเติมเกี่ยวกับเรื่องนั้น.
การระบุปริมาณการใช้ Peer-to-Peer
คอลัมน์โปรโตคอลของ Wireshark แสดงประเภทโปรโตคอลของแต่ละแพ็คเก็ต หากคุณกำลังดูการจับภาพ Wireshark คุณอาจเห็น BitTorrent หรือการรับส่งข้อมูลแบบ peer-to-peer อื่น ๆ ที่ซุ่มซ่อนอยู่.
คุณสามารถดูได้ว่ามีการใช้โปรโตคอลใดในเครือข่ายของคุณจาก ลำดับขั้นของพิธีสาร เครื่องมืออยู่ภายใต้ สถิติ เมนู.
หน้าต่างนี้จะแสดงรายละเอียดของการใช้เครือข่ายตามโปรโตคอล จากที่นี่เราจะเห็นได้ว่าเกือบ 5 เปอร์เซ็นต์ของแพ็กเก็ตในเครือข่ายเป็นแพ็คเก็ต BitTorrent ไม่ได้ฟังดูเหมือนมาก แต่ BitTorrent ยังใช้แพ็คเก็ต UDP เกือบ 25 เปอร์เซ็นต์ของแพ็คเก็ตที่จัดเป็นแพ็คเก็ตข้อมูล UDP เป็นปริมาณการใช้งาน BitTorrent เช่นกัน.
เราสามารถดูได้เฉพาะแพ็คเก็ต BitTorrent โดยคลิกขวาที่โปรโตคอลและใช้เป็นตัวกรอง คุณสามารถทำสิ่งเดียวกันนี้กับการรับส่งข้อมูลแบบ peer-to-peer ประเภทอื่น ๆ ที่อาจมีอยู่เช่น Gnutella, eDonkey หรือ Soulseek.
การใช้ตัวเลือกใช้ตัวกรองใช้ตัวกรอง“BitTorrent.” คุณสามารถข้ามเมนูคลิกขวาและดูทราฟฟิกของโพรโทคอลได้โดยพิมพ์ชื่อลงในช่องตัวกรองโดยตรง.
จากทราฟฟิกที่กรองแล้วเราจะเห็นได้ว่าที่อยู่ IP ภายในเครื่องของ 192.168.1.64 กำลังใช้ BitTorrent.
ในการดูที่อยู่ IP ทั้งหมดโดยใช้ BitTorrent เราสามารถเลือกได้ ปลายทาง ใน สถิติ เมนู.
คลิกไปที่ IPv4 แท็บและเปิดใช้งาน“จำกัด การแสดงตัวกรองช่องทำเครื่องหมาย คุณจะเห็นทั้งที่อยู่ IP ระยะไกลและท้องถิ่นที่เกี่ยวข้องกับการรับส่งข้อมูล BitTorrent ที่อยู่ IP ท้องถิ่นควรปรากฏที่ด้านบนของรายการ.
หากคุณต้องการดูโปรโตคอลประเภทต่างๆที่ Wireshark รองรับและชื่อตัวกรองให้เลือก โปรโตคอลที่เปิดใช้งาน ภายใต้ วิเคราะห์ เมนู.
คุณสามารถเริ่มพิมพ์โปรโตคอลเพื่อค้นหาได้ในหน้าต่างโปรโตคอลที่เปิดใช้งาน.
ตรวจสอบการเข้าถึงเว็บไซต์
ตอนนี้เรารู้วิธีแบ่งทราฟฟิกลงโดยโปรโตคอลแล้วเราสามารถพิมพ์“http” ลงในกล่องตัวกรองเพื่อดูทราฟฟิก HTTP เท่านั้น ด้วยการเลือกตัวเลือก“ เปิดใช้การจำแนกชื่อเครือข่าย” เราจะเห็นชื่อของเว็บไซต์ที่กำลังเข้าถึงบนเครือข่าย.
อีกครั้งเราสามารถใช้ ปลายทาง ตัวเลือกใน สถิติ เมนู.
คลิกไปที่ IPv4 แท็บและเปิดใช้งาน“จำกัด การแสดงตัวกรอง” กล่องกาเครื่องหมายอีกครั้ง คุณควรตรวจสอบให้แน่ใจว่าการแก้ไขชื่อช่องทำเครื่องหมายถูกเปิดใช้งานหรือคุณจะเห็นที่อยู่ IP เท่านั้น.
จากที่นี่เราสามารถดูเว็บไซต์ที่กำลังเข้าถึง เครือข่ายโฆษณาและเว็บไซต์บุคคลที่สามซึ่งโฮสต์สคริปต์ที่ใช้กับเว็บไซต์อื่นจะปรากฏในรายการด้วย.
หากเราต้องการแยกย่อยนี้ด้วยที่อยู่ IP ที่เฉพาะเจาะจงเพื่อดูว่าที่อยู่ IP ใดที่กำลังเรียกดูอยู่เราก็สามารถทำได้เช่นกัน ใช้ตัวกรองรวม http และ ip.addr == [ที่อยู่ IP] เพื่อดูทราฟฟิก HTTP ที่เชื่อมโยงกับที่อยู่ IP เฉพาะ.
เปิดกล่องโต้ตอบปลายทางอีกครั้งและคุณจะเห็นรายการเว็บไซต์ที่เข้าถึงได้โดยที่อยู่ IP นั้น.
ทั้งหมดนี้เป็นเพียงการเกาที่พื้นผิวของสิ่งที่คุณสามารถทำได้กับ Wireshark คุณสามารถสร้างตัวกรองขั้นสูงได้มากขึ้นหรือแม้แต่ใช้เครื่องมือ Firewall ACL Rules จาก Wireshark trick post ของเราเพื่อป้องกันการรับส่งข้อมูลประเภทที่คุณจะพบได้ที่นี่.