Pagina inicial » como » Como identificar o abuso de rede com o Wireshark

    Como identificar o abuso de rede com o Wireshark

    O Wireshark é o canivete suíço das ferramentas de análise de rede. Se você está procurando por tráfego peer-to-peer em sua rede ou apenas quer ver quais sites um endereço IP específico está acessando, o Wireshark pode trabalhar para você.

    Nós já apresentamos uma introdução ao Wireshark. e este post baseia-se nos nossos posts anteriores. Tenha em mente que você deve estar capturando em um local na rede onde você pode ver o tráfego de rede suficiente. Se você fizer uma captura em sua estação de trabalho local, provavelmente não verá a maioria do tráfego na rede. O Wireshark pode fazer capturas a partir de um local remoto - confira nosso post de truques do Wireshark para obter mais informações sobre isso.

    Identificando o tráfego ponto a ponto

    A coluna de protocolo do Wireshark exibe o tipo de protocolo de cada pacote. Se você está olhando para uma captura Wireshark, você pode ver o BitTorrent ou outro tráfego peer-to-peer à espreita nele.

    Você pode ver exatamente quais protocolos estão sendo usados ​​em sua rede a partir do Hierarquia de Protocolos ferramenta, localizada sob a Estatisticas cardápio.

    Esta janela mostra um detalhamento do uso da rede por protocolo. A partir daqui, podemos ver que quase 5 por cento dos pacotes na rede são pacotes BitTorrent. Isso não parece muito, mas o BitTorrent também usa pacotes UDP. Os quase 25% dos pacotes classificados como pacotes de dados UDP também são tráfego BitTorrent aqui.

    Podemos ver apenas os pacotes BitTorrent clicando com o botão direito do mouse no protocolo e aplicando-o como um filtro. Você pode fazer o mesmo para outros tipos de tráfego peer-to-peer que possam estar presentes, como Gnutella, eDonkey ou Soulseek.

    Usando a opção Aplicar filtro aplica o filtro “bittorrent.Você pode pular o menu do botão direito e ver o tráfego de um protocolo digitando seu nome diretamente na caixa Filtro.

    Do tráfego filtrado, podemos ver que o endereço IP local de 192.168.1.64 está usando o BitTorrent.

    Para ver todos os endereços IP usando BitTorrent, podemos selecionar Pontos de extremidade no Estatisticas cardápio.

    Clique para o IPv4 aba e habilitar o “Limite para exibir o filtro”Caixa de seleção. Você verá os endereços IP remotos e locais associados ao tráfego de BitTorrent. Os endereços IP locais devem aparecer no topo da lista.

    Se você quiser ver os diferentes tipos de protocolos suportados pelo Wireshark e seus nomes de filtros, selecione Protocolos Ativados debaixo de Analisar cardápio.

    Você pode começar a digitar um protocolo para procurá-lo na janela Protocolos Ativados.

    Monitorando o acesso ao site

    Agora que sabemos como quebrar o tráfego por protocolo, podemos digitar "http”Na caixa Filtro para ver apenas o tráfego HTTP. Com a opção "Ativar resolução de nome de rede" marcada, vamos ver os nomes dos sites que estão sendo acessados ​​na rede.

    Mais uma vez, podemos usar o Pontos de extremidade opção no Estatisticas cardápio.

    Clique para o IPv4 aba e habilitar o “Limite para exibir o filtro”Caixa de seleção novamente. Você também deve garantir que o “Resolução de nomes"Caixa de seleção está ativada ou você verá apenas endereços IP.

    A partir daqui, podemos ver os sites sendo acessados. Redes de publicidade e sites de terceiros que hospedam scripts usados ​​em outros sites também aparecerão na lista.

    Se quisermos dividir isso por um endereço IP específico para ver o que um único endereço IP está navegando, também podemos fazer isso. Use o filtro combinado http e ip.addr == [endereço IP] para ver o tráfego HTTP associado a um endereço IP específico.

    Abra a caixa de diálogo Endpoints novamente e você verá uma lista de sites sendo acessados ​​por esse endereço IP específico.

    Isso tudo é apenas arranhar a superfície do que você pode fazer com o Wireshark. Você pode criar filtros muito mais avançados ou até mesmo usar a ferramenta Regras de ACL do Firewall em nossa postagem de truques do Wireshark para bloquear facilmente os tipos de tráfego que você encontrará aqui.

    Como identificar qual componente de hardware está falhando em seu computador
    Como ignorar casos ao usar a conclusão de guias no terminal do Linux
    Como identificar falsas análises da Amazon
    Artigo seguinte
    Como identificar pixels bloqueados e removê-los de suas fotos digitais
    Artigo anterior
    Como identificar música ou músicas por som