Cómo identificar el abuso de red con Wireshark

Wireshark es el cuchillo de las herramientas de análisis de red del ejército suizo. Si usted está buscando para el tráfico peer-to-peer ...

Wireshark es el cuchillo de las herramientas de análisis de red del ejército suizo. Si usted está buscando para el tráfico peer-to-peer en la red o simplemente quieres ver qué sitios web de una dirección IP específica está accediendo, Wireshark puede trabajar para usted.
Nos hemos dado anteriormente una introducción a Wireshark . y esta entrada se basa en nuestros posts anteriores. Tenga en cuenta que usted debe estar capturando en un lugar en la red donde se puede ver lo suficiente tráfico de red. Si usted hace una captura en su estación de trabajo local, es muy probable que no vea la mayoría del tráfico en la red. Wireshark puede hacer capturas desde una ubicación remota - echa un vistazo a nuestros trucos de Wireshark publicar para obtener más información al respecto.

La identificación de Peer-to-Peer Tráfico

Columna protocolo de Wireshark muestra el tipo de protocolo de cada paquete. Si usted está buscando en una captura de Wireshark, es posible que vea BitTorrent o otro tráfico peer-to-peer que acechan en el mismo.
Usted puede ver lo que los protocolos se están utilizando en la red de la Jerarquía Protocolo de herramientas, situada debajo de la Estadística  menú.
Esta ventana muestra un desglose del uso de la red por el protocolo. A partir de aquí, podemos ver que casi el 5 por ciento de los paquetes de la red son los paquetes de BitTorrent. Eso no suena como mucho, pero BitTorrent también utiliza paquetes UDP. El casi 25 por ciento de los paquetes clasificados como paquetes UDP de datos son también el tráfico de BitTorrent aquí.
Podemos ver sólo los paquetes de BitTorrent por clic derecho en el protocolo y aplicarlo como filtro. Usted puede hacer lo mismo con otros tipos de tráfico peer-to-peer que pueden estar presentes, como Gnutella, eDonkey o Soulseek.
El uso de la opción Aplicar filtro se aplica el "filtro de bittorrent. "Usted puede saltar el menú del botón derecho y ver el tráfico de un protocolo escribiendo su nombre directamente en el cuadro Filtro.
Desde el tráfico filtrada, podemos ver que la dirección IP local 192.168.1.64 está usando BitTorrent.
Para ver todas las direcciones IP utilizando BitTorrent, podemos seleccionar puntos finales de laEstadística menú.
Haga click en la IPv4 ficha y permitir que el " Límite filtro para mostrar "casilla de verificación.Vas a ver tanto las direcciones IP remotas y locales asociados con el tráfico de BitTorrent. Las direcciones IP locales deben aparecer en la parte superior de la lista.
Si quieres ver los diferentes tipos de protocolos de soportes de Wireshark y sus nombres de filtro, seleccione Protocolos habilitados en el marco del Analizar menú.
Usted puede empezar a escribir un protocolo para buscar en la ventana Protocolos habilitados.

Acceso Monitoreo de Sitio Web

Ahora que sabemos cómo romper el tráfico por protocolo, podemos escribir " http "en la caja de filtro para ver sólo el tráfico HTTP. Con la opción "Habilitar la resolución de nombres de red"marcada, vamos a ver los nombres de los sitios web que se accede en la red.
Una vez más, podemos usar el Endpoints opción en la Estadística menú.
Haga click en la IPv4 ficha y permitir que el " Límite filtro para mostrar "casilla de verificación de nuevo. También debe asegurarse de que la " Resolución de nombres casilla de verificación "está habilitada o sólo va a ver las direcciones IP.
Desde aquí, pueden ver los sitios web que se accede. Redes de Publicidad y sitios web de terceros que los scripts huésped utilizadas en otros sitios web también aparecerá en la lista.
Si queremos descomponerlo por una dirección IP específica para ver lo que una única dirección IP es la navegación, podemos hacer eso también. Utilice el filtro combinado http y ip.addr == [dirección IP] para ver el tráfico HTTP asociado con una dirección IP específica.
Abra los puntos finales de diálogo de nuevo y verás una lista de sitios web que se accede mediante la dirección IP específica.

Todo esto es sólo arañando la superficie de lo que puede hacer con Wireshark. Se puede construir filtros mucho más avanzados, o incluso utilizar la herramienta Reglas ACL Firewall de nuestros  trucos de Wireshark Publicar bloquear fácilmente los tipos de tráfico que encontrará aquí.

Related

Windows 5475127890596713152

Publicar un comentario en la entrada

Top

Recent

Comments

item