Već smo pokrivali osnovnu upotrebu Wiresharka, stoga svakako pročitajte naš izvorni članak za uvod u ovaj moćan alat za analizu mreže.
Rezolucija naziva mreže
Dok hvatate pakete, možda ćete biti ljuti da Wireshark prikazuje samo IP adrese. Možete pretvoriti IP adrese u nazive domena, ali to nije previše zgodan.
Tu postavku možete omogućiti otvaranjem prozora s postavkama Uredi -> Postavke, klikom na gumb Rezolucija naziva panel i klikom na "Omogući razlučivanje naziva mreže"Potvrdni okvir.
Započnite snimanje automatski
Možete stvoriti poseban prečac pomoću Wirsharkovih naredbenog retka, ako želite započeti snimanje paketa bez odgađanja. Morat ćete znati broj mrežnog sučelja koji želite koristiti, a na temelju redoslijeda Wireshark prikazuje sučelja.
Napravite kopiju Wiresharkovog prečaca, desnom tipkom miša, idite u svoj prozor Svojstva i promijenite argumente naredbenog retka. Dodati - i # -k do kraja prečaca, zamjenjujući # s brojem sučelja koje želite koristiti. Opcija -i određuje sučelje, a opcija -k navodi Wiresharku da odmah započne snimanje.
wireshark -i # -k
Za više prečaca naredbenog retka pogledajte Wiresharkovu priručnu stranicu.
Snimanje prometa s udaljenih računala
Wireshark prema zadanim postavkama bilježi promet od lokalnih sučelja vašeg sustava, ali to nije uvijek mjesto na kojem želite snimiti. Na primjer, preporučujemo da hvatate promet s usmjerivača, poslužitelja ili nekog drugog računala na drugoj lokaciji na mreži. Tu dolazi Wiresharkova značajka daljinskog snimanja. Ova značajka je trenutno dostupna samo na sustavu Windows - službeni dokument Wireshark preporučuje korisnicima Linuxa da koriste SSH tunel.
Prvo, morate instalirati WinPcap na udaljenom sustavu. WinPcap dolazi s Wiresharkom, tako da ne morate instalirati WinPCap ako već instalirate Wireshark na udaljenom sustavu.
Nakon što je otvoren, otvorite prozor Usluge na udaljenom računalu - kliknite Start, upišite service.msc u okvir za pretraživanje u izborniku Start i pritisnite Enter. Pronađite Remote Packet Capture Protocol usluge na popisu i pokrenite ga. Ova usluga je onemogućena prema zadanim postavkama.
Kliknite gumb Mogućnost hvatanjau Wireshark, a zatim odaberite Daljinski iz okvira sučelja.
Unesite adresu udaljenog sustava i 2002 kao luka. Morate imati pristup priključku 2002 na udaljenom sustavu kako biste se povezali, pa ćete možda trebati otvoriti ovaj ulaz u vatrozidu.
Nakon spajanja, možete odabrati sučelje na udaljenom sustavu s padajućeg okvira Interface. Klik Početak nakon odabira sučelja za pokretanje daljinskog snimanja.
Wireshark u Terminalu (TShark)
Ako nemate grafičko sučelje na vašem sustavu, možete koristiti Wireshark s terminala pomoću naredbe TShark.
Prvo, izdajte tshark-D naredba. Ova naredba će vam dati brojeve vaših mrežnih sučelja.
Kad jednom imate, pokrenite tshark -i # naredbu, zamjenjujući # s brojem sučelja koje želite uhvatiti.
TShark djeluje kao Wireshark, ispisujući promet koji je uhvaćen na terminal. Koristiti Ctrl-C kada želite zaustaviti snimanje.
Ispisivanje paketa na terminal nije najkorisniji ponašanje. Ako bismo detaljnije pregledali promet, možemo ga poslati u datoteku koju možemo pregledati kasnije. Koristite ovu naredbu umjesto da deponirate promet u datoteku:
tshark -i # -w filename
TShark vam neće prikazati pakete dok ih se zarobi, ali ih će ih brojati jer ih bilježi. Možete koristiti Datoteka -> Otvorena opciju u Wiresharku za kasnije otvaranje snimke.
Dodatne informacije o TSharkovim opcijama naredbenog retka potražite u priručniku.
Izrada ACL pravila vatrozida
Ako ste mrežni administrator zadužen za vatrozid i upotrebljavate Wireshark kako biste se probudili, možda ćete htjeti poduzeti akciju na temelju prometa koji vidite - možda da biste blokirali sumnjivi promet. Wireshark je ACL pravila vatrozida alat generira naredbe za izradu pravila vatrozida na vatrozidu.
Najprije odaberite paket koji želite stvoriti pravilo vatrozida na temelju klikom na njega. Nakon toga kliknite gumb alat izbornik i odaberite ACL pravila vatrozida.
Koristiti Proizvod izbornika za odabir vrste vatrozida. Wireshark podržava Cisco IOS, različite vrste Linux vatrozida, uključujući iptables, i Windows vatrozid.
Možete koristiti filtar da biste stvorili pravilo koje se temelji na MAC adresi sustava, IP adresi, portu ili u obje IP adrese i priključka. Možda ćete vidjeti manje mogućnosti filtriranja, ovisno o proizvodu vatrozida.
Prema zadanim postavkama alat stvara pravilo koje onemogućuje ulazni promet. Ponašanje pravila možete promijeniti poništavanjem oznake dolazeći ili poreći kućice. Nakon što izradite pravilo, upotrijebite Kopirati gumb da biste je kopirali, a zatim ga pokrenite na vatrozidu da biste primijenili pravilo.
Želite li da nas u budućnosti nešto napišemo o Wiresharku? Javite nam u komentarima ako imate bilo kakvih zahtjeva ili ideja.
