So identifizieren Sie Netzwerkmissbrauch mit Wireshark
Wireshark ist das Schweizer Taschenmesser für Netzwerkanalyse-Tools. Egal, ob Sie nach Peer-to-Peer-Verkehr in Ihrem Netzwerk suchen oder einfach nur sehen möchten, auf welche Websites eine bestimmte IP-Adresse zugreift, Wireshark kann für Sie arbeiten.
Wir haben bereits eine Einführung in Wireshark gegeben. und dieser Beitrag baut auf unseren vorherigen Beiträgen auf. Beachten Sie, dass Sie an einem Ort im Netzwerk erfassen müssen, an dem ausreichend Netzwerkverkehr sichtbar ist. Wenn Sie eine Erfassung auf Ihrer lokalen Workstation durchführen, wird der größte Teil des Datenverkehrs im Netzwerk wahrscheinlich nicht angezeigt. Wireshark kann Aufnahmen von einem entfernten Standort aus durchführen. Weitere Informationen hierzu finden Sie in unserem Wireshark-Tricks-Post.
Peer-to-Peer-Verkehr identifizieren
Die Protokollspalte von Wireshark zeigt den Protokolltyp jedes Pakets an. Wenn Sie sich ein Wireshark-Capture anschauen, wird möglicherweise BitTorrent oder anderer Peer-to-Peer-Verkehr darin lauern.
Sie können genau sehen, welche Protokolle in Ihrem Netzwerk verwendet werden Protokollhierarchie Werkzeug unter dem Statistiken Speisekarte.
Dieses Fenster zeigt eine Aufteilung der Netzwerknutzung nach Protokoll. Von hier aus können wir sehen, dass fast 5 Prozent der Pakete im Netzwerk BitTorrent-Pakete sind. Das hört sich nicht nach viel an, aber BitTorrent verwendet auch UDP-Pakete. Die fast 25 Prozent der Pakete, die als UDP-Datenpakete klassifiziert werden, sind hier auch BitTorrent-Verkehr.
Wir können nur die BitTorrent-Pakete anzeigen, indem Sie mit der rechten Maustaste auf das Protokoll klicken und es als Filter anwenden. Sie können dasselbe für andere Arten von Peer-to-Peer-Verkehr tun, die möglicherweise vorhanden sind, wie Gnutella, eDonkey oder Soulseek.
Mit der Option Filter anwenden wird der Filter angewendet.bittorrent.Sie können das Rechtsklick-Menü überspringen und den Datenverkehr eines Protokolls anzeigen, indem Sie dessen Namen direkt in das Filterfeld eingeben.
Der gefilterte Datenverkehr zeigt, dass die lokale IP-Adresse von 192.168.1.64 BitTorrent verwendet.
Um alle IP-Adressen mit BitTorrent anzuzeigen, können wir auswählen Endpunkte in dem Statistiken Speisekarte.
Klicken Sie auf das IPv4 Tab und aktivieren Sie die “Begrenzen Sie den AnzeigefilterKontrollkästchen. Sie sehen sowohl die entfernten als auch die lokalen IP-Adressen, die mit dem BitTorrent-Verkehr verknüpft sind. Die lokalen IP-Adressen sollten oben in der Liste angezeigt werden.
Wenn Sie die verschiedenen von Wireshark unterstützten Protokolltypen und ihre Filternamen anzeigen möchten, wählen Sie Aktivierte Protokolle unter dem Analysieren Speisekarte.
Sie können mit der Eingabe eines Protokolls beginnen, um im Fenster "Aktivierte Protokolle" danach zu suchen.
Überwachung des Website-Zugriffs
Nun, da wir wissen, wie man den Verkehr nach Protokoll aufschlüsselt, können wir Folgendes eingeben:http”In das Filterfeld, um nur HTTP-Verkehr anzuzeigen. Wenn die Option "Netzwerknamenauflösung aktivieren" aktiviert ist, werden die Namen der Websites angezeigt, auf die im Netzwerk zugegriffen wird.
Wieder können wir die verwenden Endpunkte Option in der Statistiken Speisekarte.
Klicken Sie auf das IPv4 Tab und aktivieren Sie die “Beschränken Sie sich auf den AnzeigefilterKontrollkästchen erneut. Sie sollten auch sicherstellen, dass dieNamensauflösungDas Kontrollkästchen ist aktiviert oder es werden nur IP-Adressen angezeigt.
Von hier aus können wir die Websites sehen, auf die zugegriffen wird. Werbenetzwerke und Websites von Drittanbietern, die Skripts enthalten, die auf anderen Websites verwendet werden, werden ebenfalls in der Liste angezeigt.
Wenn wir dies nach einer bestimmten IP-Adresse aufschlüsseln möchten, um zu sehen, was eine einzelne IP-Adresse durchsucht, können wir dies auch tun. Verwenden Sie den kombinierten Filter http und ip.addr == [IP-Adresse] um den HTTP-Verkehr zu sehen, der einer bestimmten IP-Adresse zugeordnet ist.
Öffnen Sie das Dialogfeld "Endpunkte" erneut, und Sie sehen eine Liste der Websites, auf die mit dieser bestimmten IP-Adresse zugegriffen wird.
Dies alles kratzt nur an der Oberfläche dessen, was Sie mit Wireshark machen können. Sie können weitreichendere Filter erstellen oder sogar das Firewall-ACL-Regelungs-Tool aus unserem Wireshark-Tricks-Post verwenden, um auf einfache Weise die Art des Verkehrs zu blockieren, den Sie hier finden.