Startpagina » hoe » 5 moordenaarstricks om het meeste uit Wireshark te halen

    5 moordenaarstricks om het meeste uit Wireshark te halen

    Wireshark heeft behoorlijk wat troeven in handen, van het vastleggen van verkeer op afstand tot het maken van firewallregels op basis van vastgelegde pakketten. Lees verder voor wat geavanceerdere tips als je Wireshark als een professional wilt gebruiken.

    We hebben het basisgebruik van Wireshark al behandeld, dus lees zeker ons originele artikel voor een inleiding tot deze krachtige tool voor netwerkanalyse.

    Netwerk naam resolutie

    Tijdens het vastleggen van pakketten, zou je geïrriteerd kunnen zijn dat Wireshark alleen IP-adressen toont. Je kunt de IP-adressen zelf in domeinnamen converteren, maar dat is niet zo handig.

    Wireshark kan dit IP-adres automatisch oplossen naar domeinnamen, hoewel deze functie standaard niet is ingeschakeld. Wanneer u deze optie inschakelt, ziet u waar mogelijk domeinnamen in plaats van IP-adressen. Het nadeel is dat Wireshark elke domeinnaam moet opzoeken en het vastgelegde verkeer moet vervuilen met extra DNS-verzoeken.

    U kunt deze instelling inschakelen door het voorkeurenvenster van te openen Bewerk -> voorkeuren, klikken op de Naam resolutie paneel en klik op de "Schakel de resolutie van de netwerknaam in"Aanvinkvakje.

    Begin automatisch vast te leggen

    U kunt een speciale snelkoppeling maken met behulp van de opdrachtregelargumenten van Wirshark als u wilt dat pakketten onverwijld worden vastgelegd. U moet het nummer weten van de netwerkinterface die u wilt gebruiken, op basis van de volgorde waarin Wireshark de interfaces weergeeft.

    Maak een kopie van de snelkoppeling van Wireshark, klik er met de rechtermuisknop op, ga naar het venster Eigenschappen en wijzig de argumenten voor de opdrachtregel. Toevoegen -i # -k aan het einde van de snelkoppeling, te vervangen # met het nummer van de interface die u wilt gebruiken. De optie -i geeft de interface aan, terwijl de optie -k Wireshark vertelt onmiddellijk te starten met vastleggen.

    Als u Linux of een ander niet-Windows-besturingssysteem gebruikt, maakt u gewoon een snelkoppeling met de volgende opdracht of voert u deze uit vanaf een terminal om direct te starten met opnemen:

    wireshark -i # -k

    Raadpleeg de handleiding van Wireshark voor meer snelkoppelingen naar de opdrachtregel.

    Het vastleggen van verkeer vanaf externe computers

    Wireshark registreert standaard verkeer van de lokale interfaces van uw systeem, maar dit is niet altijd de locatie waar u wilt vastleggen. U wilt bijvoorbeeld mogelijk verkeer van een router, server of een andere computer op een andere locatie op het netwerk vastleggen. Dit is waar Wireshark's functie voor opnemen op afstand wordt gebruikt. Deze functie is momenteel alleen beschikbaar op Windows - de officiële documentatie van Wireshark beveelt aan dat Linux-gebruikers een SSH-tunnel gebruiken.

    Eerst moet u WinPcap op het externe systeem installeren. WinPcap wordt geleverd met Wireshark, dus u hoeft WinPCap niet te installeren als u Wireshark al op het externe systeem hebt geïnstalleerd.

    Nadat het is isntalled, opent u het venster Services op de externe computer - klik op Start, typ services.msc in het zoekvak in het Start-menu en druk op Enter. Zoek de Remote Packet Capture Protocol service in de lijst en start deze. Deze service is standaard uitgeschakeld.

    Klik op de Capture Options-verbinding in Wireshark en selecteer vervolgens afgelegen vanuit de interfacebox.

    Voer het adres van het externe systeem in en 2002 als de poort. U moet toegang hebben tot poort 2002 op het externe systeem om verbinding te maken, dus mogelijk moet u deze poort in een firewall openen.

    Nadat u verbinding hebt gemaakt, kunt u een interface op het externe systeem selecteren in de vervolgkeuzelijst Interface. Klik Begin na het selecteren van de interface om het opnemen op afstand te starten.

    Wireshark in een terminal (TShark)

    Als u geen grafische interface op uw systeem hebt, kunt u Wireshark gebruiken vanaf een terminal met de opdracht TShark.

    Eerst geeft u de tshark -D commando. Met deze opdracht krijgt u de nummers van uw netwerkinterfaces.

    Zodra u het hebt, voert u de tshark -i # commando, vervang # door het nummer van de interface waarop je wilt vastleggen.

    TShark gedraagt ​​zich als Wireshark en drukt het vastgelegde verkeer af naar de terminal. Gebruik Ctrl-C wanneer je de opname wilt stoppen.

    Het afdrukken van de pakketten naar de terminal is niet het meest bruikbare gedrag. Als we het verkeer in meer detail willen inspecteren, kunnen we TShark het naar een bestand dumpen dat we later kunnen inspecteren. Gebruik in plaats daarvan deze opdracht om verkeer naar een bestand te dumpen:

    tshark -i # -w bestandsnaam

    TShark zal u de pakketten niet tonen terwijl ze worden vastgelegd, maar het zal ze tellen als het ze vastlegt. U kunt de het dossier -> Open optie in Wireshark om het capture-bestand later te openen.

    Raadpleeg de handleiding voor meer informatie over de opdrachtregelopties van TShark.

    ACL-regels van firewalls maken

    Als u een netwerkbeheerder bent die verantwoordelijk is voor een firewall en u gebruikt Wireshark om rond te snuffelen, wilt u misschien actie ondernemen op basis van het verkeer dat u ziet - misschien om verdacht verkeer te blokkeren. Wireshark's ACL-regels van firewall tool genereert de opdrachten die u nodig hebt om firewallregels op uw firewall te maken.

    Selecteer eerst een pakket waarvoor u een firewallregel wilt maken op basis van door erop te klikken. Klik daarna op Hulpmiddelen menu en selecteer ACL-regels van firewall.

    Gebruik de Artikel menu om uw firewalltype te selecteren. Wireshark ondersteunt Cisco IOS, verschillende soorten Linux-firewalls, inclusief iptables, en de Windows-firewall.

    U kunt de Filter om een ​​regel te maken op basis van het MAC-adres, het IP-adres, de poort of het IP-adres en de poort van het systeem. Mogelijk ziet u minder filteropties, afhankelijk van uw firewallproduct.

    Het hulpprogramma maakt standaard een regel die inkomend verkeer weigert. U kunt het gedrag van de regel wijzigen door het vinkje weg te halen inbound of Ontkennen checkboxes. Nadat u een regel hebt gemaakt, gebruikt u de Kopiëren om het te kopiëren en voer het vervolgens uit op uw firewall om de regel toe te passen.

    Wil je dat we in de toekomst iets specifieks over Wireshark schrijven? Laat het ons weten in de comments als je vragen of ideeën hebt.

    5 Mobiele apps voor 3D ontwerpen & schetsen
    5 Optimalisatiestrategieën voor mobiele ervaring om de lifetime value van de klant te vergroten
    5 Jag-dropping TED video's die je niet mag missen
    Volgend artikel
    5 macOS-functies die Microsoft meedogenloos moet stelen
    Vorig artikel
    5 belangrijke functies die u in de toekomst kunt verwachten van smartphones