Startpagina » hoe » Hoe netwerkmisbruik met Wireshark te identificeren

    Hoe netwerkmisbruik met Wireshark te identificeren

    Wireshark is het Zwitserse zakmes van netwerkanalysetools. Of u nu op zoek bent naar peer-to-peer verkeer op uw netwerk of wilt weten welke websites een specifiek IP-adres gebruikt, Wireshark kan voor u werken.

    We hebben eerder een inleiding gegeven tot Wireshark. en dit bericht bouwt voort op onze vorige berichten. Houd er rekening mee dat u moet vastleggen op een locatie op het netwerk waar u voldoende netwerkverkeer kunt zien. Als u een vastlegging op uw lokale werkstation uitvoert, ziet u waarschijnlijk niet het grootste deel van het verkeer op het netwerk. Wireshark kan opnames maken vanaf een externe locatie - bekijk onze Wireshark tricks-post voor meer informatie daarover.

    Identificatie van peer-to-peer-verkeer

    De protocolkolom van Wireshark geeft het protocoltype van elk pakket weer. Als u naar een Wireshark-opname kijkt, ziet u mogelijk BitTorrent of ander peer-to-peer-verkeer op de loer.

    U kunt zien welke protocollen op uw netwerk worden gebruikt vanaf de Protocolhiërarchie gereedschap, onder de Statistieken menu.

    Dit venster toont een uitsplitsing van het netwerkgebruik per protocol. Vanaf hier kunnen we zien dat bijna 5 procent van de pakketten op het netwerk BitTorrent-pakketten zijn. Dat klinkt niet veel, maar BitTorrent gebruikt ook UDP-pakketten. De bijna 25 procent van de pakketten geclassificeerd als UDP-datapakketten zijn ook BitTorrent-verkeer hier.

    We kunnen alleen de BitTorrent-pakketten bekijken door met de rechtermuisknop op het protocol te klikken en het toe te passen als een filter. U kunt hetzelfde doen voor andere soorten peer-to-peer verkeer dat aanwezig kan zijn, zoals Gnutella, eDonkey of Soulseek.

    Met de optie Filter toepassen wordt het filter toegepast "bittorrent."U kunt het snelmenu overslaan en het verkeer van een protocol bekijken door de naam ervan rechtstreeks in het vak Filter in te voeren.

    Uit het gefilterde verkeer kunnen we zien dat het lokale IP-adres van 192.168.1.64 BitTorrent gebruikt.

    Om alle IP-adressen te bekijken met behulp van BitTorrent, kunnen we selecteren Eindpunten in de Statistieken menu.

    Klik over naar de IPv4 tab en schakel de "Beperking om filter weer te geven"Aanvinkvakje. U ziet zowel het externe als het lokale IP-adres dat is gekoppeld aan het BitTorrent-verkeer. De lokale IP-adressen moeten bovenaan de lijst verschijnen.

    Als u de verschillende soorten protocollen wilt zien die Wireshark ondersteunt en hun filternamen, selecteert u Ingeschakelde protocollen onder de Analyseren menu.

    U kunt beginnen met het typen van een protocol om ernaar te zoeken in het venster Ingeschakelde protocollen.

    Toegang tot de website controleren

    Nu we weten hoe we het verkeer per protocol kunnen verlagen, kunnen we typen "http"In het vak Filter om alleen HTTP-verkeer te zien. Met de optie "Enable network name resolution" aangevinkt, zullen we de namen zien van de websites die op het netwerk worden benaderd.

    Nogmaals, we kunnen de Eindpunten optie in de Statistieken menu.

    Klik over naar de IPv4 tab en schakel de "Beperking om filter weer te geven"Schakel het selectievakje opnieuw in. Je moet er ook voor zorgen dat de "Naam resolutie"Aankruisvakje is ingeschakeld of u zult alleen IP-adressen zien.

    Vanaf hier kunnen we zien welke websites worden bezocht. Advertentienetwerken en websites van derden die scripts hosten die op andere websites worden gebruikt, worden ook in de lijst weergegeven.

    Als we dit willen doorbreken met een specifiek IP-adres om te zien wat een enkel IP-adres doorbladert, kunnen we dat ook doen. Gebruik het gecombineerde filter http en ip.addr == [IP-adres] om HTTP-verkeer te zien dat is gekoppeld aan een specifiek IP-adres.

    Open het dialoogvenster Eindpunten opnieuw en u ziet een lijst met websites die door dat specifieke IP-adres worden geopend.


    Dit is allemaal een kras op het oppervlak van wat je kunt doen met Wireshark. Je zou veel geavanceerdere filters kunnen bouwen, of zelfs de ACL-regels van Firewall kunnen gebruiken in onze Wireshark tricks-post om het soort verkeer dat je hier zult vinden eenvoudig te blokkeren.