So identifizieren Sie Netzwerkmissbrauch mit Wireshark

Inhaltsverzeichnis:

Video: So identifizieren Sie Netzwerkmissbrauch mit Wireshark

Video: So identifizieren Sie Netzwerkmissbrauch mit Wireshark
Video: So können Handy und Laptop heimlich zuschauen: Unsere App zeigt wie es geht. 2024, März
So identifizieren Sie Netzwerkmissbrauch mit Wireshark
So identifizieren Sie Netzwerkmissbrauch mit Wireshark
Anonim
Wireshark ist das Schweizer Taschenmesser für Netzwerkanalyse-Tools. Egal, ob Sie nach Peer-to-Peer-Verkehr in Ihrem Netzwerk suchen oder einfach nur sehen möchten, auf welche Websites eine bestimmte IP-Adresse zugreift, Wireshark kann für Sie arbeiten.
Wireshark ist das Schweizer Taschenmesser für Netzwerkanalyse-Tools. Egal, ob Sie nach Peer-to-Peer-Verkehr in Ihrem Netzwerk suchen oder einfach nur sehen möchten, auf welche Websites eine bestimmte IP-Adresse zugreift, Wireshark kann für Sie arbeiten.

Wir haben zuvor eine Einführung zu Wireshark gegeben. und dieser Beitrag baut auf unseren vorherigen Beiträgen auf. Beachten Sie, dass Sie an einem Ort im Netzwerk erfassen müssen, an dem ausreichend Netzwerkverkehr sichtbar ist. Wenn Sie eine Aufnahme auf Ihrer lokalen Workstation durchführen, wird der größte Teil des Datenverkehrs im Netzwerk wahrscheinlich nicht angezeigt. Wireshark kann Aufnahmen von einem entfernten Standort aus durchführen. Weitere Informationen hierzu finden Sie in unserem Wireshark-Tricks-Post.

Identifizieren des Peer-to-Peer-Verkehrs

Die Protokollspalte von Wireshark zeigt den Protokolltyp jedes Pakets an. Wenn Sie sich eine Wireshark-Aufnahme ansehen, wird möglicherweise BitTorrent oder anderer Peer-to-Peer-Verkehr darin lauern.

Image
Image

Sie können genau sehen, welche Protokolle in Ihrem Netzwerk verwendet werden Protokollhierarchie Werkzeug unter dem StatistikenSpeisekarte.

Dieses Fenster zeigt eine Aufteilung der Netzwerknutzung nach Protokoll. Von hier aus können wir sehen, dass fast 5 Prozent der Pakete im Netzwerk BitTorrent-Pakete sind. Das hört sich nicht nach viel an, aber BitTorrent verwendet auch UDP-Pakete. Die fast 25 Prozent der Pakete, die als UDP-Datenpakete klassifiziert werden, sind hier auch BitTorrent-Verkehr.
Dieses Fenster zeigt eine Aufteilung der Netzwerknutzung nach Protokoll. Von hier aus können wir sehen, dass fast 5 Prozent der Pakete im Netzwerk BitTorrent-Pakete sind. Das hört sich nicht nach viel an, aber BitTorrent verwendet auch UDP-Pakete. Die fast 25 Prozent der Pakete, die als UDP-Datenpakete klassifiziert werden, sind hier auch BitTorrent-Verkehr.
Wir können nur die BitTorrent-Pakete anzeigen, indem Sie mit der rechten Maustaste auf das Protokoll klicken und es als Filter anwenden. Sie können dasselbe für andere Arten von Peer-to-Peer-Verkehr wie Gnutella, eDonkey oder Soulseek tun.
Wir können nur die BitTorrent-Pakete anzeigen, indem Sie mit der rechten Maustaste auf das Protokoll klicken und es als Filter anwenden. Sie können dasselbe für andere Arten von Peer-to-Peer-Verkehr wie Gnutella, eDonkey oder Soulseek tun.
Image
Image

Mit der Option Filter anwenden wird der Filter angewendet.bittorrentSie können das Rechtsklick-Menü überspringen und den Datenverkehr eines Protokolls anzeigen, indem Sie seinen Namen direkt in das Filterfeld eingeben.

Der gefilterte Datenverkehr zeigt, dass die lokale IP-Adresse von 192.168.1.64 BitTorrent verwendet.

Image
Image

Um alle IP-Adressen mit BitTorrent anzuzeigen, können wir auswählen Endpunkte in dem Statistiken Speisekarte.

Image
Image

Klicken Sie auf das IPv4 Tab und aktivieren Sie die “Auf Anzeigefilter beschränkenKontrollkästchen. Sie sehen sowohl die entfernten als auch die lokalen IP-Adressen, die mit dem BitTorrent-Verkehr verknüpft sind. Die lokalen IP-Adressen sollten oben in der Liste angezeigt werden.

Image
Image

Wenn Sie die verschiedenen von Wireshark unterstützten Protokolltypen und ihre Filternamen anzeigen möchten, wählen Sie Aktivierte Protokolle unter dem Analysieren Speisekarte.

Sie können mit der Eingabe eines Protokolls beginnen, um im Fenster "Aktivierte Protokolle" danach zu suchen.
Sie können mit der Eingabe eines Protokolls beginnen, um im Fenster "Aktivierte Protokolle" danach zu suchen.
Image
Image

Überwachung des Website-Zugriffs

Nun, da wir wissen, wie man den Verkehr nach Protokoll aufschlüsselt, können wir Folgendes eingebenhttp”In das Filterfeld, um nur HTTP-Verkehr anzuzeigen. Wenn die Option "Netzwerknamenauflösung aktivieren" aktiviert ist, werden die Namen der Websites angezeigt, auf die im Netzwerk zugegriffen wird.

Image
Image

Wieder können wir die verwenden Endpunkte Option in der Statistiken Speisekarte.

Image
Image

Klicken Sie auf das IPv4 Tab und aktivieren Sie die “Auf Anzeigefilter beschränkenKontrollkästchen erneut. Sie sollten auch sicherstellen, dass dieNamensauflösung“Aktiviert, oder es werden nur IP-Adressen angezeigt.

Von hier aus können wir die Websites sehen, auf die zugegriffen wird. Werbenetzwerke und Websites von Drittanbietern, die Skripts enthalten, die auf anderen Websites verwendet werden, werden ebenfalls in der Liste angezeigt.

Image
Image

Wenn wir dies nach einer bestimmten IP-Adresse aufschlüsseln möchten, um zu sehen, was eine einzelne IP-Adresse durchsucht, können wir dies auch tun. Verwenden Sie den kombinierten Filter http und ip.addr == [IP-Adresse] um den HTTP-Verkehr anzuzeigen, der einer bestimmten IP-Adresse zugeordnet ist.

Öffnen Sie das Dialogfeld "Endpunkte" erneut, und Sie sehen eine Liste der Websites, auf die über diese bestimmte IP-Adresse zugegriffen wird.
Öffnen Sie das Dialogfeld "Endpunkte" erneut, und Sie sehen eine Liste der Websites, auf die über diese bestimmte IP-Adresse zugegriffen wird.
Image
Image

Dies alles kratzt nur an der Oberfläche dessen, was Sie mit Wireshark machen können. Sie können weitreichendere Filter erstellen oder sogar das Firewall-ACL-Regelungs-Tool aus unserem Wireshark-Tricks-Post verwenden, um auf einfache Weise die Art des Verkehrs zu blockieren, den Sie hier finden.

Empfohlen: