5 Killer Tricks per ottenere il massimo da Wireshark
Wireshark ha molti assi nella manica, dall'acquisizione del traffico remoto alla creazione di regole firewall basate sui pacchetti catturati. Continua a leggere per alcuni suggerimenti più avanzati se si desidera utilizzare Wireshark come un professionista.
Abbiamo già trattato l'utilizzo di base di Wireshark, quindi assicurati di leggere il nostro articolo originale per un'introduzione a questo potente strumento di analisi della rete.
Network Name Resolution
Durante l'acquisizione dei pacchetti, potresti essere infastidito dal fatto che Wireshark visualizza solo gli indirizzi IP. È possibile convertire da soli gli indirizzi IP ai nomi di dominio, ma ciò non è troppo conveniente.
Wireshark può risolvere automaticamente questi indirizzi IP in nomi di dominio, sebbene questa funzione non sia abilitata di default. Quando abiliti questa opzione, vedrai i nomi dei domini invece degli indirizzi IP quando possibile. Il rovescio della medaglia è che Wireshark dovrà cercare ogni nome di dominio, inquinando il traffico catturato con richieste DNS aggiuntive.
Puoi abilitare questa impostazione aprendo la finestra delle preferenze da modificare -> Preferenze, cliccando il Nome Risoluzione pannello e facendo clic su "Abilita la risoluzione del nome di rete"Casella di controllo.
Inizia a catturare automaticamente
Puoi creare un collegamento speciale usando gli argomenti della riga di comando di Wirshark se vuoi iniziare a catturare i pacchetti senza indugio. È necessario conoscere il numero dell'interfaccia di rete che si desidera utilizzare, in base all'ordine in cui Wireshark visualizza le interfacce.
Crea una copia del collegamento di Wireshark, fai clic con il pulsante destro del mouse, vai nella sua finestra Proprietà e modifica gli argomenti della riga di comando. Inserisci -ho # -k alla fine della scorciatoia, sostituendo # con il numero dell'interfaccia che desideri utilizzare. L'opzione -i specifica l'interfaccia, mentre l'opzione -k indica a Wireshark di avviare immediatamente l'acquisizione.
Se stai usando Linux o un altro sistema operativo non Windows, crea semplicemente un collegamento con il seguente comando, o eseguilo da un terminale per iniziare immediatamente a catturare:
wireshark -i # -k
Per ulteriori scorciatoie da riga di comando, consulta la pagina di manuale di Wireshark.
Catturare il traffico dai computer remoti
Wireshark acquisisce il traffico dalle interfacce locali del sistema per impostazione predefinita, ma questa non è sempre la posizione da cui si desidera effettuare l'acquisizione. Ad esempio, è possibile acquisire il traffico da un router, un server o un altro computer in una posizione diversa sulla rete. È qui che entra in gioco la funzionalità di acquisizione remota di Wireshark. Questa funzione è disponibile solo su Windows al momento - la documentazione ufficiale di Wireshark raccomanda agli utenti Linux di utilizzare un tunnel SSH.
Innanzitutto, dovrai installare WinPcap sul sistema remoto. WinPcap viene fornito con Wireshark, quindi non è necessario installare WinPCap se Wireshark è già installato sul sistema remoto.
Dopo averlo richiamato, apri la finestra Servizi sul computer remoto - fai clic su Start, digita services.msc nella casella di ricerca nel menu Start e premere Invio. Individua il Protocollo di acquisizione pacchetti a distanza servizio nella lista e avviarlo. Questo servizio è disabilitato per impostazione predefinita.
Clicca il Opzione di acquisiziones link in Wireshark, quindi selezionare A distanza dalla scatola dell'interfaccia.
Inserire l'indirizzo del sistema remoto e 2002 come il porto. È necessario avere accesso alla porta 2002 sul sistema remoto da connettere, quindi potrebbe essere necessario aprire questa porta in un firewall.
Dopo la connessione, è possibile selezionare un'interfaccia sul sistema remoto dalla casella a discesa Interfaccia. Clic Inizio dopo aver selezionato l'interfaccia per avviare l'acquisizione remota.
Wireshark in a Terminal (TShark)
Se non si dispone di un'interfaccia grafica sul proprio sistema, è possibile utilizzare Wireshark da un terminale con il comando TShark.
Innanzitutto, emetti il tshark -D comando. Questo comando ti darà i numeri delle tue interfacce di rete.
Una volta che hai, esegui il tshark -i # comando, sostituendo # con il numero dell'interfaccia che si desidera acquisire.
TShark funziona come Wireshark, stampando il traffico che cattura nel terminale. Uso Ctrl-C quando vuoi fermare la cattura.
Stampare i pacchetti sul terminale non è il comportamento più utile. Se vogliamo esaminare il traffico in modo più dettagliato, possiamo fare in modo che TShark lo scarichi su un file che possiamo ispezionare in seguito. Utilizzare questo comando per scaricare il traffico su un file:
tshark -i # -w nomefile
TShark non ti mostrerà i pacchetti mentre vengono catturati, ma li conterà mentre li cattura. Puoi usare il File -> Aperto opzione in Wireshark per aprire il file di acquisizione in un secondo momento.
Per ulteriori informazioni sulle opzioni della riga di comando di TShark, consultare la relativa pagina di manuale.
Creazione di regole ACL del firewall
Se sei un amministratore di rete responsabile di un firewall e utilizzi Wireshark per orientarti, potresti intraprendere un'azione in base al traffico che vedi, forse per bloccare il traffico sospetto. Wireshark di Regole ACL del firewall strumento genera i comandi necessari per creare regole firewall sul firewall.
Innanzitutto, seleziona un pacchetto per il quale vuoi creare una regola firewall facendo clic su di esso. Quindi, fai clic su Utensili menu e selezionare Regole ACL del firewall.
Utilizzare il Prodotto menu per selezionare il tipo di firewall. Wireshark supporta Cisco IOS, diversi tipi di firewall Linux, inclusi iptables e il firewall di Windows.
Puoi usare il Filtro box per creare una regola basata sull'indirizzo MAC, l'indirizzo IP, la porta, o l'indirizzo IP e la porta del sistema. Potresti vedere un minor numero di opzioni di filtro, a seconda del tuo prodotto firewall.
Per impostazione predefinita, lo strumento crea una regola che nega il traffico in entrata. È possibile modificare il comportamento della regola deselezionando il In entrata o Negare caselle di controllo. Dopo aver creato una regola, utilizzare il copia per copiarlo, quindi eseguirlo sul firewall per applicare la regola.
Vuoi che scriviamo qualcosa di specifico su Wireshark in futuro? Fateci sapere nei commenti se avete richieste o idee.