Како препознати злоупотребу мреже са Виресхарком

Виресхарк је швајцарски војни нож алатки за анализу мреже. Било да тражите пеер-то-пеер саобраћај на вашој мрежи или само желите да видите које веб локације одређена ИП адреса приступа, Виресхарк може да ради за вас.

Већ смо дали увод у Виресхарк. и овај пост гради на нашим претходним постовима. Имајте на уму да морате ухватити локацију на мрежи на којој можете видјети довољно мрежног промета. Ако направите снимање на локалној радној станици, вероватно нећете видети већину саобраћаја на мрежи. Виресхарк може направити снимке са удаљене локације - погледајте нашу Виресхарк трикове за више информација о томе.

Идентификовање пеер-то-пеер промета

Виресхаркова колона протокола приказује тип протокола сваког пакета. Ако гледате Виресхарк снимање, можда ћете видети БитТоррент или други пеер-то-пеер саобраћај који вреба у њему.

Можете видети само који се протоколи користе на вашој мрежи Хијерархија протокола алата, који се налази испод Статистика мени.

Овај прозор приказује прекид кориштења мреже по протоколу. Одавде можемо видети да је скоро 5 процената пакета на мрежи БитТоррент пакета. То не звучи много, али БитТоррент такође користи УДП пакете. Готово 25 процената пакета класификованих као УДП пакети података су такође БитТоррент саобраћај овде.

Можемо да прегледамо само БитТоррент пакете тако што ћемо десним тастером миша кликнути на протокол и применити га као филтер. Исто можете урадити и за друге типове пеер-то-пеер саобраћаја који могу бити присутни, као што су Гнутелла, еДонкеи или Соулсеек.

Коришћењем опције Примени филтер примењује се филтер “битторрент.Можете да прескочите мени са десним тастером миша и погледате саобраћај протокола тако што ћете откуцати његово име директно у поље Филтер.

Из филтрираног саобраћаја видимо да локална ИП адреса 192.168.1.64 користи БитТоррент.

Да бисте прегледали све ИП адресе користећи БитТоррент, можемо да изаберемо Крајње тачке у Статистика мени.

Кликните на ИПв4 и омогућите „Ограничите приказ филтера" поље за потврду. Видјет ћете и удаљене и локалне ИП адресе повезане с БитТоррент прометом. Локалне ИП адресе би се требале појавити на врху листе.

Ако желите да видите различите типове протокола који подржавају Виресхарк и њихова имена филтера, изаберите Омогућени протоколи под Анализе мени.

Можете почети са уносом протокола да бисте га потражили у прозору Омогућени протоколи.

Праћење приступа веб сајту

Сада када знамо како да прекинемо саобраћај према протоколу, можемо да откуцамо „хттпУ поље Филтер да бисте видели само ХТТП саобраћај. Када је потврђена опција „Омогући решавање имена мреже“, видећемо имена веб локација којима се приступа на мрежи.

Још једном, можемо користити Крајње тачке у опцији Статистика мени.

Кликните на ИПв4 и омогућите „Ограничите приказ филтера”Поново потврдни оквир. Такође треба да обезбедите даРезолуција имена“Потврдни оквир је омогућен или ћете видјети само ИП адресе.

Одавде можемо видјети веб странице којима се приступа. На листи ће се појавити и рекламне мреже и вебсајтови трећих страна који хостују скрипте које се користе на другим веб локацијама.

Ако желимо да то разрешимо специфичном ИП адресом да видимо шта претражује једна ИП адреса, можемо то и да урадимо. Користите комбиновани филтер хттп и ип.аддр == [ИП адреса] да бисте видели ХТТП саобраћај повезан са одређеном ИП адресом.

Поново отворите дијалог Ендпоинтс и видећете листу сајтова којима се приступа том специфичном ИП адресом.

Ово је само гребање по површини онога што можете да урадите са Виресхарком. Можете да направите много напредније филтере, или чак да користите алатку Фиревалл АЦЛ Рулес из наше Виресхарк трикове за лако блокирање типова саобраћаја који ћете наћи овде.