Wireshark ile Ağ Kötüye Kullanımı Nasıl Belirlenir
Wireshark, İsviçre Ordusu ağ analiz araçları bıçağıdır. Ağınızda eşler arası trafik arıyorsanız veya belirli bir IP adresinin hangi web sitelerine eriştiğini görmek istiyorsanız, Wireshark sizin için çalışabilir.
Daha önce Wireshark'a bir tanıtım verdik. ve bu yayın önceki yayınlarımıza dayanıyor. Ağdaki yeterli ağ trafiğini görebileceğiniz bir yerde yakalamanız gerektiğini unutmayın. Yerel iş istasyonunuzda bir yakalama yaparsanız, ağdaki trafiğin büyük bölümünü görmemeniz olasıdır. Wireshark uzak bir yerden çekim yapabilir - bu konuda daha fazla bilgi için Wireshark püf noktalarımıza göz atın.
Eşler Arası Trafiği Belirleme
Wireshark'in protokol sütunu, her paketin protokol türünü görüntüler. Bir Wireshark yakalamaya bakıyorsanız, BitTorrent veya diğer eşler arası trafikte gizlenen trafik görebilirsiniz.
Ağınızda hangi protokollerin kullanıldığını yalnızca Protokol Hiyerarşisi altında bulunan araç istatistik Menü.
Bu pencere, ağ kullanımının protokollere göre dağılımını gösterir. Buradan ağdaki paketlerin yaklaşık yüzde 5'inin BitTorrent paketleri olduğunu görüyoruz. Kulağa pek gelmiyor ama BitTorrent de UDP paketleri kullanıyor. UDP Veri paketi olarak sınıflandırılan paketlerin yaklaşık yüzde 25'i burada da BitTorrent trafiğidir.
Protokolü sağ tıklayıp filtre olarak uygulayarak sadece BitTorrent paketlerini görebiliriz. Aynısını, Gnutella, eDonkey veya Soulseek gibi mevcut olabilecek diğer eşler arası trafik için de yapabilirsiniz..
Filtreyi Uygula seçeneğini kullanmak, filtreyi uygular “bittorrent.”Adını doğrudan Filtre kutusuna yazarak sağ tıklama menüsünü atlayabilir ve bir protokolün trafiğini görüntüleyebilirsiniz..
Filtrelenmiş trafikten, 192.168.1.64 yerel IP adresinin BitTorrent kullandığını görebiliriz..
Tüm IP adreslerini BitTorrent kullanarak görüntülemek için, Endpoints içinde istatistik Menü.
Üzerine tıklayın IPv4 sekme ve "etkinleştirmekFiltreyi gösterme sınırı”Onay kutusu. BitTorrent trafiği ile ilişkili hem uzak hem de yerel IP adreslerini göreceksiniz. Yerel IP adresleri listenin başında görünmelidir..
Wireshark'ın desteklediği farklı protokol türlerini ve bunların filtre adlarını görmek istiyorsanız, Etkin Protokoller altında çözümlemek Menü.
Etkin Protokoller penceresinde aramak için bir protokol yazmaya başlayabilirsiniz..
Web Sitesi Erişimini İzleme
Artık trafiği protokolden nasıl keseceğimizi bildiğimize göre, “http“Sadece HTTP trafiğini görmek için Filtre kutusuna. “Ağ adı çözünürlüğünü etkinleştir” seçeneği işaretliyken, ağda erişilen web sitelerinin adlarını görürüz..
Bir kez daha kullanabiliriz Endpoints seçenek istatistik Menü.
Üzerine tıklayın IPv4 sekme ve "etkinleştirmekFiltreyi gösterme sınırıTekrar onay kutusunu işaretleyin. Ayrıca şunu da sağlamalısınız:Ad çözümlemesi"Onay kutusu etkin veya yalnızca IP adreslerini göreceksiniz.
Buradan, erişilen web sitelerini görebiliriz. Diğer web sitelerinde kullanılan komut dosyalarını barındıran reklam ağları ve üçüncü taraf web siteleri de listede görünecektir..
Tek bir IP adresinin göz attığını görmek için bunu belirli bir IP adresinden ayırmak istiyorsak, bunu da yapabiliriz. Kombine filtreyi kullanın http ve ip.addr == [IP adresi] Belirli bir IP adresiyle ilişkili HTTP trafiğini görmek için.
Son Noktalar iletişim kutusunu tekrar açın, söz konusu IP adresiyle erişilen web sitelerinin listesini göreceksiniz..
Bunların hepsi Wireshark ile yapabileceklerinizin yüzeyini çiziyor. Burada bulacağınız trafik türlerini kolayca engellemek için çok daha gelişmiş filtreler oluşturabilir veya Wireshark püf noktalarımızdan Güvenlik Duvarı ACL Kuralları aracını kullanabilirsiniz..