5 thủ thuật giết người để tận dụng tối đa Wireshark
Wireshark có khá nhiều thủ thuật, từ việc nắm bắt lưu lượng truy cập từ xa đến việc tạo các quy tắc tường lửa dựa trên các gói bị bắt. Đọc về một số mẹo nâng cao hơn nếu bạn muốn sử dụng Wireshark như một chuyên gia.
Chúng tôi đã giới thiệu cách sử dụng cơ bản của Wireshark, vì vậy hãy chắc chắn đọc bài viết gốc của chúng tôi để giới thiệu về công cụ phân tích mạng mạnh mẽ này.
Độ phân giải tên mạng
Trong khi chụp các gói, bạn có thể thấy khó chịu khi Wireshark chỉ hiển thị địa chỉ IP. Bạn có thể tự chuyển đổi địa chỉ IP thành tên miền, nhưng điều đó không quá thuận tiện.
Wireshark có thể tự động phân giải các địa chỉ IP này thành tên miền, mặc dù tính năng này không được bật theo mặc định. Khi bạn bật tùy chọn này, bạn sẽ thấy tên miền thay vì địa chỉ IP bất cứ khi nào có thể. Nhược điểm là Wireshark sẽ phải tra cứu từng tên miền, gây ô nhiễm lưu lượng truy cập bị bắt với các yêu cầu DNS bổ sung.
Bạn có thể bật cài đặt này bằng cách mở cửa sổ tùy chọn từ Chỉnh sửa -> Sở thích, nhấp vào Độ phân giải tên bảng điều khiển và nhấp vàoKích hoạt độ phân giải tên mạngHộp kiểm.
Bắt đầu chụp tự động
Bạn có thể tạo một lối tắt đặc biệt bằng cách sử dụng các đối số dòng lệnh của Wirshark nếu bạn muốn bắt đầu chụp các gói mà không bị trễ. Bạn sẽ cần biết số lượng giao diện mạng bạn muốn sử dụng, dựa trên thứ tự Wireshark hiển thị các giao diện.
Tạo một bản sao của phím tắt của Wireshark, nhấp chuột phải vào nó, đi vào cửa sổ Thuộc tính của nó và thay đổi các đối số dòng lệnh. Thêm vào -tôi # -k đến cuối phím tắt, thay thế # với số lượng giao diện bạn muốn sử dụng. Tùy chọn -i chỉ định giao diện, trong khi tùy chọn -k báo cho Wireshark bắt đầu chụp ngay lập tức.
Nếu bạn đang sử dụng Linux hoặc hệ điều hành không phải Windows khác, chỉ cần tạo một lối tắt bằng lệnh sau hoặc chạy nó từ thiết bị đầu cuối để bắt đầu chụp ngay lập tức:
wireshark -i # -k
Để biết thêm các phím tắt dòng lệnh, hãy xem trang hướng dẫn của Wireshark.
Lưu lượng truy cập từ máy tính từ xa
Wireshark nắm bắt lưu lượng truy cập từ các giao diện cục bộ của hệ thống của bạn theo mặc định, nhưng đây không phải luôn là vị trí bạn muốn chụp. Ví dụ: bạn có thể muốn nắm bắt lưu lượng truy cập từ bộ định tuyến, máy chủ hoặc máy tính khác ở một vị trí khác trên mạng. Đây là lúc tính năng chụp từ xa của Wireshark xuất hiện. Tính năng này hiện chỉ khả dụng trên Windows - Tài liệu chính thức của Wireshark khuyên người dùng Linux nên sử dụng đường hầm SSH.
Đầu tiên, bạn sẽ phải cài đặt WinPcap trên hệ thống từ xa. WinPcap đi kèm với Wireshark, vì vậy bạn không phải cài đặt WinPCap nếu bạn đã cài đặt Wireshark trên hệ thống từ xa.
Sau khi nó không hoạt động, hãy mở cửa sổ Dịch vụ trên máy tính từ xa - nhấp Bắt đầu, nhập dịch vụ.msc vào hộp tìm kiếm trong menu Bắt đầu và nhấn Enter. Xác định vị trí Giao thức chụp gói từ xa dịch vụ trong danh sách và bắt đầu nó. Dịch vụ này bị tắt theo mặc định.
Nhấn vào Tùy chọn chụps liên kết trong Wireshark, sau đó chọn Xa từ hộp Giao diện.
Nhập địa chỉ của hệ thống từ xa và 2002 làm cảng. Bạn phải có quyền truy cập vào cổng 2002 trên hệ thống từ xa để kết nối, vì vậy bạn có thể cần mở cổng này trong tường lửa.
Sau khi kết nối, bạn có thể chọn một giao diện trên hệ thống từ xa từ hộp thả xuống Giao diện. Nhấp chuột Khởi đầu Sau khi chọn giao diện để bắt đầu chụp từ xa.
Wireshark trong Terminal (TShark)
Nếu bạn không có giao diện đồ họa trên hệ thống của mình, bạn có thể sử dụng Wireshark từ thiết bị đầu cuối bằng lệnh TShark.
Đầu tiên, phát hành tshark -D chỉ huy. Lệnh này sẽ cung cấp cho bạn số lượng giao diện mạng của bạn.
Một khi bạn có, chạy tshark -i # lệnh, thay thế # bằng số giao diện bạn muốn chụp.
TShark hoạt động giống như Wireshark, in lưu lượng truy cập mà nó thu được đến thiết bị đầu cuối. Sử dụng Ctrl-C khi bạn muốn dừng chụp.
In các gói đến thiết bị đầu cuối không phải là hành vi hữu ích nhất. Nếu chúng tôi muốn kiểm tra lưu lượng chi tiết hơn, chúng tôi có thể yêu cầu TShark kết xuất nó vào một tệp mà chúng tôi có thể kiểm tra sau này. Sử dụng lệnh này thay vì đổ lưu lượng truy cập vào một tệp:
tên tệp tshark -i # -w
TShark sẽ không hiển thị cho bạn các gói khi chúng bị bắt, nhưng nó sẽ tính chúng khi chúng bắt chúng. Bạn có thể dùng Tập tin -> Mở tùy chọn trong Wireshark để mở tệp chụp sau.
Để biết thêm thông tin về các tùy chọn dòng lệnh của TShark, hãy xem trang thủ công của nó.
Tạo quy tắc tường lửa ACL
Nếu bạn là quản trị viên mạng chịu trách nhiệm về tường lửa và bạn đang sử dụng Wireshark để chọc ngoáy, bạn có thể muốn thực hiện hành động dựa trên lưu lượng truy cập bạn thấy - có lẽ để chặn một số lưu lượng đáng ngờ. Của Wireshark Tường lửa quy tắc ACL công cụ tạo các lệnh bạn sẽ cần để tạo quy tắc tường lửa trên tường lửa của mình.
Đầu tiên, chọn một gói bạn muốn tạo quy tắc tường lửa dựa trên bằng cách nhấp vào nó. Sau đó, nhấp vào Công cụ chọn và chọn Tường lửa quy tắc ACL.
Sử dụng Sản phẩm menu để chọn loại tường lửa của bạn. Wireshark hỗ trợ Cisco IOS, các loại tường lửa Linux khác nhau, bao gồm cả iptables và tường lửa Windows.
Bạn có thể dùng Bộ lọc hộp để tạo quy tắc dựa trên địa chỉ MAC, địa chỉ IP, cổng hoặc cả địa chỉ IP và cổng. Bạn có thể thấy ít tùy chọn bộ lọc hơn, tùy thuộc vào sản phẩm tường lửa của bạn.
Theo mặc định, công cụ tạo quy tắc từ chối lưu lượng truy cập vào. Bạn có thể sửa đổi hành vi của quy tắc bằng cách bỏ chọn Trong nước hoặc là Từ chối hộp kiểm. Sau khi bạn đã tạo quy tắc, hãy sử dụng Sao chép nút để sao chép nó, sau đó chạy nó trên tường lửa của bạn để áp dụng quy tắc.
Bạn có muốn chúng tôi viết bất cứ điều gì cụ thể về Wireshark trong tương lai không? Hãy cho chúng tôi biết trong các ý kiến nếu bạn có bất kỳ yêu cầu hoặc ý tưởng nào.
