Cách xác định Lạm dụng mạng với Wireshark
Wireshark là con dao của quân đội Thụy Sĩ gồm các công cụ phân tích mạng. Cho dù bạn đang tìm kiếm lưu lượng ngang hàng trên mạng của mình hay chỉ muốn xem những trang web mà một địa chỉ IP cụ thể đang truy cập, Wireshark có thể làm việc cho bạn.
Trước đây chúng tôi đã giới thiệu về Wireshark. và bài viết này được xây dựng trên các bài viết trước của chúng tôi. Hãy nhớ rằng bạn phải chụp tại một vị trí trên mạng nơi bạn có thể thấy đủ lưu lượng truy cập mạng. Nếu bạn thực hiện chụp trên máy trạm cục bộ của mình, có thể bạn sẽ không thấy phần lớn lưu lượng truy cập trên mạng. Wireshark có thể chụp ảnh từ một địa điểm từ xa - hãy xem bài viết về thủ thuật Wireshark của chúng tôi để biết thêm thông tin về điều đó.
Xác định lưu lượng ngang hàng
Cột giao thức của Wireshark hiển thị loại giao thức của mỗi gói. Nếu bạn đang xem bản chụp Wireshark, bạn có thể thấy BitTorrent hoặc lưu lượng ngang hàng khác ẩn nấp trong đó.
Bạn có thể thấy những giao thức nào đang được sử dụng trên mạng của bạn từ Giao thức phân cấp công cụ, nằm dưới Số liệu thống kê thực đơn.
Cửa sổ này hiển thị bảng phân tích sử dụng mạng theo giao thức. Từ đây, chúng ta có thể thấy rằng gần 5 phần trăm các gói trên mạng là các gói BitTorrent. Điều đó không có vẻ nhiều, nhưng BitTorrent cũng sử dụng các gói UDP. Gần 25 phần trăm các gói được phân loại là gói Dữ liệu UDP cũng là lưu lượng BitTorrent tại đây.
Chúng tôi chỉ có thể xem các gói BitTorrent bằng cách nhấp chuột phải vào giao thức và áp dụng nó làm bộ lọc. Bạn có thể làm tương tự cho các loại lưu lượng ngang hàng khác có thể có, chẳng hạn như Gnutella, eDonkey hoặc Soulseek.
Sử dụng tùy chọn Áp dụng bộ lọc áp dụng bộ lọcbittorrent.Bạn có thể bỏ qua menu chuột phải và xem lưu lượng của giao thức bằng cách nhập trực tiếp tên của nó vào hộp Bộ lọc.
Từ lưu lượng được lọc, chúng ta có thể thấy rằng địa chỉ IP cục bộ 192.168.1.64 đang sử dụng BitTorrent.
Để xem tất cả các địa chỉ IP bằng BitTorrent, chúng tôi có thể chọn Điểm cuối bên trong Số liệu thống kê thực đơn.
Nhấp qua để IPv4 tab và kích hoạt các ứng dụngGiới hạn hiển thị bộ lọcHộp kiểm Bạn sẽ thấy cả địa chỉ IP từ xa và cục bộ được liên kết với lưu lượng BitTorrent. Các địa chỉ IP cục bộ sẽ xuất hiện ở đầu danh sách.
Nếu bạn muốn xem các loại giao thức khác nhau mà Wireshark hỗ trợ và tên bộ lọc của chúng, hãy chọn Giao thức được kích hoạt ở dưới cái Phân tích thực đơn.
Bạn có thể bắt đầu nhập một giao thức để tìm kiếm nó trong cửa sổ Giao thức được kích hoạt.
Giám sát truy cập trang web
Bây giờ chúng ta đã biết cách phá vỡ lưu lượng theo giao thức, chúng ta có thể gõ vàohttpHãy vào hộp Bộ lọc để chỉ xem lưu lượng HTTP. Với tùy chọn độ phân giải tên mạng Bật cho phép, chúng tôi sẽ thấy tên của các trang web được truy cập trên mạng.
Một lần nữa, chúng ta có thể sử dụng Điểm cuối trong tùy chọn Số liệu thống kê thực đơn.
Nhấp qua để IPv4 tab và kích hoạt các ứng dụngGiới hạn hiển thị bộ lọcHộp kiểm lại một lần nữa. Bạn cũng nên đảm bảo rằngĐộ phân giải tênHộp kiểm hình chữ nhật được bật hoặc bạn sẽ chỉ thấy địa chỉ IP.
Từ đây, chúng ta có thể thấy các trang web đang được truy cập. Mạng quảng cáo và trang web của bên thứ ba lưu trữ tập lệnh được sử dụng trên các trang web khác cũng sẽ xuất hiện trong danh sách.
Nếu chúng tôi muốn chia nhỏ địa chỉ IP này để xem địa chỉ IP nào đang duyệt, chúng tôi cũng có thể làm điều đó. Sử dụng bộ lọc kết hợp http và ip.addr == [địa chỉ IP] để xem lưu lượng HTTP được liên kết với một địa chỉ IP cụ thể.
Mở hộp thoại Endpoint một lần nữa và bạn sẽ thấy danh sách các trang web được truy cập bởi địa chỉ IP cụ thể đó.
Tất cả chỉ là làm trầy xước bề mặt của những gì bạn có thể làm với Wireshark. Bạn có thể xây dựng các bộ lọc nâng cao hơn nhiều hoặc thậm chí sử dụng công cụ Quy tắc ACL Tường lửa từ bài đăng thủ thuật Wireshark của chúng tôi để dễ dàng chặn các loại lưu lượng truy cập bạn sẽ tìm thấy ở đây.