Wireshark'tan En İyi Şekilde Yararlanmaya Yönelik 5 Katil Püf Noktası

Wireshark, uzak trafiği yakalamaktan, yakalanan paketlere dayanan güvenlik duvarı kuralları oluşturmaya kadar, kılıfında oldukça fazla numaraya sahiptir. Wireshark'ı bir profesyonel gibi kullanmak istiyorsanız daha gelişmiş ipuçlarını okuyun..

Wireshark'ın temel kullanımını zaten ele aldık, bu yüzden bu güçlü ağ analizi aracına giriş için orijinal makalemizi okuduğunuzdan emin olun..

Ağ Adı Çözünürlüğü

Paketleri yakalarken, Wireshark’ın yalnızca IP adreslerini görüntülediğinden rahatsız olabilirsiniz. IP adreslerini kendiniz etki alanı adlarına dönüştürebilirsiniz, ancak bu çok uygun değil.

Wireshark bu IP adresini otomatik olarak alan adlarına göre çözebilir, ancak bu özellik varsayılan olarak etkin değildir. Bu seçeneği etkinleştirdiğinizde, mümkün olduğunda IP adresleri yerine etki alanı adlarını görürsünüz. Dezavantajı, Wireshark’ın her etki alanı adını aramak zorunda kalması ve yakalanan trafiği ek DNS istekleriyle kirletmesi.

Tercihler penceresini açarak bu ayarı etkinleştirebilirsiniz. Düzenle -> Tercihler, tıklayarak Ad çözümlemesi panel ve “tıklayarakAğ Adı Çözünürlüğünü Etkinleştir”Onay kutusu.

Otomatik Olarak Yakalamaya Başlayın

Paketleri gecikmeden almaya başlamak istiyorsanız, Wirshark'in komut satırı argümanlarını kullanarak özel bir kısayol oluşturabilirsiniz. Wireshark'in arayüzleri gösterme sırasına göre, kullanmak istediğiniz ağ arayüzünün sayısını bilmeniz gerekir..

Wireshark'ın kısayolunun bir kopyasını oluşturun, sağ tıklayın, Özellikler penceresine gidin ve komut satırı argümanlarını değiştirin. Eklemek -ben # -k kısayolun sonuna # kullanmak istediğiniz arayüzün numarası ile. -İ seçeneği arayüzü belirtirken -k seçeneği Wireshark'a hemen çekime başlamasını söyler..

Linux veya Windows olmayan bir işletim sistemi kullanıyorsanız, hemen aşağıdaki komutu kullanarak bir kısayol oluşturun veya hemen çekime başlamak için bir terminalden çalıştırın:

wireshark -i # -k

Daha fazla komut satırı kısayolu için Wireshark kılavuz sayfasına bakın..

Uzak Bilgisayarlardan Trafiği Yakalama

Wireshark varsayılan olarak sisteminizin yerel arayüzlerinden gelen trafiği varsayılan olarak yakalar, ancak bu her zaman yakalamak istediğiniz konum değildir. Örneğin, bir yönlendiriciden, sunucudan veya başka bir bilgisayardan ağdaki farklı bir konumdan trafik yakalamak isteyebilirsiniz. Wireshark'ın uzaktan yakalama özelliğinin devreye girdiği yer burasıdır. Bu özellik yalnızca şu anda Windows'ta kullanılabilir - Wireshark'ın resmi belgeleri Linux kullanıcılarının SSH tüneli kullanmasını önerir.

İlk önce uzak sisteme WinPcap'i kurmanız gerekecek. WinPcap Wireshark ile birlikte gelir, bu nedenle eğer uzak sistemde Wireshark kurulu ise WinPCap kurmanıza gerek kalmaz.

Bağlandıktan sonra, uzaktaki bilgisayardaki Hizmetler penceresini açın - Başlat'a tıklayın, services.msc Başlat menüsündeki arama kutusuna girin ve Enter tuşuna basın. Bulun Uzaktan Paket Yakalama Protokolü Listedeki servisi seçin ve başlatın. Bu servis varsayılan olarak devre dışıdır..

Tıkla Yakalama SeçeneğiWireshark'taki bağlantıyı seçin, sonra uzak Arayüz kutusundan.

Uzak sistemin adresini girin ve 2002 liman olarak. Bağlanmak için uzaktaki sistemdeki 2002 bağlantı noktasına erişiminiz olması gerekir, bu nedenle bu bağlantı noktasını güvenlik duvarında açmanız gerekebilir..

Bağlandıktan sonra, Arayüz açılır kutusundan uzak sistemde bir arayüz seçebilirsiniz. Click başla uzaktan çekimi başlatmak için arayüzü seçtikten sonra.

Terminaldeki Tel Harfi (TShark)

Sisteminizde grafik bir arayüzünüz yoksa, Wireshark'ı TShark komutuyla bir terminalden kullanabilirsiniz..

İlk önce Tshark -D Komut. Bu komut size ağ arayüzlerinizin numaralarını verecektir.

Bir kere sahipseniz, koşun Tshark -i # komut, # ile, yakalamak istediğiniz arayüzün numarasını değiştirin.

TShark, Wireshark gibi davranır ve yakaladığı trafiği terminale yazdırır. kullanım Ctrl-C yakalamayı durdurmak istediğinizde.

Paketleri terminale yazdırmak en kullanışlı davranış değildir. Trafiği daha ayrıntılı incelemek istiyorsak, TShark'in daha sonra inceleyebileceğimiz bir dosyaya dökmesini sağlayabiliriz. Trafiği bir dosyaya aktarmak için bu komutu kullanın:

tshark -i # -w dosyaadı

TShark size paketleri yakalandıkları gibi göstermeyecek, ancak onları yakaladıkları zaman sayacak. Kullanabilirsiniz Dosya -> Açık yakalama dosyasını daha sonra açmak için Wireshark’taki seçenek.

TShark'ın komut satırı seçenekleri hakkında daha fazla bilgi için kılavuz sayfasına göz atın..

Güvenlik Duvarı ACL Kuralları Oluşturma

Bir güvenlik duvarından sorumlu bir ağ yöneticisiyseniz ve etrafta dolaşmak için Wireshark kullanıyorsanız, gördüğünüz trafiğe göre hareket etmek isteyebilirsiniz - belki de bazı şüpheli trafiği engellemek için. Wireshark en Güvenlik Duvarı ACL Kuralları aracı, güvenlik duvarınızda güvenlik duvarı kuralları oluşturmak için ihtiyacınız olan komutları oluşturur..

İlk önce, üzerine tıklayarak bir güvenlik duvarı kuralı oluşturmak istediğiniz bir paket seçin. Bundan sonra, tıklayın Araçlar Menü ve Güvenlik Duvarı ACL Kuralları.

Kullan Ürün Güvenlik duvarı türünüzü seçmek için Wireshark, Cisco IOS'u, iptables dahil olmak üzere farklı Linux güvenlik duvarları ve Windows güvenlik duvarını destekler.

Kullanabilirsiniz filtre Her iki sistemin de MAC adresini, IP adresini, portunu veya hem IP adresini hem de portunu temel alan bir kural oluşturmak için kutu. Güvenlik duvarı ürününüze bağlı olarak daha az filtre seçeneği görebilirsiniz..

Varsayılan olarak, araç gelen trafiği reddeden bir kural oluşturur. Kuralın davranışını, işaretini kaldırarak değiştirebilirsiniz. Gelen veya Reddetmek onay kutuları. Bir kural oluşturduktan sonra kopya kopyalamak için düğmesine basın, sonra kuralı uygulamak için güvenlik duvarında çalıştırın.

Gelecekte Wireshark hakkında özel bir şeyler yazmamızı ister misiniz? Herhangi bir istek veya fikriniz varsa yorumlarda bize bildirin..