🖧 Как обнаружить злоупотребление сетью с помощью Wireshark |
Главная » Мануал

🖧 Как обнаружить злоупотребление сетью с помощью Wireshark

Мануал
На чтение 3 мин Опубликовано

Недавно у меня появилась причина для беспокойства по поводу того, что в моей локальной сети (ЛВС) был отвратительный трафик, и я решил, что мне нужно проконтролировать сеть, чтобы выяснить, что происходит.

Естественно, я обратился к сетевому снифферу открытым исходным кодом, Wireshark.

Wireshark – довольно впечатляющий инструмент, который может сделать больше, чем большинство сетевых анализаторов.

Проблема в том, что те, кто не знаком с инструментом, могут столкнуться с трудностями, не зная, с чего начать.

В этой статье я хотел показать вам один способ обнаружения злоупотреблений в сети с помощью Wireshark.

В частности, я хочу показать вам, как легко на самом деле увидеть, какие протоколы используются в вашей сети, а затем выяснить, откуда эти протоколы происходят.

Имея эту информацию на руках, гораздо легче определить, происходит ли что-то действительно жесткое в вашей сети.

Содержание
  1. Что вам для этого понадобится
  2. Как запустить Wireshark с правами администратора
  3. Как контролировать протоколы

Что вам для этого понадобится

Чтобы обнаружить злоупотребление сетью, вам нужно установить Wireshark.

Платформа, которую вы используете, не имеет значения.

Однако важно то, что вам надо запускать Wireshark с правами администратора.

Я буду демонстрировать этот пример на Pop!_OS Linux.

Если вы используете другую платформу, вам нужно знать, как запустить Wireshark с правами администратора.

Как запустить Wireshark с правами администратора

Причина, по которой вы должны запустить Wireshark с правами администратора, заключается в том, что он должен иметь возможность запускать /usr/bin/dumpcap, что может делать только пользователь с правами администратора.

Самый простой способ запустить Wireshark с правами администратора – открыть окно терминала и выполнить команду:

sudo wireshark

Когда Wireshark открыт, он найдет ваши интерфейсы, а затем вы сможете выбрать фильтр захвата и нажать кнопку запуска (синий плавник акулы):

Как контролировать протоколы

Как только Wireshark начнет захватывать пакеты в вашей сети, вы увидите их в главном окне

Пока Wireshark захватывает пакеты, нажмите Statistics | Protocol Hierarchy.
В появившемся окне перечислены все сетевые протоколы, записанные из вашей локальной сети:

Допустим, вы обнаружили протокол, который кажется подозрительным.
Как вы можете увидеть выше, Wireshark обнаруживает трафик BitTorrent, который обычно отсутствует в сети.
Щелкните правой кнопкой мыши эту запись и выберите Apply As Filter | Selected.
Закройте Protocol Hierarchy и вернитесь в главное окно Wireshark, где вы увидите применение фильтра BitTorrent:
После этого вы можете увидеть как адрес назначения, так и адрес источника “левого” протокола.
Отследите IP-адрес вашей сети и остановите все приложения, которые отправляют или получают эти пакеты.

О Protocol Hierarchy следует отметить одну вещь: он не получает обновления в режиме реального времени. Если вы не видите в окне ничего странного, вам, возможно, придется закрыть его, немного подождать (пока Wireshark соберет больше пакетов), а затем снова открыть.
Это самый простой способ использования Wireshark для обнаружения сетевых нарушений в вашей локальной сети.
Хотя Wireshark может сделать значительно больше, если вы ищете способ быстрого обнаружения нежелательного трафика в вашей сети, этот метод должен  сработать на ура.
Kali linux linux wireshark
Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий