🖧 Как обнаружить злоупотребление сетью с помощью Wireshark |

🖧 Как обнаружить злоупотребление сетью с помощью Wireshark

Мануал

Недавно у меня появилась причина для беспокойства по поводу того, что в моей локальной сети (ЛВС) был отвратительный трафик, и я решил, что мне нужно проконтролировать сеть, чтобы выяснить, что происходит.

Естественно, я обратился к сетевому снифферу открытым исходным кодом, Wireshark.

Wireshark – довольно впечатляющий инструмент, который может сделать больше, чем большинство сетевых анализаторов.

Проблема в том, что те, кто не знаком с инструментом, могут столкнуться с трудностями, не зная, с чего начать.

В этой статье я хотел показать вам один способ обнаружения злоупотреблений в сети с помощью Wireshark.

В частности, я хочу показать вам, как легко на самом деле увидеть, какие протоколы используются в вашей сети, а затем выяснить, откуда эти протоколы происходят.

Имея эту информацию на руках, гораздо легче определить, происходит ли что-то действительно жесткое в вашей сети.

Что вам для этого понадобится

Чтобы обнаружить злоупотребление сетью, вам нужно установить Wireshark.

Платформа, которую вы используете, не имеет значения.

Однако важно то, что вам надо запускать Wireshark с правами администратора.

Я буду демонстрировать этот пример на Pop!_OS Linux.

Если вы используете другую платформу, вам нужно знать, как запустить Wireshark с правами администратора.

Как запустить Wireshark с правами администратора

Причина, по которой вы должны запустить Wireshark с правами администратора, заключается в том, что он должен иметь возможность запускать /usr/bin/dumpcap, что может делать только пользователь с правами администратора.

Самый простой способ запустить Wireshark с правами администратора – открыть окно терминала и выполнить команду:

sudo wireshark

Когда Wireshark открыт, он найдет ваши интерфейсы, а затем вы сможете выбрать фильтр захвата и нажать кнопку запуска (синий плавник акулы):

Как контролировать протоколы

Как только Wireshark начнет захватывать пакеты в вашей сети, вы увидите их в главном окне

Пока Wireshark захватывает пакеты, нажмите Statistics | Protocol Hierarchy.
В появившемся окне перечислены все сетевые протоколы, записанные из вашей локальной сети:

Допустим, вы обнаружили протокол, который кажется подозрительным.
Как вы можете увидеть выше, Wireshark обнаруживает трафик BitTorrent, который обычно отсутствует в сети.
Щелкните правой кнопкой мыши эту запись и выберите Apply As Filter | Selected.
Закройте Protocol Hierarchy и вернитесь в главное окно Wireshark, где вы увидите применение фильтра BitTorrent:
После этого вы можете увидеть как адрес назначения, так и адрес источника “левого” протокола.
Отследите IP-адрес вашей сети и остановите все приложения, которые отправляют или получают эти пакеты.

О Protocol Hierarchy следует отметить одну вещь: он не получает обновления в режиме реального времени. Если вы не видите в окне ничего странного, вам, возможно, придется закрыть его, немного подождать (пока Wireshark соберет больше пакетов), а затем снова открыть.
Это самый простой способ использования Wireshark для обнаружения сетевых нарушений в вашей локальной сети.
Хотя Wireshark может сделать значительно больше, если вы ищете способ быстрого обнаружения нежелательного трафика в вашей сети, этот метод должен  сработать на ура.
Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий