Já apresentamos uma introdução ao Wireshark. e este post baseia-se em nossos posts anteriores. Lembre-se de que você deve estar capturando em um local na rede em que possa ver tráfego de rede suficiente. Se você fizer uma captura em sua estação de trabalho local, provavelmente não verá a maioria do tráfego na rede. O Wireshark pode fazer capturas de um local remoto - confira nosso post de truques do Wireshark para mais informações sobre isso.
Identificando o tráfego ponto a ponto
A coluna de protocolo do Wireshark exibe o tipo de protocolo de cada pacote. Se você estiver olhando para uma captura do Wireshark, poderá ver o BitTorrent ou outro tráfego ponto a ponto espreitando nela.
Você pode ver exatamente quais protocolos estão sendo usados em sua rede a partir do Hierarquia de Protocolos ferramenta, localizada sob a Estatisticascardápio.
Usando a opção Aplicar filtro aplica o filtro “bittorrent.Você pode pular o menu do botão direito e ver o tráfego de um protocolo digitando seu nome diretamente na caixa Filtro.
Do tráfego filtrado, podemos ver que o endereço IP local de 192.168.1.64 está usando o BitTorrent.
Para ver todos os endereços IP usando BitTorrent, podemos selecionar Pontos de extremidade no Estatisticas cardápio.
Clique para o IPv4 guia e ative o “Limite para exibir o filtro”Caixa de seleção. Você verá os endereços IP remotos e locais associados ao tráfego de BitTorrent. Os endereços IP locais devem aparecer no topo da lista.
Se você quiser ver os diferentes tipos de protocolos suportados pelo Wireshark e seus nomes de filtros, selecione Protocolos Ativados debaixo de Analisar cardápio.
Monitorando o acesso ao site
Agora que sabemos como quebrar o tráfego por protocolo, podemos digitar "http”Na caixa Filtro para ver apenas o tráfego HTTP. Com a opção "Ativar resolução de nome de rede" marcada, veremos os nomes dos sites que estão sendo acessados na rede.
Mais uma vez, podemos usar o Pontos de extremidade opção no Estatisticas cardápio.
Clique para o IPv4 guia e ative o “Limite para exibir o filtro”Caixa de seleção novamente. Você também deve garantir que o “Resolução de nomesA caixa de seleção está ativada ou você verá apenas endereços IP.
A partir daqui, podemos ver os sites sendo acessados. Redes de publicidade e sites de terceiros que hospedam scripts usados em outros sites também aparecerão na lista.
Se quisermos dividir isso por um endereço IP específico para ver o que um único endereço IP está navegando, também podemos fazer isso. Use o filtro combinado http e ip.addr == [endereço IP] para ver o tráfego HTTP associado a um endereço IP específico.
Isso tudo é apenas arranhar a superfície do que você pode fazer com o Wireshark. Você pode criar filtros muito mais avançados ou até mesmo usar a ferramenta Regras de ACL do firewall em nossa postagem de truques do Wireshark para bloquear facilmente os tipos de tráfego que você encontrará aqui.