Как обнаружить злоупотребление сетью с помощью Wireshark

Недавно у меня появилась причина для беспокойства по поводу того, что в моей локальной сети (ЛВС) был отвратительный трафик, и я решил, что мне нужно проконтролировать сеть, чтобы выяснить, что происходит.

Естественно, я обратился к сетевому снифферу открытым исходным кодом, Wireshark.

Wireshark — довольно впечатляющий инструмент, который может сделать больше, чем большинство сетевых анализаторов.

Проблема в том, что те, кто не знаком с инструментом, могут столкнуться с трудностями, не зная, с чего начать.

В этой статье я хотел показать вам один способ обнаружения злоупотреблений в сети с помощью Wireshark.

В частности, я хочу показать вам, как легко на самом деле увидеть, какие протоколы используются в вашей сети, а затем выяснить, откуда эти протоколы происходят.

Имея эту информацию на руках, гораздо легче определить, происходит ли что-то действительно жесткое в вашей сети.

Что вам для этого понадобится

Чтобы обнаружить злоупотребление сетью, вам нужно установить Wireshark.

Платформа, которую вы используете, не имеет значения.

Однако важно то, что вам надо запускать Wireshark с правами администратора.

Я буду демонстрировать этот пример на Pop!_OS Linux.

Если вы используете другую платформу, вам нужно знать, как запустить Wireshark с правами администратора.

Как запустить Wireshark с правами администратора

Причина, по которой вы должны запустить Wireshark с правами администратора, заключается в том, что он должен иметь возможность запускать /usr/bin/dumpcap, что может делать только пользователь с правами администратора.

Самый простой способ запустить Wireshark с правами администратора — открыть окно терминала и выполнить команду:

sudo wireshark 

Когда Wireshark открыт, он найдет ваши интерфейсы, а затем вы сможете выбрать фильтр захвата и нажать кнопку запуска (синий плавник акулы):



Как контролировать протоколы

Как только Wireshark начнет захватывать пакеты в вашей сети, вы увидите их в главном окне

Пока Wireshark захватывает пакеты, нажмите Statistics | Protocol Hierarchy.

В появившемся окне перечислены все сетевые протоколы, записанные из вашей локальной сети:

Допустим, вы обнаружили протокол, который кажется подозрительным.

Как вы можете увидеть выше, Wireshark обнаруживает трафик BitTorrent, который обычно отсутствует в сети.

Щелкните правой кнопкой мыши эту запись и выберите Apply As Filter | Selected.

Закройте Protocol Hierarchy и вернитесь в главное окно Wireshark, где вы увидите применение фильтра BitTorrent:

После этого вы можете увидеть как адрес назначения, так и адрес источника «левого» протокола.

Отследите IP-адрес вашей сети и остановите все приложения, которые отправляют или получают эти пакеты.

О Protocol Hierarchy следует отметить одну вещь: он не получает обновления в режиме реального времени. Если вы не видите в окне ничего странного, вам, возможно, придется закрыть его, немного подождать (пока Wireshark соберет больше пакетов), а затем снова открыть.

Это самый простой способ использования Wireshark для обнаружения сетевых нарушений в вашей локальной сети.

Хотя Wireshark может сделать значительно больше, если вы ищете способ быстрого обнаружения нежелательного трафика в вашей сети, этот метод должен сработать на ура.

Обновлено: 19.07.2020 — 14:41

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *