Недавно у меня появилась причина для беспокойства по поводу того, что в моей локальной сети (ЛВС) был отвратительный трафик, и я решил, что мне нужно проконтролировать сеть, чтобы выяснить, что происходит.
Естественно, я обратился к сетевому снифферу открытым исходным кодом, Wireshark.
Wireshark — довольно впечатляющий инструмент, который может сделать больше, чем большинство сетевых анализаторов.
Проблема в том, что те, кто не знаком с инструментом, могут столкнуться с трудностями, не зная, с чего начать.
В этой статье я хотел показать вам один способ обнаружения злоупотреблений в сети с помощью Wireshark.
В частности, я хочу показать вам, как легко на самом деле увидеть, какие протоколы используются в вашей сети, а затем выяснить, откуда эти протоколы происходят.
Имея эту информацию на руках, гораздо легче определить, происходит ли что-то действительно жесткое в вашей сети.
Что вам для этого понадобится
Чтобы обнаружить злоупотребление сетью, вам нужно установить Wireshark.
Платформа, которую вы используете, не имеет значения.
Однако важно то, что вам надо запускать Wireshark с правами администратора.
Я буду демонстрировать этот пример на Pop!_OS Linux.
Если вы используете другую платформу, вам нужно знать, как запустить Wireshark с правами администратора.
Как запустить Wireshark с правами администратора
Причина, по которой вы должны запустить Wireshark с правами администратора, заключается в том, что он должен иметь возможность запускать /usr/bin/dumpcap, что может делать только пользователь с правами администратора.
Самый простой способ запустить Wireshark с правами администратора — открыть окно терминала и выполнить команду:
sudo wireshark
Когда Wireshark открыт, он найдет ваши интерфейсы, а затем вы сможете выбрать фильтр захвата и нажать кнопку запуска (синий плавник акулы):
Как контролировать протоколы
Как только Wireshark начнет захватывать пакеты в вашей сети, вы увидите их в главном окне
Пока Wireshark захватывает пакеты, нажмите Statistics | Protocol Hierarchy.
В появившемся окне перечислены все сетевые протоколы, записанные из вашей локальной сети:
Допустим, вы обнаружили протокол, который кажется подозрительным.
Как вы можете увидеть выше, Wireshark обнаруживает трафик BitTorrent, который обычно отсутствует в сети.
Щелкните правой кнопкой мыши эту запись и выберите Apply As Filter | Selected.
Закройте Protocol Hierarchy и вернитесь в главное окно Wireshark, где вы увидите применение фильтра BitTorrent:
После этого вы можете увидеть как адрес назначения, так и адрес источника «левого» протокола.
Отследите IP-адрес вашей сети и остановите все приложения, которые отправляют или получают эти пакеты.
О Protocol Hierarchy следует отметить одну вещь: он не получает обновления в режиме реального времени. Если вы не видите в окне ничего странного, вам, возможно, придется закрыть его, немного подождать (пока Wireshark соберет больше пакетов), а затем снова открыть.
Это самый простой способ использования Wireshark для обнаружения сетевых нарушений в вашей локальной сети.
Хотя Wireshark может сделать значительно больше, если вы ищете способ быстрого обнаружения нежелательного трафика в вашей сети, этот метод должен сработать на ура.
