Comment identifier les abus de réseau avec Wireshark

Table des matières:

Comment identifier les abus de réseau avec Wireshark
Comment identifier les abus de réseau avec Wireshark

Vidéo: Comment identifier les abus de réseau avec Wireshark

Vidéo: Comment identifier les abus de réseau avec Wireshark
Vidéo: 20 + Astuces pour Recharger Ton Téléphone de Manière Plus Rapide et Plus Sûre - YouTube 2024, Mars
Anonim
Wireshark est le couteau suisse des outils d'analyse de réseau. Que vous recherchiez un trafic peer-to-peer sur votre réseau ou que vous souhaitiez simplement connaître les sites Web auxquels une adresse IP spécifique accède, Wireshark peut travailler pour vous.
Wireshark est le couteau suisse des outils d'analyse de réseau. Que vous recherchiez un trafic peer-to-peer sur votre réseau ou que vous souhaitiez simplement connaître les sites Web auxquels une adresse IP spécifique accède, Wireshark peut travailler pour vous.

Nous avons déjà présenté Wireshark. et ce post s'appuie sur nos précédents posts. N'oubliez pas que vous devez capturer à un emplacement du réseau où vous pouvez voir suffisamment de trafic réseau. Si vous effectuez une capture sur votre poste de travail local, vous ne verrez probablement pas la majorité du trafic sur le réseau. Wireshark peut faire des captures depuis un lieu distant. Consultez notre article sur les astuces de Wireshark pour plus d'informations à ce sujet.

Identifier le trafic peer-to-peer

La colonne de protocole de Wireshark affiche le type de protocole de chaque paquet. Si vous envisagez une capture Wireshark, BitTorrent ou d’autres types de trafic poste à poste risquent de s'y dissimuler.

Image
Image

Vous pouvez voir quels protocoles sont utilisés sur votre réseau à partir du Hiérarchie de protocole outil, situé sous le Statistiquesmenu.

Cette fenêtre affiche une ventilation de l'utilisation du réseau par protocole. À partir de là, nous pouvons constater que près de 5% des paquets sur le réseau sont des paquets BitTorrent. Cela ne semble pas beaucoup, mais BitTorrent utilise également des paquets UDP. Près de 25% des paquets classés comme paquets de données UDP sont également du trafic BitTorrent ici.
Cette fenêtre affiche une ventilation de l'utilisation du réseau par protocole. À partir de là, nous pouvons constater que près de 5% des paquets sur le réseau sont des paquets BitTorrent. Cela ne semble pas beaucoup, mais BitTorrent utilise également des paquets UDP. Près de 25% des paquets classés comme paquets de données UDP sont également du trafic BitTorrent ici.
Nous pouvons afficher uniquement les paquets BitTorrent en cliquant avec le bouton droit de la souris sur le protocole et en l'appliquant en tant que filtre. Vous pouvez faire de même pour les autres types de trafic poste à poste pouvant être présents, tels que Gnutella, eDonkey ou Soulseek.
Nous pouvons afficher uniquement les paquets BitTorrent en cliquant avec le bouton droit de la souris sur le protocole et en l'appliquant en tant que filtre. Vous pouvez faire de même pour les autres types de trafic poste à poste pouvant être présents, tels que Gnutella, eDonkey ou Soulseek.
Image
Image

L’utilisation de l’option Appliquer le filtre applique le filtre “BitTorrent”Vous pouvez ignorer le menu contextuel et afficher le trafic d’un protocole en saisissant son nom directement dans la zone Filtre.

D'après le trafic filtré, l'adresse IP locale 192.168.1.64 utilise BitTorrent.

Image
Image

Pour voir toutes les adresses IP en utilisant BitTorrent, nous pouvons sélectionner Points finaux dans le Statistiques menu.

Image
Image

Cliquez sur le IPv4 onglet et activer le “Limiter l'affichage du filtre”Case à cocher. Vous verrez les adresses IP locale et distante associées au trafic BitTorrent. Les adresses IP locales doivent apparaître en haut de la liste.

Image
Image

Si vous souhaitez voir les différents types de protocoles pris en charge par Wireshark et leurs noms de filtre, sélectionnez Protocoles activés sous le Analyser menu.

Vous pouvez commencer à taper un protocole pour le rechercher dans la fenêtre Protocoles activés.
Vous pouvez commencer à taper un protocole pour le rechercher dans la fenêtre Protocoles activés.
Image
Image

Surveillance de l'accès au site Web

Maintenant que nous savons comment décomposer le trafic par protocole, nous pouvons taper «http”Dans la zone Filtre pour ne voir que le trafic HTTP. Si l’option «Activer la résolution du nom du réseau» est cochée, nous verrons le nom des sites Web consultés sur le réseau.

Image
Image

Une fois encore, nous pouvons utiliser le Points finaux option dans le Statistiques menu.

Image
Image

Cliquez sur le IPv4 onglet et activer le “Limiter l'affichage du filtre”Case à cocher à nouveau. Vous devez également vous assurer que leRésolution de nom”Est cochée ou vous ne verrez que les adresses IP.

De là, nous pouvons voir les sites Web consultés. Les réseaux de publicité et les sites Web tiers hébergeant des scripts utilisés sur d'autres sites Web apparaîtront également dans la liste.

Image
Image

Si nous voulons ventiler cela par une adresse IP spécifique pour voir quelle adresse IP unique navigue, nous pouvons le faire aussi. Utilisez le filtre combiné http et ip.addr == [adresse IP] pour voir le trafic HTTP associé à une adresse IP spécifique.

Ouvrez à nouveau la boîte de dialogue Points de terminaison et vous verrez une liste des sites Web auxquels cette adresse IP spécifique a accès.
Ouvrez à nouveau la boîte de dialogue Points de terminaison et vous verrez une liste des sites Web auxquels cette adresse IP spécifique a accès.
Image
Image

Tout cela ne fait qu'effleurer ce que vous pouvez faire avec Wireshark. Vous pouvez créer des filtres beaucoup plus avancés, ou même utiliser l'outil Règles de LCA de pare-feu de notre publication Astuces Wireshark pour bloquer facilement les types de trafic que vous trouverez ici.

Conseillé: