Wireshark heeft behoorlijk wat trucs uit de kast, van het vastleggen van verkeer op afstand tot het maken van firewallregels op basis van vastgelegde pakketten. Lees verder voor wat geavanceerdere tips als je Wireshark als een professional wilt gebruiken.

We hebben het basisgebruik van Wireshark al besproken, dus lees zeker ons originele artikel voor een inleiding tot deze krachtige netwerkanalysetool.

Netwerknaamresolutie

Tijdens het vastleggen van pakketten, zou je geïrriteerd kunnen zijn dat Wireshark alleen IP-adressen toont. U kunt de IP-adressen zelf naar domeinnamen converteren, maar dat is niet zo handig.

Wireshark kan dit IP-adres automatisch oplossen naar domeinnamen, hoewel deze functie standaard niet is ingeschakeld. Wanneer u deze optie inschakelt, ziet u waar mogelijk domeinnamen in plaats van IP-adressen. Het nadeel is dat Wireshark elke domeinnaam moet opzoeken en het vastgelegde verkeer moet vervuilen met extra DNS-aanvragen.

U kunt deze instelling inschakelen door het voorkeurenvenster van Bewerken -> Voorkeuren te openen , klikken op het Naamomzetting -paneel en klikken op het selectievakje Netwerknaamresolutie inschakelen .

Automatisch vastleggen starten

U kunt een speciale snelkoppeling maken met Wirshark's opdrachtregelargumenten als u wilt beginnen met het direct vastleggen van pakketten. U moet het nummer weten van de netwerkinterface die u wilt gebruiken, op basis van de volgorde waarin Wireshark de interfaces weergeeft.

Maak een kopie van de snelkoppeling van Wireshark, klik er met de rechtermuisknop op, ga naar het venster Eigenschappen en wijzig de opdracht regel argumenten. Voeg -i # -k toe aan het einde van de snelkoppeling en vervang # door het nummer van de interface die u wilt gebruiken. De optie -i geeft de interface aan, terwijl de optie -k Wireshark vertelt onmiddellijk te beginnen met vastleggen.

Als u Linux of een ander niet-Windows-besturingssysteem gebruikt, maakt u gewoon een snelkoppeling met de volgende opdracht of voert u deze uit een terminal om meteen te starten met opnemen:

wireshark -i # -k

Voor meer snelkoppelingen naar de commandoregel, kijk op de handleiding van Wireshark.

Traffic vanaf externe computers

Wireshark registreert verkeer van de lokale systeemomgeving interfaces standaard, maar dit is niet altijd de locatie waar u wilt vastleggen. U wilt bijvoorbeeld verkeer van een router, server of een andere computer op een andere locatie op het netwerk vastleggen. Dit is waar Wireshark's functie voor opnemen op afstand wordt weergegeven. Deze functie is momenteel alleen beschikbaar voor Windows - de officiële documentatie van Wireshark beveelt Linux-gebruikers aan een SSH-tunnel te gebruiken.

Eerst moet u WinPcap op het externe systeem installeren. WinPcap wordt geleverd met Wireshark, dus u hoeft WinPCap niet te installeren als u Wireshark al op het externe systeem hebt geïnstalleerd.

Open het venster Services op de externe computer nadat het is uitgeschakeld (klik op Start, voer in). msc in het zoekvak in het menu Start en druk op Enter. Zoek de service Remote Packet Capture Protocol in de lijst en start deze. Deze service is standaard uitgeschakeld.

Klik op de koppeling Capture Option s in Wireshark en selecteer vervolgens Remote in het vak Interface.

Voer het adres van het externe systeem in en 2002 als de poort. U moet toegang hebben tot poort 2002 op het externe systeem om verbinding te maken, dus mogelijk moet u deze poort in een firewall openen.

Na het verbinden kunt u een interface op het externe systeem selecteren in de vervolgkeuzelijst Interface. Klik op Start nadat u de interface hebt geselecteerd om het opnemen op afstand te starten.

Wireshark in een terminal (TShark)

Als u geen grafische interface op uw systeem hebt, kunt u Wireshark van een terminal met de opdracht TShark.

Geef eerst de opdracht tshark -D . Met deze opdracht krijgt u de nummers van uw netwerkinterfaces.

Voer de opdracht tshark -i # uit, waarbij u # vervangt door het nummer van de interface waarop u wilt vastleggen.

TShark gedraagt ​​zich als Wireshark en drukt het vastgelegde verkeer af naar de terminal. Gebruik Ctrl-C wanneer u het vastleggen wilt stoppen.

Het afdrukken van de pakketten naar de terminal is niet het nuttigste gedrag. Als we het verkeer in meer detail willen inspecteren, kunnen we TShark het naar een bestand dumpen dat we later kunnen inspecteren. Gebruik in plaats daarvan deze opdracht om verkeer naar een bestand te dumpen:

tshark -i # -w bestandsnaam

TShark zal u de pakketten niet tonen terwijl ze worden vastgelegd, maar het telt ze tijdens het vastleggen ervan. U kunt de Bestand -> Open -optie in Wireshark gebruiken om het vastlegbestand later te openen.

Raadpleeg voor meer informatie over de opdrachtregelopties van TShark de bijbehorende handleiding.

ACL-regels voor firewalls maken

Als u een netwerkbeheerder bent die verantwoordelijk is voor een firewall en u Wireshark gebruikt om rond te snuffelen, wilt u misschien actie ondernemen op basis van het verkeer dat u ziet - misschien om verdacht verkeer te blokkeren. Wireshark Firewall ACL-regels -hulpprogramma genereert de opdrachten die u nodig hebt om firewallregels op uw firewall te maken.

Selecteer eerst een pakket waarvoor u een firewallregel wilt maken op basis van door erop te klikken. Klik daarna op het menu Hulpprogramma's en selecteer Firewall ACL-regels .

Gebruik het menu Product om uw firewalltype te selecteren. Wireshark ondersteunt Cisco IOS, verschillende typen Linux-firewalls, inclusief iptables en de Windows-firewall.

U kunt het vak Filter gebruiken om een ​​regel te maken op basis van het MAC-adres, IP-adres, poort, of zowel het IP-adres als de poort. Mogelijk ziet u minder filteropties, afhankelijk van uw firewallproduct.

Standaard maakt de tool een regel die inkomend verkeer weigert. U kunt het gedrag van de regel wijzigen door de selectievakjes Inkomend of Weigeren uit te schakelen. Nadat u een regel hebt gemaakt, gebruikt u de knop Kopiëren om deze te kopiëren en voert u deze uit op uw firewall om de regel toe te passen.

Wilt u dat we in de toekomst iets specifieks over Wireshark schrijven? Laat het ons weten in de comments als u vragen of ideeën heeft.

Offlinemap ophalen in de Maps-app van Windows 10

Als u weet dat u uw pc gaat gebruiken op een locatie zonder internetverbinding, en u toegang tot kaarten nodig heeft, kan kaarten downloaden voor specifieke gebieden in de app "Kaarten" in Windows 10 en ze offline gebruiken. GERELATEERD: Items verwijderen uit de Meestgebruikte lijst in Windows 10 Startmenu Om de " Maps "-app, klik op de knop Start en klik op" Kaarten "in de lijst" Meest gebruikt "in het menu Start.

(how-to)

Een back-upbestand openen in Word

Word 2013 slaat standaard niet automatisch back-ups van uw documenten op, maar u kunt deze functie eenvoudig inschakelen. Deze back-upbestanden gebruiken echter de extensie ".wbk". Hoe opent u deze back-upbestanden als u ze moet openen? Word-back-upbestanden openen is eenvoudig. Wanneer u Word opent zonder een document te openen, wordt links de lijst "Recent" weergegeven en kunt u sjablonen gebruiken die als basis kunnen dienen voor documentenweergaven aan de rechterkant.

(how-to)