nl.phhsnews.com


nl.phhsnews.com / 5 Killer-trucs om het meeste uit Wireshark

5 Killer-trucs om het meeste uit Wireshark


Wireshark heeft behoorlijk wat trucs uit de kast, van het vastleggen van verkeer op afstand tot het maken van firewallregels op basis van vastgelegde pakketten. Lees verder voor wat geavanceerdere tips als je Wireshark als een professional wilt gebruiken.

We hebben het basisgebruik van Wireshark al besproken, dus lees zeker ons originele artikel voor een inleiding tot deze krachtige netwerkanalysetool.

Netwerknaamresolutie

Tijdens het vastleggen van pakketten, zou je geïrriteerd kunnen zijn dat Wireshark alleen IP-adressen toont. U kunt de IP-adressen zelf naar domeinnamen converteren, maar dat is niet zo handig.

Wireshark kan dit IP-adres automatisch oplossen naar domeinnamen, hoewel deze functie standaard niet is ingeschakeld. Wanneer u deze optie inschakelt, ziet u waar mogelijk domeinnamen in plaats van IP-adressen. Het nadeel is dat Wireshark elke domeinnaam moet opzoeken en het vastgelegde verkeer moet vervuilen met extra DNS-aanvragen.

U kunt deze instelling inschakelen door het voorkeurenvenster van Bewerken -> Voorkeuren te openen , klikken op het Naamomzetting -paneel en klikken op het selectievakje Netwerknaamresolutie inschakelen .

Automatisch vastleggen starten

U kunt een speciale snelkoppeling maken met Wirshark's opdrachtregelargumenten als u wilt beginnen met het direct vastleggen van pakketten. U moet het nummer weten van de netwerkinterface die u wilt gebruiken, op basis van de volgorde waarin Wireshark de interfaces weergeeft.

Maak een kopie van de snelkoppeling van Wireshark, klik er met de rechtermuisknop op, ga naar het venster Eigenschappen en wijzig de opdracht regel argumenten. Voeg -i # -k toe aan het einde van de snelkoppeling en vervang # door het nummer van de interface die u wilt gebruiken. De optie -i geeft de interface aan, terwijl de optie -k Wireshark vertelt onmiddellijk te beginnen met vastleggen.

Als u Linux of een ander niet-Windows-besturingssysteem gebruikt, maakt u gewoon een snelkoppeling met de volgende opdracht of voert u deze uit een terminal om meteen te starten met opnemen:

wireshark -i # -k

Voor meer snelkoppelingen naar de commandoregel, kijk op de handleiding van Wireshark.

Traffic vanaf externe computers

Wireshark registreert verkeer van de lokale systeemomgeving interfaces standaard, maar dit is niet altijd de locatie waar u wilt vastleggen. U wilt bijvoorbeeld verkeer van een router, server of een andere computer op een andere locatie op het netwerk vastleggen. Dit is waar Wireshark's functie voor opnemen op afstand wordt weergegeven. Deze functie is momenteel alleen beschikbaar voor Windows - de officiële documentatie van Wireshark beveelt Linux-gebruikers aan een SSH-tunnel te gebruiken.

Eerst moet u WinPcap op het externe systeem installeren. WinPcap wordt geleverd met Wireshark, dus u hoeft WinPCap niet te installeren als u Wireshark al op het externe systeem hebt geïnstalleerd.

Open het venster Services op de externe computer nadat het is uitgeschakeld (klik op Start, voer in). msc in het zoekvak in het menu Start en druk op Enter. Zoek de service Remote Packet Capture Protocol in de lijst en start deze. Deze service is standaard uitgeschakeld.

Klik op de koppeling Capture Option s in Wireshark en selecteer vervolgens Remote in het vak Interface.

Voer het adres van het externe systeem in en 2002 als de poort. U moet toegang hebben tot poort 2002 op het externe systeem om verbinding te maken, dus mogelijk moet u deze poort in een firewall openen.

Na het verbinden kunt u een interface op het externe systeem selecteren in de vervolgkeuzelijst Interface. Klik op Start nadat u de interface hebt geselecteerd om het opnemen op afstand te starten.

Wireshark in een terminal (TShark)

Als u geen grafische interface op uw systeem hebt, kunt u Wireshark van een terminal met de opdracht TShark.

Geef eerst de opdracht tshark -D . Met deze opdracht krijgt u de nummers van uw netwerkinterfaces.

Voer de opdracht tshark -i # uit, waarbij u # vervangt door het nummer van de interface waarop u wilt vastleggen.

TShark gedraagt ​​zich als Wireshark en drukt het vastgelegde verkeer af naar de terminal. Gebruik Ctrl-C wanneer u het vastleggen wilt stoppen.

Het afdrukken van de pakketten naar de terminal is niet het nuttigste gedrag. Als we het verkeer in meer detail willen inspecteren, kunnen we TShark het naar een bestand dumpen dat we later kunnen inspecteren. Gebruik in plaats daarvan deze opdracht om verkeer naar een bestand te dumpen:

tshark -i # -w bestandsnaam

TShark zal u de pakketten niet tonen terwijl ze worden vastgelegd, maar het telt ze tijdens het vastleggen ervan. U kunt de Bestand -> Open -optie in Wireshark gebruiken om het vastlegbestand later te openen.

Raadpleeg voor meer informatie over de opdrachtregelopties van TShark de bijbehorende handleiding.

ACL-regels voor firewalls maken

Als u een netwerkbeheerder bent die verantwoordelijk is voor een firewall en u Wireshark gebruikt om rond te snuffelen, wilt u misschien actie ondernemen op basis van het verkeer dat u ziet - misschien om verdacht verkeer te blokkeren. Wireshark Firewall ACL-regels -hulpprogramma genereert de opdrachten die u nodig hebt om firewallregels op uw firewall te maken.

Selecteer eerst een pakket waarvoor u een firewallregel wilt maken op basis van door erop te klikken. Klik daarna op het menu Hulpprogramma's en selecteer Firewall ACL-regels .

Gebruik het menu Product om uw firewalltype te selecteren. Wireshark ondersteunt Cisco IOS, verschillende typen Linux-firewalls, inclusief iptables en de Windows-firewall.

U kunt het vak Filter gebruiken om een ​​regel te maken op basis van het MAC-adres, IP-adres, poort, of zowel het IP-adres als de poort. Mogelijk ziet u minder filteropties, afhankelijk van uw firewallproduct.

Standaard maakt de tool een regel die inkomend verkeer weigert. U kunt het gedrag van de regel wijzigen door de selectievakjes Inkomend of Weigeren uit te schakelen. Nadat u een regel hebt gemaakt, gebruikt u de knop Kopiëren om deze te kopiëren en voert u deze uit op uw firewall om de regel toe te passen.


Wilt u dat we in de toekomst iets specifieks over Wireshark schrijven? Laat het ons weten in de comments als u vragen of ideeën heeft.


Uw tv of afstandsbediening van de ontvanger gebruiken om uw Apple TV te bedienen

Uw tv of afstandsbediening van de ontvanger gebruiken om uw Apple TV te bedienen

De afstandsbediening van de Apple TV werkt goed, maar veel mensen vinden het vervelend om meerdere afstandsbedieningen te hebben en geven er de voorkeur aan hun hele mediacenterervaring te regelen vanaf een enkele ingang. Als je een van die mensen bent, heb je geluk. Uw Apple TV kan daar input van uw tv, ontvanger, kabeldoos of andere afstandsbediening leren accepteren.

(how-to)

Een app-lade toevoegen aan het startscherm van de LG G5

Een app-lade toevoegen aan het startscherm van de LG G5

LG deed iets vreemds met de G5: het verwijderde de app-lade in de Launcher volledig en gooide alle apps op de startschermen, zoals in iOS. Ik begrijp dat sommige mensen dit waarschijnlijk leuk vinden, misschien zelfs liever, maar ik weet zeker dat het voor veel anderen onaangenaam is. Als je de stock-launcher een kans wilt geven maar de app-lade wilt terughalen, heeft LG een manier toegevoegd om een ​​app-lade toe te voegen aan het opstartprogramma via een afzonderlijke download.

(how-to)