5杀手技巧,以最大限度地利用Wireshark

Wireshark有很多技巧,从捕获远程流量到创建基于捕获的数据包的防火墙规则。 阅读一些更高级的提示,如果你想使用Wireshark像一个亲。

我们已经介绍的Wireshark的基本用法 ,所以一定要阅读我们的原始文章的介绍,这个强大的网络分析工具。

网络名称解析

捕获数据包时,您可能会感到烦恼,Wireshark只显示IP地址。 您可以自己将IP地址转换为域名,但这不是太方便。

Wireshark可以自动将这些IP地址解析为域名,但默认情况下不启用此功能。 启用此选项后,您将看到域名,而不是IP地址。 缺点是,Wireshark将必须查找每个域名,污染捕获的流量与额外的DNS请求。

> 首选项 ,单击名称解析面板,点击“ 启用网络名称解析 ”复选框-您可以通过编辑从打开的选项窗口启用此设置。

开始自动捕获

如果要立即开始捕获数据包,可以使用Wirshark的命令行参数创建特殊快捷方式。 您需要知道要使用的网络接口的数量,基于Wireshark显示接口的顺序。

创建Wireshark的快捷方式的副本,右键单击它,进入其属性窗口并更改命令行参数。 -i#-k添加到快捷的最后,您要使用的接口数替换#。 -i选项指定接口,而-k选项指示Wireshark立即开始捕获。

如果您使用的是Linux或其他非Windows操作系统,只需使用以下命令创建快捷方式,或从终端运行它以立即开始捕获:

wireshark -i#-k

欲了解更多的命令行的快捷方式,检查了Wireshark的手册页

从远程计算机捕获流量

默认情况下,Wireshark从您的系统的本地接口捕获流量,但这并不总是您要捕获的位置。 例如,您可能需要捕获来自路由器,服务器或网络上其他位置的其他计算机的流量。 这是Wireshark的的远程采集功能进来此功能仅在Windows上使用的那一刻- Wireshark的官方文档建议Linux用户使用SSH隧道

首先,你必须安装WinPcap的远程系统上。 WinPcap自带Wireshark,所以你不必安装WinPCap,如果你已经在远程系统上安装了Wireshark。

它的isntalled后,打开远程计算机上的服务窗口-单击开始,键入services.msc进入开始菜单,然后按Enter搜索框。 在列表中找到远程数据包捕获协议服务并启动它。 此服务默认情况下处于禁用状态。

单击捕获选项 S IN Wireshark的链接,然后从界面中选择远程

输入远程系统和2002年的端口的地址。 您必须访问远程系统上的端口2002才能连接,因此您可能需要在防火墙中打开此端口。

连接后,您可以从“接口”下拉框中选择远程系统上的接口。 选择接口来启动远程捕获后,点击开始

终端的Wireshark(TShark)

如果您的系统上没有图形界面,您可以使用TShark命令从终端使用Wireshark。

首先,发出tshark的-D命令。 此命令将为您提供网络接口的编号。

一旦拥有,运行tshark的-i#命令,你想捕捉的接口数替换#。

TShark就像Wireshark,打印它捕获到终端的流量。 当你想停止捕获使用Ctrl-C。

将数据包打印到终端不是最有用的行为。 如果我们想更详细地检查流量,我们可以将Tshark转储到一个我们以后可以检查的文件。 请使用此命令将流量转储到文件:

tshark -i#-w filename

TShark不会显示你的数据包,因为他们被捕获,但它会计数它们捕获它们。 您可以使用文件 - > 打开选项Wireshark的后打开捕获文件。

有关tshark的命令行选项的详细信息,请查看它的手册页

创建防火墙ACL规则

如果您是负责防火墙的网络管理员,而您正在使用Wireshark进行搜索,则可能需要根据您看到的流量采取行动 - 可能会阻止一些可疑流量。 Wireshark的防火墙规则ACL工具生成你需要在你的防火墙创建防火墙规则的命令。

首先,通过单击来选择要创建防火墙规则的数据包。 在此之后,单击工具菜单,然后选择防火墙ACL规则

使用产品菜单选择您的防火墙类型。 Wireshark支持Cisco IOS,不同类型的Linux防火墙,包括iptables和Windows防火墙。

您可以使用过滤器对话框来创建基于两个系统的MAC地址,IP地址,端口或IP地址和端口既有规则。 您可能会看到较少的过滤器选项,具体取决于您的防火墙产品。

默认情况下,该工具会创建一个拒绝入站流量的规则。 您可以通过取消入站修改规则的行为或拒绝复选框。 创建了规则后,使用复制按钮来复制它,然后运行它在你的防火墙应用规则。


你想让我们在未来写出关于Wireshark的任何具体信息吗? 如果您有任何要求或想法,请在评论中告诉我们。

赞 (0)
分享到:更多 ()