2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
最近,我有理由擔(dān)心我的局域網(wǎng)(LAN)上存在惡意通信,因此決定監(jiān)視網(wǎng)絡(luò)以查明發(fā)生了什么。自然,我轉(zhuǎn)向了開源網(wǎng)絡(luò)監(jiān)視器Wireshark。
Wireshark是一個非常令人印象深刻的工具,它可以做的事情比大多數(shù)網(wǎng)絡(luò)分析器都多。問題是,那些不熟悉該工具的人可能不知道從哪里開始——它可能真的很嚇人。
為此,我想向您展示一種使用Wireshark檢測網(wǎng)絡(luò)濫用的方法。具體地說,我想向您展示在您的網(wǎng)絡(luò)上實(shí)際使用了哪些協(xié)議,然后找出這些協(xié)議的來源是多么容易。有了這些信息在手,就更容易確定是否有什么不順心的事情正在發(fā)生(比如bt,比特幣等)。
見:安全意識和培訓(xùn)政策(TechRepublic Premium)
為了檢測網(wǎng)絡(luò)濫用,您需要安裝Wireshark。你使用的平臺并不重要。但是,重要的是您能夠使用管理員權(quán)限啟動Wireshark。
我要在爸爸面前示范!_OS Linux。如果您使用的是不同的平臺,則需要知道如何使用管理員權(quán)限啟動Wireshark。
必須使用admin權(quán)限啟動Wireshark的原因是,它需要能夠運(yùn)行/usr/bin/dumpcap,而這只有具有admin權(quán)限的用戶才能做到。使用管理員權(quán)限啟動Wireshark最簡單的方法是打開一個終端窗口并發(fā)出命令:
打開Wireshark后,它將定位您的接口,然后您可以選擇一個捕獲過濾器并單擊開始按鈕(藍(lán)色鯊魚鰭)(圖a)。
Wireshark主窗口。
一旦Wireshark在您的網(wǎng)絡(luò)上捕獲包,您將看到包在主窗口中飛馳而過(圖B)。
Wireshark捕獲數(shù)據(jù)包。
當(dāng)Wireshark正在捕獲數(shù)據(jù)包時,單擊Statistics | Protocol Hierarchy。結(jié)果窗口列出了在LAN上捕獲的每個網(wǎng)絡(luò)協(xié)議(圖C)。
Wireshark協(xié)議層次窗口正在運(yùn)行。
假設(shè)你發(fā)現(xiàn)了一個可疑的協(xié)議。正如你在上面看到的,Wireshark正在檢測bt流量,這可能是你的網(wǎng)絡(luò)中通常沒有的。右鍵單擊該條目,選擇Apply作為篩選器|選中。關(guān)閉協(xié)議層次結(jié)構(gòu)并返回Wireshark主窗口,在那里你將看到應(yīng)用了BitTorrent過濾器(圖D)。
BitTorrent過濾器應(yīng)用于Wireshark協(xié)議層次窗口。
然后可以看到違規(guī)協(xié)議的目標(biāo)地址和源地址。跟蹤你的網(wǎng)絡(luò)上的IP地址,停止任何正在發(fā)送或接收這些數(shù)據(jù)包的應(yīng)用程序。
關(guān)于協(xié)議層次結(jié)構(gòu)需要注意的一點(diǎn)是,它沒有實(shí)時更新。如果在窗口中沒有發(fā)現(xiàn)任何問題,可能需要關(guān)閉它,稍等一會兒(以便Wireshark收集更多的包),然后重新打開。
這是使用Wireshark檢測LAN上網(wǎng)絡(luò)濫用的最簡單的方法。雖然Wireshark可以做更多的工作,但是如果您正在尋找一種方法來快速檢測網(wǎng)絡(luò)上不需要的流量,那么這種方法應(yīng)該每次都能工作。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。