Контроль интернет-трафика на примере Wireshark

01-kontrol-internet-trafika-na-primere-programmy-wireshark

Контроль интернет-трафика с помощью программы Wireshark позволит Вам узнать все о сетевых подключениях Вашего компьютера, т.к. эта программа просто швейцарский нож для анализа сетевого трафика. Хотите ли Вы проанализировать P2P трафик или только хотите увидеть к каким сайтам хочет получить доступ компьютер с определенным IP, Whireshark поможет Вам в этом. Скачать программу можно по ссылке.

Идентификация пирингового трафика

Столбец протокола Wireshark выводит на экран тип протокола каждого пакета. Если Вы смотрите на полученные Wireshark данные, в этом столбце Вы увидите  BitTorrent или другой пиринговый трафик, скрывающийся в этом пакете.
02-kontrol-internet-trafika-na-primere-programmy-wireshark

Вы можете увидеть какие протоколы используются в Вашей сети, перейдя в инструмент «Protocol Hierarchy», расположенный в меню Wireshark — «Statistics«.

03-kontrol-internet-trafika-na-primere-programmy-wireshark

Это окно Wireshark показывает процент использования сети по протоколам. На примере мы можем увидеть, что около 5% пакетов в сети — пакеты протокола BitTorrent. Это не так много, как могло бы показаться, но не стоит забывать, что BitTorrent так же использует протокол UDP. Почти 25 процентов от всех UDP пакетов классифицировано Wireshark, как пакеты данных UDP трафика BitTorrent.

04-kontrol-internet-trafika-na-primere-programmy-wireshark

Вы можете видеть только пакеты BitTorrent, для этого нужно кликнуть правой кнопкой мышки на протоколе и принять соответствующий фильтр. Вы можете сделать то же самое с любыми другими типами P2P трафика: Gnutella, eDonkey, или Soulseek.

05-kontrol-internet-trafika-na-primere-programmy-wireshark

Используя опцию «Принять фильтр», принимается фильтр «bittorent». Вы можете пропустить меню, выпадающее по нажатию правой кнопки мышки, набрав название фильтра прямо в поле «Filter Box».

Из отфильтрованного трафика мы можем увидеть, что локальный адрес 192.168.1.64 использует BitTorrent.

06-kontrol-internet-trafika-na-primere-programmy-wireshark

Чтобы посмотреть на все IP адреса в локальной сети использующие BitTorrent, можно выделить «Endpoints» в меню статистики Wireshark.

07-kontrol-internet-trafika-na-primere-programmy-wireshark

Щелкните на вкладке Ipv4 и поставьте флажок «Limit to display filter«. Вы увидите в списке Whireshark и локальные и удаленные IP адреса, использующие BitTirrent трафик. Локальные адреса в таком случае будут сверху списка.

08-kontrol-internet-trafika-na-primere-programmy-wireshark

Если Вы захотите узнать все типы протоколов поддерживаемые программой Wireshark, то зайдите в «Enabled Protocols» в меню «Analyze«.

09-kontrol-internet-trafika-na-primere-programmy-wireshark

Для начала поиска интересующего Вас протокола Вы можете начать набирать протокол в поле поиска в окне «Enabled Protocols«.

Контроль доступа к веб сайтам в Wireshark

Теперь, когда мы знаем, как отсортировать данные по протоколам в программе Wireshark, мы можем набрать «http» в поле Filter для отображения только HTTP трафика. С отмеченной галочкой опцией «Enable network name resolution” мы сможем увидеть имена сайтов, к которым производится доступ в сети.

11-kontrol-internet-trafika-na-primere-programmy-wireshark

Еще раз мы можем использовать опцию «Endpoints» в меню «Statistics«.

12-kontrol-internet-trafika-na-primere-programmy-wireshark

Щелкните к вкладке IPv4 и снова поставьте флажок “Limit to display filter” . Вы должны также быть уверенными, что флажок “Name resolution” включен, в противном случае Вы будете видеть только IP-адреса.

Теперь Вы увидите веб сайты к которым получен доступ. Рекламные сети и сторонние веб-сайты, которые размещают сценарии, используемые на других веб-сайтах, также появятся в списке.

13-kontrol-internet-trafika-na-primere-programmy-wireshark

Если нас интересует только специфичный IP-адрес и мы хотим увидеть на какие сайты заходит именно этот IP нам так же нужно настроить фильтры. Для этого используется конечный фильтр http and ip.addr == [IP address], который позволит увидеть HTTP трафик с определенного IP-адреса.

14-kontrol-internet-trafika-na-primere-programmy-wireshark

Откройте диалог «Endpoints» в программе Wireshark снова и Вы увидите список веб сайтов посещаемых с определенного IP.

15-kontrol-internet-trafika-na-primere-programmy-wireshark

Надеюсь эта небольшая инструкция по программе Wireshark поможет вам, хотя все вышеперечисленное — только царапанье по поверхности возможностей программы Wireshark. Вы можете строить гораздо более продвинутые фильтры, или использовать инструмент Firewall ACL Rules для блокировки отфильтрованного трафика.

Коментарии к статье:

  1. Отличная статья. Всё подробно описано. Мне даже захотелось применить некоторые принципы отслеживания интернет-трафика, изложенные здесь.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*
*
Website