Контроль интернет-трафика на примере Wireshark

21.10.2014 0 Автор Jeff

Контроль интернет-трафика с помощью программы Wireshark позволит Вам узнать все о сетевых подключениях Вашего компьютера. Эта программа просто швейцарский нож для анализа сетевого трафика. Хотите ли Вы проанализировать P2P трафик или только хотите увидеть к каким сайтам хочет получить доступ компьютер с определенным IP, Whireshark поможет Вам в этом. Скачать программу можно по ссылке.

Идентификация пирингового трафика

Столбец протокола Wireshark выводит на экран тип протокола каждого пакета. Если Вы смотрите на полученные Wireshark данные, в этом столбце Вы увидите BitTorrent или другой пиринговый трафик, скрывающийся в этом пакете.

Wireshark открытое окно

Вы можете увидеть какие протоколы используются в Вашей сети, перейдя в инструмент «Protocol Hierarchy», расположенный в меню Wireshark — «Statistics«.

Это окно Wireshark показывает процент использования сети по протоколам. На примере мы можем увидеть, что около 5% пакетов в сети — пакеты протокола BitTorrent. Это не так много, как могло бы показаться, но не стоит забывать, что BitTorrent так же использует протокол UDP. Почти 25 процентов от всех UDP пакетов классифицировано Wireshark, как пакеты данных UDP трафика BitTorrent.

Вы можете видеть только пакеты BitTorrent, для этого нужно кликнуть правой кнопкой мышки на протоколе и принять соответствующий фильтр. Вы можете сделать то же самое с любыми другими типами P2P трафика: Gnutella, eDonkey, или Soulseek.

Используя опцию «Принять фильтр», принимается фильтр «bittorent». Вы можете пропустить меню, выпадающее по нажатию правой кнопки мышки, набрав название фильтра прямо в поле «Filter Box».

Из отфильтрованного трафика мы можем увидеть, что локальный адрес 192.168.1.64 использует BitTorrent.

Чтобы посмотреть на все IP адреса в локальной сети использующие BitTorrent, можно выделить «Endpoints» в меню статистики Wireshark.

Щелкните на вкладке Ipv4 и поставьте флажок «Limit to display filter«. Вы увидите в списке Whireshark и локальные и удаленные IP адреса, использующие BitTirrent трафик. Локальные адреса в таком случае будут сверху списка.

Если Вы захотите узнать все типы протоколов поддерживаемые программой Wireshark, то зайдите в «Enabled Protocols» в меню «Analyze«.

Для начала поиска интересующего Вас протокола Вы можете начать набирать протокол в поле поиска в окне «Enabled Protocols«.

Контроль доступа к веб сайтам в Wireshark

Теперь, когда мы знаем, как отсортировать данные по протоколам в программе Wireshark, мы можем набрать «http» в поле Filter для отображения только HTTP трафика. С отмеченной галочкой опцией «Enable network name resolution” мы сможем увидеть имена сайтов, к которым производится доступ в сети.

Еще раз мы можем использовать опцию «Endpoints» в меню «Statistics«.

Щелкните к вкладке IPv4 и снова поставьте флажок “Limit to display filter” . Вы должны также быть уверенными, что флажок “Name resolution” включен, в противном случае Вы будете видеть только IP-адреса.

Теперь Вы увидите веб сайты к которым получен доступ. Рекламные сети и сторонние веб-сайты, которые размещают сценарии, используемые на других веб-сайтах, также появятся в списке.

Если нас интересует только специфичный IP-адрес и мы хотим увидеть на какие сайты заходит именно этот IP нам так же нужно настроить фильтры. Для этого используется конечный фильтр http and ip.addr == [IP address], который позволит увидеть HTTP трафик с определенного IP-адреса.

Откройте диалог «Endpoints» в программе Wireshark снова и Вы увидите список веб сайтов посещаемых с определенного IP.

Надеюсь эта небольшая инструкция по программе Wireshark поможет вам, хотя все вышеперечисленное — только царапанье по поверхности возможностей программы Wireshark. Вы можете строить гораздо более продвинутые фильтры, или использовать инструмент Firewall ACL Rules для блокировки отфильтрованного трафика.