Cómo identificar el abuso de red con Wireshark
Wireshark es la navaja suiza de herramientas de análisis de redes. Ya sea que esté buscando tráfico de igual a igual en su red o simplemente desee ver a qué sitios web accede una dirección IP específica, Wireshark puede funcionar para usted.
Anteriormente hemos dado una introducción a Wireshark. y esta publicación se basa en nuestras publicaciones anteriores. Tenga en cuenta que debe estar capturando en una ubicación de la red donde pueda ver suficiente tráfico de red. Si realiza una captura en su estación de trabajo local, es probable que no vea la mayoría del tráfico en la red. Wireshark puede hacer capturas desde una ubicación remota: consulte nuestra publicación de trucos de Wireshark para obtener más información sobre eso..
Identificación del tráfico de igual a igual
La columna de protocolo de Wireshark muestra el tipo de protocolo de cada paquete. Si está viendo una captura de Wireshark, es posible que vea BitTorrent u otro tráfico de igual a igual que acecha en ella..
Puede ver exactamente qué protocolos se están utilizando en su red desde el Jerarquía de protocolo herramienta, situada bajo el Estadística menú.
Esta ventana muestra un desglose del uso de la red por protocolo. Desde aquí, podemos ver que casi el 5 por ciento de los paquetes en la red son paquetes de BitTorrent. Eso no parece mucho, pero BitTorrent también usa paquetes UDP. El casi 25 por ciento de los paquetes clasificados como paquetes de datos UDP también son tráfico de BitTorrent aquí.
Podemos ver solo los paquetes de BitTorrent haciendo clic derecho en el protocolo y aplicándolo como un filtro. Puede hacer lo mismo para otros tipos de tráfico de igual a igual que pueden estar presentes, como Gnutella, eDonkey o Soulseek..
Usando la opción Aplicar filtro aplica el filtro "bittorrent."Puede omitir el menú del botón derecho y ver el tráfico de un protocolo escribiendo su nombre directamente en el cuadro Filtro..
Desde el tráfico filtrado, podemos ver que la dirección IP local de 192.168.1.64 está usando BitTorrent.
Para ver todas las direcciones IP usando BitTorrent, podemos seleccionar Puntos finales en el Estadística menú.
Haga clic sobre el IPv4 pestaña y habilitar elLimitar para mostrar el filtro”Casilla de verificación. Verá las direcciones IP locales y remotas asociadas con el tráfico de BitTorrent. Las direcciones IP locales deben aparecer en la parte superior de la lista.
Si desea ver los diferentes tipos de protocolos que admite Wireshark y sus nombres de filtro, seleccione Protocolos habilitados bajo la Analizar menú.
Puede comenzar a escribir un protocolo para buscarlo en la ventana Protocolos habilitados.
Control de acceso al sitio web
Ahora que sabemos cómo dividir el tráfico por protocolo, podemos escribir "http”En el cuadro Filtro para ver solo el tráfico HTTP. Con la opción "Habilitar resolución de nombres de red" marcada, veremos los nombres de los sitios web a los que se accede en la red.
Una vez más, podemos usar el Puntos finales opción en el Estadística menú.
Haga clic sobre el IPv4 pestaña y habilitar elLimitar para mostrar el filtro"Casilla de verificación de nuevo. También debe asegurarse de que el "Resolución de nombres”La casilla de verificación está habilitada o solo verá las direcciones IP.
Desde aquí podemos ver los sitios web a los que se accede. Las redes de publicidad y los sitios web de terceros que alojan scripts utilizados en otros sitios web también aparecerán en la lista.
Si deseamos desglosar esto por una dirección IP específica para ver qué es la dirección IP que está navegando, también podemos hacerlo. Usa el filtro combinado. http y ip.addr == [dirección IP] para ver el tráfico HTTP asociado con una dirección IP específica.
Abra de nuevo el cuadro de diálogo Puntos finales y verá una lista de sitios web a los que se accede con esa dirección IP específica.
Todo esto es solo arañar la superficie de lo que puedes hacer con Wireshark. Puede crear filtros mucho más avanzados, o incluso usar la herramienta Reglas ACL de Firewall de nuestra publicación de trucos de Wireshark para bloquear fácilmente los tipos de tráfico que encontrará aquí..