Wireshark로 네트워크 남용을 확인하는 방법

Wireshark는 네트워크 분석 도구의 스위스 군용 칼입니다. 네트워크에서 피어 - 투 - 피어 트래픽을 찾고 있거나 특정 IP 주소가 어떤 웹 사이트에 액세스하고 있는지보고 싶다면 Wireshark가 도움이 될 수 있습니다.

우리는 이전에 Wireshark에 대해 소개했습니다. 이 게시물은 이전 게시물을 기반으로합니다. 충분한 네트워크 트래픽을 볼 수있는 네트워크 위치에서 캡처해야합니다. 로컬 워크 스테이션에서 캡처를 수행하면 네트워크에서 대부분의 트래픽을 볼 수 없습니다. Wireshark는 원격 위치에서 캡처 할 수 있습니다. Wireshark 트릭 포스트에서 자세한 내용을 확인하십시오..

피어 - 투 - 피어 트래픽 식별

Wireshark의 프로토콜 열에 각 패킷의 프로토콜 유형이 표시됩니다. Wireshark 캡처를보고 있다면 BitTorrent 또는 기타 피어 투 피어 트래픽이 숨어있을 수 있습니다..

네트워크에서 어떤 프로토콜이 사용되고 있는지를 볼 수 있습니다. 프로토콜 계층 구조 도구 아래에있는 통계 메뉴.

이 창은 프로토콜별로 네트워크 사용 현황을 보여줍니다. 여기에서 우리는 네트워크상의 거의 5 %의 패킷이 비트 토 런트 패킷임을 알 수 있습니다. 그렇게 많이 들리지는 않지만 BitTorrent는 UDP 패킷도 사용합니다. UDP 데이터 패킷으로 분류 된 거의 25 %의 패킷도 여기에있는 비트 토 런트 트래픽입니다..

우리는 프로토콜을 마우스 오른쪽 단추로 클릭하고 필터로 적용하여 BitTorrent 패킷 만 볼 수 있습니다. Gnutella, eDonkey 또는 Soulseek와 같은 다른 유형의 피어 - 투 - 피어 트래픽에 대해서도 동일한 작업을 수행 할 수 있습니다.

필터 적용 옵션을 사용하면 필터 "비트 토 런트."오른쪽 클릭 메뉴를 건너 뛰고 프로토콜 상자의 이름을 필터 상자에 직접 입력하여 프로토콜 트래픽을 볼 수 있습니다.

필터링 된 트래픽에서 로컬 IP 주소 192.168.1.64가 BitTorrent를 사용하고 있음을 알 수 있습니다..

BitTorrent를 사용하여 모든 IP 주소를 보려면, 우리는 종점 ~ 안에 통계 메뉴.

클릭하여 IPv4 탭을 클릭하고 "필터 표시 제한"확인란을 선택합니다. BitTorrent 트래픽과 관련된 원격 IP 주소와 로컬 IP 주소가 모두 표시됩니다. 로컬 IP 주소가 목록 맨 위에 나타나야합니다..

Wireshark가 지원하는 다양한 유형의 프로토콜과 필터 이름을 보려면, 다음을 선택하십시오. 프로토콜 사용 아래의 분석 메뉴.

Enabled Protocols (사용 가능한 프로토콜) 창에서 프로토콜을 검색하기 시작할 수 있습니다.

웹 사이트 액세스 모니터링

이제 프로토콜별로 트래픽을 줄이는 방법을 알았으니 "http"을 필터 상자에 입력하면 HTTP 트래픽 만 표시됩니다. "네트워크 이름 확인 사용"옵션을 선택하면 네트워크에서 액세스되는 웹 사이트의 이름이 표시됩니다.

다시 한번, 우리는 종점 옵션의 통계 메뉴.

클릭하여 IPv4 탭을 클릭하고 "필터 표시 제한"확인란을 다시 선택하십시오. 당신은 또한 "이름 확인"확인란이 활성화되어 있거나 IP 주소 만 표시됩니다..

여기에서 우리는 액세스하는 웹 사이트를 볼 수 있습니다. 다른 웹 사이트에서 사용되는 스크립트를 호스팅하는 광고 네트워크 및 제 3 자 웹 사이트도 목록에 나타납니다..

단일 IP 주소가 무엇을 탐색하는지 확인하기 위해 특정 IP 주소로이를 중단하려는 경우에도이를 수행 할 수 있습니다. 결합 된 필터 사용 http 및 ip.addr == [IP 주소] 특정 IP 주소와 연관된 HTTP 트래픽을 보는 방법.

종점 대화 상자를 다시 열면 특정 IP 주소로 액세스하는 웹 사이트 목록이 표시됩니다..

이것은 Wireshark로 할 수있는 것의 표면을 긁는 것입니다. 훨씬 더 고급 필터를 만들 수도 있고 Wireshark 트릭 포스트에서 방화벽 ACL 규칙 도구를 사용하여 여기에서 볼 수있는 트래픽 유형을 쉽게 차단할 수도 있습니다.