If-Koubou

5 Trik Pembunuh untuk Memaksimalkan Wireshark

5 Trik Pembunuh untuk Memaksimalkan Wireshark (Bagaimana caranya)

Wireshark memiliki beberapa trik di lengannya, mulai dari menangkap lalu lintas jauh hingga membuat aturan firewall berdasarkan paket yang diambil. Baca terus untuk beberapa tips lebih lanjut jika Anda ingin menggunakan Wireshark seperti seorang profesional.

Kami sudah membahas penggunaan dasar Wireshark, jadi pastikan untuk membaca artikel asli kami untuk pengenalan alat analisis jaringan yang kuat ini.

Resolusi Nama Jaringan

Saat mengambil paket, Anda mungkin terganggu karena Wireshark hanya menampilkan alamat IP. Anda dapat mengubah alamat IP ke nama domain Anda sendiri, tetapi itu tidak terlalu mudah.

Wireshark dapat secara otomatis menyelesaikan alamat IP ini ke nama domain, meskipun fitur ini tidak diaktifkan secara default. Saat Anda mengaktifkan opsi ini, Anda akan melihat nama domain, bukan alamat IP bila memungkinkan. Kelemahannya adalah bahwa Wireshark harus mencari setiap nama domain, mencemari lalu lintas yang ditangkap dengan permintaan DNS tambahan.

Anda dapat mengaktifkan pengaturan ini dengan membuka jendela preferensi dari Edit -> Preferensi, mengklik Resolusi Nama panel dan klik "Aktifkan Resolusi Nama Jaringan”Kotak centang.

Mulai Menangkap Secara Otomatis

Anda dapat membuat pintasan khusus menggunakan argumen baris perintah Wirshark jika Anda ingin mulai menangkap paket tanpa penundaan. Anda harus mengetahui jumlah antarmuka jaringan yang ingin Anda gunakan, berdasarkan urutan Wireshark menampilkan antarmuka.

Buat salinan pintasan Wireshark, klik kanan, masuk ke jendela Properties-nya dan ubah argumen baris perintah. Menambahkan -i # -k ke ujung jalan pintas, menggantikan # dengan jumlah antarmuka yang ingin Anda gunakan. Opsi -i menentukan antarmuka, sedangkan opsi -k memberi tahu Wireshark untuk segera mulai menangkap.

Jika Anda menggunakan Linux atau sistem operasi selain Windows, cukup buat pintasan dengan perintah berikut, atau jalankan dari terminal untuk mulai menangkap segera:

wireshark -i # -k

Untuk pintasan command-line lainnya, lihat halaman manual Wireshark.

Menangkap Lalu Lintas Dari Komputer Jarak Jauh

Wireshark menangkap lalu lintas dari antarmuka lokal sistem Anda secara default, tetapi ini tidak selalu lokasi yang ingin Anda tangkap. Misalnya, Anda mungkin ingin menangkap lalu lintas dari router, server, atau komputer lain di lokasi yang berbeda di jaringan. Di sinilah fitur penangkapan jarak jauh Wireshark datang. Fitur ini hanya tersedia pada Windows saat ini - dokumentasi resmi Wireshark merekomendasikan bahwa pengguna Linux menggunakan terowongan SSH.

Pertama, Anda harus menginstal WinPcap pada sistem remote. WinPcap hadir dengan Wireshark, jadi Anda tidak perlu menginstal WinPCap jika Anda sudah menginstal Wireshark pada sistem remote.

Setelah isntalled, buka jendela Layanan di komputer jarak jauh - klik Mulai, ketik services.msc ke dalam kotak pencarian di menu Start dan tekan Enter. Temukan Protokol Penangkapan Paket Jarak Jauh layanan dalam daftar dan memulainya. Layanan ini dinonaktifkan secara default.

Klik Opsi Tangkaps tautan di Wireshark, lalu pilih Terpencil dari kotak Antarmuka.

Masukkan alamat sistem jarak jauh dan 2002 sebagai port. Anda harus memiliki akses ke port 2002 pada sistem remote untuk terhubung, jadi Anda mungkin perlu membuka port ini di firewall.

Setelah tersambung, Anda dapat memilih antarmuka pada sistem jarak jauh dari kotak drop-down Antarmuka. Klik Mulai setelah memilih antarmuka untuk memulai penangkapan jarak jauh.

Wireshark di Terminal (TShark)

Jika Anda tidak memiliki antarmuka grafis pada sistem Anda, Anda dapat menggunakan Wireshark dari terminal dengan perintah TShark.

Pertama, terbitkan tshark -D perintah. Perintah ini akan memberi Anda nomor antarmuka jaringan Anda.

Setelah Anda memilikinya, jalankan tshark -i # perintah, mengganti # dengan nomor antarmuka yang ingin Anda tangkap.

TShark bertindak seperti Wireshark, mencetak lalu lintas yang ditangkapnya ke terminal. Menggunakan Ctrl-C ketika Anda ingin menghentikan penangkapan.

Mencetak paket ke terminal bukanlah perilaku yang paling berguna. Jika kita ingin memeriksa lalu lintas secara lebih detail, kita dapat membuang TShark ke file yang dapat kita periksa nanti. Gunakan perintah ini untuk membuang lalu lintas ke file:

tshark -i # -w filename

TShark tidak akan menunjukkan paket-paket itu saat mereka ditangkap, tetapi itu akan menghitungnya ketika menangkapnya. Anda dapat menggunakan Mengajukan -> Buka pilihan di Wireshark untuk membuka file ambil nanti.

Untuk informasi lebih lanjut tentang opsi baris perintah TShark, periksa halaman manualnya.

Membuat Aturan ACL Firewall

Jika Anda adalah administrator jaringan yang bertanggung jawab atas firewall dan Anda menggunakan Wireshark untuk mencari-cari, Anda mungkin ingin mengambil tindakan berdasarkan lalu lintas yang Anda lihat - mungkin untuk memblokir beberapa lalu lintas yang mencurigakan. Wireshark Aturan ACL Firewall alat menghasilkan perintah yang Anda perlukan untuk membuat aturan firewall pada firewall Anda.

Pertama, pilih paket yang Anda ingin buat aturan firewall berdasarkan dengan mengkliknya. Setelah itu, klik Alat-alat menu dan pilih Aturan ACL Firewall.

Menggunakan Produk menu untuk memilih jenis firewall Anda. Wireshark mendukung Cisco IOS, berbagai jenis firewall Linux, termasuk iptables, dan firewall Windows.

Anda dapat menggunakan Filter kotak untuk membuat aturan berdasarkan alamat MAC sistem, alamat IP, port, atau keduanya alamat IP dan port. Anda mungkin melihat lebih sedikit pilihan filter, tergantung pada produk firewall Anda.

Secara default, alat ini membuat aturan yang menolak lalu lintas masuk. Anda dapat memodifikasi perilaku aturan dengan menghapus centang pada Masuk atau Menyangkal kotak centang.Setelah membuat aturan, gunakan Salinan tombol untuk menyalinnya, lalu jalankan di firewall Anda untuk menerapkan aturan.

Apakah Anda ingin kami menulis sesuatu yang spesifik tentang Wireshark di masa mendatang? Beri tahu kami di komentar jika Anda memiliki permintaan atau ide apa pun.