目次:
以前はWiresharkについて紹介しました。この投稿は以前の投稿に基づいています。十分なネットワークトラフィックを確認できるネットワーク上の場所にキャプチャする必要があることに注意してください。ローカルワークステーションでキャプチャを実行すると、ネットワーク上のトラフィックの大半が表示されない可能性があります。 Wiresharkは遠隔地からのキャプチャを行うことができます。詳細については、Wiresharkトリックの記事をご覧ください。
ピアツーピアトラフィックの識別
Wiresharkのプロトコル列には、各パケットのプロトコルタイプが表示されます。 Wiresharkのキャプチャを見ているなら、BitTorrentや他のピアツーピアトラフィックが潜んでいるかもしれません。
ネットワーク上でどのプロトコルが使用されているかは、 プロトコル階層 ツール 統計メニュー。
[フィルタを適用]オプションを使用すると、フィルタ "ビットトレント。「右クリックメニューをスキップし、プロトコルのトラフィックをフィルタボックスに直接入力することでトラフィックを表示することができます。
フィルタリングされたトラフィックから、ローカルIPアドレス192.168.1.64がBitTorrentを使用していることがわかります。
BitTorrentを使用してすべてのIPアドレスを表示するには、 エンドポイント の中に 統計 メニュー。
クリックして IPv4 タブをクリックし、フィルタの表示に制限する"チェックボックスをオンにします。 BitTorrentトラフィックに関連付けられているリモートIPアドレスとローカルIPアドレスの両方が表示されます。ローカルIPアドレスはリストの一番上に表示されます。
Wiresharkがサポートするさまざまなタイプのプロトコルとそのフィルタ名を表示するには、 有効なプロトコル 下 分析する メニュー。
ウェブサイトへのアクセスを監視する
プロトコルでトラフィックを分割する方法を知ったので、httpHTTPトラフィックのみを表示するには、[Filter]ボックスに入力します。 [ネットワーク名解決を有効にする]オプションをオンにすると、ネットワーク上でアクセスされているウェブサイトの名前が表示されます。
もう一度、私たちは エンドポイント オプションの 統計 メニュー。
クリックして IPv4 タブをクリックし、フィルタの表示に制限する"チェックボックスを再度オンにします。あなたはまた、名前解決"チェックボックスが有効になっているか、IPアドレスのみが表示されます。
ここから、アクセスしているウェブサイトを見ることができます。他のウェブサイトで使用されているスクリプトをホストする広告ネットワークと第三者のウェブサイトもリストに表示されます。
これを特定のIPアドレスで解読して、単一のIPアドレスが何を参照しているのかを確認したい場合は、それを行うこともできます。結合フィルターを使用する httpとip.addr == [IPアドレス] 特定のIPアドレスに関連付けられたHTTPトラフィックを表示します。
![[エンドポイント]ダイアログボックスをもう一度開くと、その特定のIPアドレスでアクセスされているWebサイトのリストが表示されます。](https://i.play-and-more.com/images/blog/how-to-identify-network-abuse-with-wireshark-13-p.webp "[エンドポイント]ダイアログボックスをもう一度開くと、その特定のIPアドレスでアクセスされているWebサイトのリストが表示されます。")
これは皆Wiresharkでできることの表面を傷つけるだけです。もっと高度なフィルタを構築したり、WiresharkトリックポストのファイアウォールACLルールツールを使用して、ここで見つかるトラフィックの種類を簡単にブロックすることもできます。
