ホームページ » の仕方 » Wiresharkを使ってネットワークの悪用を識別する方法

    Wiresharkを使ってネットワークの悪用を識別する方法

    Wiresharkはネットワーク分析ツールのスイスアーミーナイフです。ネットワーク上のピアツーピアトラフィックを探している場合でも、特定のIPアドレスがアクセスしているWebサイトを見たい場合でも、Wiresharkはあなたのために機能します.

    以前にWiresharkの紹介をしました。そして、この記事は私たちの以前の記事に基づいています。十分なネットワークトラフィックが見えるネットワーク上の場所でキャプチャする必要があることに注意してください。ローカルワークステーションでキャプチャを実行すると、ネットワーク上のトラフィックの大部分が見えなくなる可能性があります。 Wiresharkは遠隔地からのキャプチャを行うことができます - それに関する詳細については私達のWiresharkのトリックポストをチェックしてください.

    ピアツーピアトラフィックの識別

    Wiresharkのプロトコル列には、各パケットのプロトコルタイプが表示されます。 Wiresharkのキャプチャを見ているのであれば、BitTorrentや他のピアツーピアトラフィックがその中に潜んでいるのが見えるかもしれません.

    ネットワークからどのプロトコルが使用されているのかを確認できます。 プロトコル階層 の下にあるツール 統計 メニュー.

    このウィンドウには、プロトコル別のネットワーク使用状況の内訳が表示されます。ここから、ネットワーク上のパケットの5%近くがBitTorrentパケットであることがわかります。それほど多くは聞こえませんが、BitTorrentはUDPパケットも使用します。 UDPデータパケットとして分類されたパケットの25%近くもここでBitTorrentトラフィックです.

    プロトコルを右クリックしてフィルタとして適用することで、BitTorrentパケットのみを表示できます。 Gnutella、eDonkey、Soulseekなど、存在する可能性がある他の種類のピアツーピアトラフィックについても同じことができます。.

    フィルタの適用オプションを使用すると、フィルタが適用されます。bittorrent.右クリックメニューをスキップして、フィルタボックスに直接名前を入力することでプロトコルのトラフィックを表示できます。.

    フィルタリングされたトラフィックから、192.168.1.64のローカルIPアドレスがBitTorrentを使用していることがわかります。.

    BitTorrentを使ってすべてのIPアドレスを見るには、 エンドポイント の中に 統計 メニュー.

    をクリックして IPv4 タブをクリックして表示フィルタに制限チェックボックス。 BitTorrentトラフィックに関連付けられているリモートIPアドレスとローカルIPアドレスの両方が表示されます。ローカルIPアドレスはリストの一番上に表示されます。.

    Wiresharkがサポートするさまざまな種類のプロトコルとそのフィルタ名を知りたい場合は、 有効なプロトコル分析する メニュー.

    [有効なプロトコル]ウィンドウで検索するプロトコルの入力を開始できます。.

    Webサイトアクセスの監視

    プロトコル別にトラフィックを分類する方法がわかったので、次のように入力します。httpHTTPトラフィックのみを表示するには、[フィルタ]ボックスに[ネットワーク名解決を有効にする]オプションをオンにすると、ネットワーク上でアクセスされているWebサイトの名前が表示されます。.

    またしても、 エンドポイント のオプション 統計 メニュー.

    をクリックして IPv4 タブをクリックして表示フィルタに制限もう一度チェックボックスをオンにします。また、「名前解決チェックボックスがオンになっているか、IPアドレスしか表示されない.

    ここから私達は、アクセスされているウェブサイトを見ることができます。他のWebサイトで使用されているスクリプトをホストしている広告ネットワークおよびサードパーティのWebサイトもリストに表示されます。.

    これを特定のIPアドレスで分類して、単一のIPアドレスが参照しているものを確認したい場合は、それも可能です。組み合わせフィルターを使用する http and ip.addr == [IPアドレス] 特定のIPアドレスに関連付けられているHTTPトラフィックを確認する.

    もう一度[エンドポイント]ダイアログを開くと、その特定のIPアドレスによってアクセスされているWebサイトのリストが表示されます。.


    これはすべて、Wiresharkでできることのほんの一部に過ぎません。もっと高度なフィルタを作成したり、WiresharkのトリックポストからのFirewall ACL Rulesツールを使って、ここで見つけたトラフィックの種類を簡単にブロックすることもできます。.