#8 Wireshark. Глобальные и персональные настройки. Часть 2.
Здравствуйте, дорогие друзья. Продолжаем рассматривать глобальные и персональные настройки Wireshark.
Итак, Вы можете также создать файл «ethers», в папке «configuration», для преобразования MAC-адреса в имя. Преобразование IP-адресов в сети, должно быть включено только при необходимости:
Все из-за того, что это создаст множество DNS-запросов, и Wireshark будет сильно тормозить, если найдется множество хостов.
Если Вам требуется преобразование IP, но Вы не хотите генерировать DNS-запросы, то создайте файл «hosts» в папке «Configuration».
Если Вы отметите пункт преобразования номеров портов, Вы будете видеть сервис, привязанный к этому порту, вместо номера порта:
Он может дать недостаточно точный результат, поэтому его можно отключить, и добавить сервисы для нужного Вам порта. Данное преобразование портов содержится в файле «services», в папке «Configurations».
Одна из очень полезных опций, введенных в Wireshark – это выражение фильтров. Вы можете создать кнопки для фильтров отображения. К примеру, можно создать кнопку «http», и, чтобы сделать это, напишите в панели «Filter», слово «http»:
Далее, необходимо нажать крестик в правой части панели фильтра, и дать название кнопке, и нажав «Ok»:
Чтобы применить этот фильтр, просто нажмите на кнопку:
Чтобы отредактировать кнопку, нужно перейти в настройки «Preferences», и выбрать «Filter Buttons»:
Здесь Вы можете удалять, редактировать, и создавать новые кнопки.
Также нельзя не обойти стороной вкладку «Protocols»:
Для начала рассмотрим настройки «ARP»:
Мы можем найти дублирующий IP, что будет означать, то, что два хоста, с различными MAC-адресами, будут иметь идентичные IP-адреса. Это не обычно для нормальной сети, и может быть рассмотрена как «ARP-спуффинг».
Дополнительно, Вы можете обнаружить штормы ARP-запросов, что сообщает нам генерацию запросов до 100 миллисекунд.
Чаще всего изменяют настройки «TCP»:
Особенно важен пункт, позволяющий перенаправлять потоки TCP, но мы рассмотрим эту опцию, в разделе про TCP:
Также Вы можете отключить проверку суммы от TCP, если она включена:
Очень часто, ошибки проверки суммы, заполняют файл трассировки, потому что карта не может вычислить сумму генерации пакета. И, для того, чтобы избежать этого, просто отключите эту функцию.
При анализе TCP, не забудьте включить пункты, относительно порядковых номеров, и анализа порядковых номеров TCP:
Относительная последовательность покажет Вам 0, вместо случайного большого числа или порядкового номера TCP. Это сделано для лучшей читаемости, и при анализе порядковых номеров TCP, Вы включаете систему, способную обнаружить номера в файле трассировки.
В настройках «HTTP», Вы можете вписать порты, которые могут быть использованы для HTTP, если их нет в списке:
Если Ваш HTTP-сервер, на порте отличается от 443, то Вы можете добавить его в список «SSL/TLS Ports»:
Если Вы анализируете «RTP», то следует включить попытки декодирования «RTP»:
При этом будут сделаны попытки анализа RTP-трафика, если процесс не был захвачен.
Также есть быстрый доступ к настройкам протоколов, с помощью правой клавиши мыши:
На этом все. Всем хорошего дня!
#2 Базовый функционал Wireshark.
#3 Интерфейс Wireshark. Часть 1.
#4 Интерфейс Wireshark. Часть 2.
#5 Wireshark. Захватываем трафик.