Pertanyaan WireShark: Bagaimana memonitor lalu lintas, daripada menonton paket?


WireShark bagus dalam menunjukkan kepada saya setiap paket yang dikirim atau diterima melalui antarmuka.

Tapi saya benar-benar berusaha mencari cara untuk memonitor lalu lintas di mesin. Dengan kata lain, daripada melihat:

00-03-FF-54-D8-DF => 00-03-FF-54-D8-DE  TCP  10.0.0.11:32532 => 10.0.0.12:80
00-03-FF-54-D8-DE => 00-03-FF-54-D8-DF  TCP  10.0.0.12:80 => 10.0.0.11:32532
00-03-FF-54-D8-DF => 00-03-FF-54-D8-DE  TCP  10.0.0.11:32532 => 10.0.0.12:80
00-03-FF-54-D8-DE => 00-03-FF-54-D8-DF  TCP  10.0.0.12:80 => 10.0.0.11:32532
00-03-FF-54-D8-DF => 00-03-FF-54-D8-DE  TCP  10.0.0.11:32532 => 10.0.0.12:80
00-03-FF-54-D8-DE => 00-03-FF-54-D8-DF  TCP  10.0.0.12:80 => 10.0.0.11:32532
00-03-FF-54-D8-DF => 00-03-FF-54-D8-DE  TCP  10.0.0.11:32532 => 10.0.0.12:80
00-03-FF-54-D8-DE => 00-03-FF-54-D8-DF  TCP  10.0.0.12:80 => 10.0.0.11:32532
00-03-FF-54-D8-DF => 00-03-FF-54-D8-DE  TCP  10.0.0.11:32532 => 10.0.0.12:80
00-03-FF-54-D8-DE => 00-03-FF-54-D8-DF  TCP  10.0.0.12:80 => 10.0.0.11:32532

Saya ingin melihat:

00-03-FF-54-D8-DF => 00-03-FF-54-D8-DE  TCP  10.0.0.11:32532 => 10.0.0.12:80  5
00-03-FF-54-D8-DE => 00-03-FF-54-D8-DF  TCP  10.0.0.12:80 => 10.0.0.11:32532  5

Dan jika memungkinkan, bahkan logika yang lebih canggih:

Listen MAC        Listen Addr     Source MAC        Source Addr     Proto  In  Out
================= ============    ================= =============== =====  ==  ==
00-03-FF-54-D8-DE 10.0.0.12:80 <= 00-03-FF-54-D8-DF 10.0.0.11:32532 TCP    5   5
00-03-FF-54-D8-DE 10.0.0.12:80 <= 00-03-FF-54-D8-D3 10.0.0.42:53213 TCP    5   5

Dengan kata lain, agregasi dan pengelompokan.

Bagaimana saya dapat menggunakan WireShark untuk memonitor lalu lintas, daripada menangkap paket?


4
2017-09-24 14:05


asal


Kecuali Anda punya alasan lain untuk itu, Anda mungkin akan lebih beruntung jika Anda menghapus bagian wireshark dari pertanyaan itu. Saya berasumsi Anda benar-benar hanya ingin memonitor lalu lintas yang berfungsi dan mungkin atau mungkin tidak ada hubungannya dengan wireshark. Ada monitor lalu lintas seperti yang Anda inginkan, beberapa dengan antarmuka grafis tetapi karena orang-orang berdiri mungkin tidak menyebutkannya. - hotei
Saya melihat Anda sedang memantau lalu lintas HTTP. Fiddler adalah program hebat untuk memantau lalu lintas HTTP. - Nick Berardi


Jawaban:


Wireshark adalah program yang luar biasa, tetapi ada alternatif freeware dan open source lainnya yang mungkin lebih mudah digunakan. Favorit saya saat ini adalah Monitor Jaringan Microsoft dan SmartSniff.

Menggunakan SmartSniff dalam mode ringkasan harus memberikan informasi yang Anda inginkan. Pilihan> Opsi Lanjutan> Mode Ringkasan: aktifkan; Pilihan> Opsi Lanjutan> Ambil informasi proses: aktifkan; Pilihan> Selesaikan Alamat IP: aktifkan.


5
2017-09-24 14:58



+1. Wow, SmartSniff sangat mengesankan. Ini dapat mendeteksi, dan menggunakan, metode yang berbeda dalam menangkap lalu lintas: raw socket, WinPCap, atau driver Monitor Jaringan Microsoft. WireShark bisa belajar sesuatu tentang kegunaan. - Ian Boyd


Bagaimana tentang

Statistics -> Conversations

jendela?

Anda dapat memiliki resolusi nama alamat dan acara menyaring percakapan.


2
2017-09-24 15:43





Wireshark terkenal karena kemampuannya yang kuat dalam menangkap lalu lintas dan menganalisis protokol. Tetapi jika Anda perlu memiliki tampilan grafis dari lalu lintas atau memantau kinerja jaringan, Anda perlu membeli Pilot yang merupakan alat analisis yang kuat.

Namun seperti yang dikatakan di atas, ada beberapa freeware yang bisa Anda gunakan selain Wireshark. Saya baru-baru ini menemukan yang sangat bagus di PC World: Capsa.

Sangat bagus, pantas untuk dicoba.


2
2017-09-25 02:41



+1 untuk Capsa. Perangkat lunak yang kuat, komprehensif, dirancang dengan sangat baik. Saya telah menambahkannya ke toolkit saya. Terima kasih! - boot13