Zo krijg je inzicht in het dataverbruik in je thuisnetwerk

Door: Toon van Daele | 24 november 2016 15:19

How To

Inhoudsopgave

  1. Inleiding
  2. Pagina 2
  3. Pagina 3
  4. Pagina 4

Hub

Mocht je toevallig nog een ‘hub’ in de kast hebben liggen of je tikt er één op de kop via Marktplaats of eBay, dan kun je die alvast – tijdelijk – inzetten. Immers, in tegenstelling tot een switch wordt het verkeer dat één poort binnenkomt door een (domme) hub altijd naar alle andere poorten gestuurd in plaats van alleen naar de bedoelde poort. Het komt erop neer dat je het gemonitorde toestel en je Wireshark-machine via die hub met de rest van je netwerk verbindt. Houd er wel rekening mee dat een dual-speed hub (10/100 Mb) geen unicast-verkeer tussen een 10Mb- en een 100Mb-poort verstuurt. Dat maakt dat je in dit geval de snelheid van de ethernetadapter op je Wireshark-machine op dezelfde snelheid zal moeten instellen als die van het gemonitorde apparaat. Dat kan eventueel via het Apparaatbeheer, waar je de Eigenschappen van de netwerkadapter oproept en het tabblad Geavanceerd opent.

In tegenstelling tot een (slimme) switch gaan datapakketjes bij een hub langs alle poorten naar buiten.

Managed switch

Een makkelijker oplossing is een switch die over een functie beschikt waarbij alle data die naar een bepaalde switchpoort gaan, automatisch naar een andere poort worden gedupliceerd. Deze functie wordt gewoonlijk port mirroring, port monitoring of span (Cisco) genoemd. Je vindt zo’n ‘managed switch’ al vanaf circa 35 euro (zoals de TP-LINK Easy Smart 8-Port Gigabit Switch TL-SG108E). De manier van werken mag duidelijk zijn: je hangt het te monitoren apparaat aan de poort die wordt gespiegeld en aan de ‘spiegelpoort’ koppel je dan je Wireshark-machine. Klaar!

Port mirroring geactiveerd op een managed switch: ook Wireshark ontvangt nu alle dataverkeer.

Hosts: alternatieven

Naast een hub of managed switch zijn er weliswaar nog andere mogelijkheden om dataverkeer van andere hosts te onderscheppen, maar die zijn minder voor de hand liggend.

Het is bijvoorbeeld mogelijk je Wireshark-machine in een MITM-opzet op te nemen (zie ook boven, bij Burp). Dat kan zowel hardwarematig als softwarematig. In het eerste geval heb je twee netwerkadapters nodig die je als een transparante bridge configureert. Softwarematig kan dat op een eenvoudige manier met behulp van tools als Ettercap (een duidelijk stappenplan op basis van ‘ARP poisoning’ vind je onder meer hier). Tot slot kun je ook nog een (passieve) ‘netwerktap’ aanschaffen of er eventueel zelf een maken. Een prima startpunt voor een eigen, basaal ontwerp is dit filmpje, waarin heel mooi het onderliggende werkingsprincipe wordt toegelicht.

De typische werking van een passieve netwerktap: het uitgaand en binnenkomend verkeer van de host wordt ongemerkt omgeleid.

Weergavefilters

Je weet inmiddels hoe je met Wireshark het netwerkverkeer van willekeurige hosts kunt onderscheppen, zowel draadloos als bekabeld. We kunnen ons wel voorstellen dat je al snel verdwaald raakt in de talloze datapakketten die Wireshark in een niet-aflatend tempo op je scherm zet. We hebben hier niet de ruimte om alle mogelijkheden en functies van deze tool te bespreken – daar is een dik boek voor nodig – maar we geven je wel enkele tips mee om snel op interessante data in te zoomen.

Zo kun je in Wireshark weergavefilters (display filters) instellen. Het komt er dan op neer dat Wireshark weliswaar nog altijd alle datapakketjes onderschept, maar de ongewenste op het scherm wegfiltert. De snelste manier om zo’n weergavefilter in te stellen is via het balkje onder de knoppenbalk. Tik je hier bijvoorbeeld tcp in, dan kleurt het balkje groen (als indicatie dat de syntax correct is) en krijg je alleen nog pakketjes van het TCP-protocol te zien. Rechts op de statusbalk lees je af hoeveel pakketjes er zijn onderschept en hoeveel ervan worden weergegeven. Tik je tcp. in, dan kleurt het balkje rood doordat de syntax niet correct is. Of liever, niet volledig, want Wireshark verwacht bijkomende parameters; gelukkig krijg je hiervoor meteen tig suggesties aangereikt via een uitklapmenu. Rechts van het balkje tref je trouwens nog de knop Expression aan; hiermee kun je nog complexere filterregels samenstellen.

Wireshark heeft een ongelooflijk aantal weergavefilters aan boord.

0 Reactie(s) op: Zo krijg je inzicht in het dataverbruik in je thuisnetwerk

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • Er zijn nog geen reacties op dit artikel.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.