Вопрос или проблема
Одна из моих машин, похоже, пытается подключиться к порту 22 на случайных хостах в интернете. Я хотел бы использовать Wireshark, чтобы определить, какая из моих машин является виновником. Я использовал такой фильтр захвата:
port 22 and not dst net 192.168.1.0 mask 255.255.255.0
Но моя сеть принимает SSH-подключения, поэтому она постоянно подвергается атаке попытками соединения с случайных хостов в интернете. Ответы на эти попытки соединения не фильтруются и их так много, что я не могу найти инициированные мной соединения.
Как я могу отфильтровать все пакеты, связанные с SSH-подключениями, которые я не инициировал?
Так же, как у пакетов есть два адреса, у них также есть два порта, по одному на каждом конце.
Поэтому вы можете комбинировать фильтры адресов и портов в конкретном направлении:
(src net 192.168.1.0/24 and dst port 22) or (dst net 192.168.1.0/24 and src port 22)
или, если вам нужно видеть только инициированные пакеты,
src net 192.168.1.0/24 and dst port 22
Ответ или решение
Чтобы отследить соединения, инициируемые вашими машинами, вы можете использовать Wireshark, мощный инструмент для сетевого анализа. В данной ситуации, когда вы хотите выявить, какие из ваших машин пытаются установить соединения на порт 22 (SSH) с внешними хостами, важным аспектом является правильная фильтрация трафика.
Фильтрация пакетов в Wireshark
1. Нахождение источника пакетов
Ваша задача заключается в том, чтобы отобразить только те соединения, которые вы инициируете. Для этого вам нужно фильтровать пакеты по IP-адресам и портам. Ваш первоначальный фильтр:
port 22 and not dst net 192.168.1.0 mask 255.255.255.0не совсем подходит, так как он включает в себя много ненужного трафика (ответы на соединения и случайные попытки подключений со стороны внешних хостов).
2. Определите фильтр для инициируемых соединений
Чтобы отследить только те пакеты, которые исходят от ваших машин и направляются на порт 22, вам следует использовать следующий фильтр:
src net 192.168.1.0/24 and dst port 22Этот фильтр указывает на то, что мы интересуемся только исходящими соединениями с ваших внутренних адресов (в данном случае из сети 192.168.1.0/24) на 22-й порт.
3. Опционально: Поиск ответов
Если вам нужно также увидеть ответы на эти соединения, вы можете воспользоваться следующим фильтром:
(src net 192.168.1.0/24 and dst port 22) or (dst net 192.168.1.0/24 and src port 22)Этот фильтр отобразит как исходящие запросы на SSH, так и ответы на них, что может помочь в анализе.
Советы по эффективному анализу
-
Настройка цветовых правил: Чтобы легче различать пакеты, вы можете настроить цветовые правила в Wireshark. Это поможет визуально отделять инициируемые соединения от других.
-
Использование временных меток: Обратите внимание на временные метки пакетов. Это поможет вам сопоставить моменты, когда вы инициировали соединение, с трафиком, который отображается в вашем захвате.
-
Фильтрация по протоколу: Если вы хотите еще больше сосредоточиться на SSH, можно добавить фильтрацию по протоколу, используя
ssh, что дополнительно снизит количество отображаемого трафика.
Заключение
Использование Wireshark для отслеживания сетевых соединений может быть сложной задачей, особенно в условиях активного трафика. Применение правильных фильтров и методов анализа критически важно для достижения нужных результатов. Следуя приведенным рекомендациям, вы сможете успешно идентифицировать инициируемые вами соединения на порт 22 и избежать затопления интерфейса ненужным трафиком.