我想使用wireshark来检查哪些网络用户正在使用端口59666进行下载。有可能使用wireshark吗?我该如何开始这样做?
使用wireshark可以做到这一点,但可能需要调整网络拓扑才能实现。
首先,你需要决定在哪里运行wireshark。
Wireshark只能告诉你它能看到的网络数据包。为了提供帮助,wireshark可以将网卡置于混乱模式,但如果网卡连接到交换机,交换机将不会向您发送其他网络数据包,因此wireshark无法报告这些数据包。
如果你的用户使用wifi连接,那么你可以在wifi适配器上运行wireshark,并检查该wifi网络上所有用户的所有wifi网络数据包。你也可以在作为路由器/防火墙的计算机上安装wireshark,并检查那里的所有数据包。
最后一个选项取决于您的交换机硬件。在托管交换机上,通常可以将所有网络流量复制到另一个端口。这将允许您将计算机连接到此端口,然后在此网络连接上运行wireshark。
当您接收到wireshark跟踪时,为您感兴趣的端口设置一个筛选器,然后等待用户发送数据包。检查数据包,您将看到源IP地址。您现在需要将此IP地址转换为物理计算机(DNS/DHCP服务器可能对此有所帮助)。
根据您的计算机环境,追踪到一台计算机可能无法确定责任人。有人可能在后台留下了一条洪流,其他人可能登录并使用了这台机器。