Bu normal Wireshark davranışı mı?

0

Wireshark'ı Windows'ta sanal bir makinede çalıştırıyorum. Wireshark, orada ağa erişen herhangi bir şey olmamasına rağmen, ağ etkinliğini rapor etmeye devam ediyor.

windows-xp networking wireshark

— tony_sid
kaynak

1

Bu, faaliyetin ne olduğunu belirlemek için portları, protokolleri ve paketleri incelemeniz gerekir. Bağlantı noktaları ve protokollerle başlayın; bu en kolayı. TCP, UDP, ICMP mi? Bilinen bir liman mı yoksa geçici bir liman mı?

— Synetech

Çoğunlukla bazı UDP ile TCP. Tüm yerel limanlar geçici limanlardır.

— tony_sid 5:11

1. Wireshark ayrıca her paketle birlikte üst seviye protokol adlarını (örn. DNS, NBNS, ARP) göstermelidir. Yoksa sadece "TCP" diyor ve başka bir şey yok mu? 2. Paketler hangi yönde hareket ediyor? 3. Adresler (IP, Ethernet) sanal makineninkiyle aynı mı? Ana makinenizin veya başka bir VM'nin trafiğini görebilmeniz için küçük bir olasılık var. 4. Are hem "geçici" aralığında limanlar? Eğer evet ise, P2P bir olasılıktır. (Ben BitTorrent trafiğini almaya devam uzun süre sonra ben istemci kapatın.)

— grawity

2

Windows, OSB'nin mDNS (Bonjour) bilgilerini sürekli yayınladığı gibi, NetBIOS düğümü bilgilerini de sürekli yayınlar.

— geekosaur
kaynak

Ancak, gerekmediğinde kapatabilirsiniz…

— Synetech

2

Bir ethernet ağınız ve IP çalıştıran herhangi bir ana bilgisayarınız varsa, ağı aktif olarak kullanmasanız bile, arada sırada ARP (Adres Çözüm Protokolü) mesajları göreceksiniz.

ARP, hangi IP adreslerinin ethernet adresleriyle (MAC) eşleştiğini bulmak için kullanılan protokoldür.

Örneğin:

Host 1: Who has 192.168.1.2?

Host 2: I have 192.168.1.2 and my MAC is aa:bb:cc:dd:ee:ff

Şimdi ana bilgisayar 1, hedefi olarak 192.168.1.2 olan herhangi bir paketin, aa: bb: cc: dd: ee: ff olan bir ethernet paketinde hedef olarak gönderilebileceğini bilir.

— Mark E. Haase
kaynak