Wireshark reprezentuje najczęściej używany na świecie analizator protokołów. Korzystając z niego, możesz sprawdzić wszystko, co dzieje się w Twojej sieci, rozwiązywać różne problemy, analizować i filtrować ruch sieciowy za pomocą różnych narzędzi itp.
Jeśli chcesz dowiedzieć się więcej o Wireshark i sposobie filtrowania według portu, czytaj dalej.
Czym dokładnie jest filtrowanie portów?
Filtrowanie portów reprezentuje sposób filtrowania pakietów (wiadomości z różnych protokołów sieciowych) na podstawie ich numeru portu. Te numery portów są używane przez protokoły TCP i UDP, najbardziej znane protokoły transmisji. Filtrowanie portów stanowi formę ochrony komputera, ponieważ dzięki filtrowaniu portów możesz zezwolić na określone porty lub zablokować je, aby uniemożliwić różne operacje w sieci.
Istnieje ugruntowany system portów wykorzystywanych do różnych usług internetowych, takich jak przesyłanie plików, poczta e-mail itp. W rzeczywistości istnieje ponad 65 000 różnych portów. Istnieją w trybie „zezwól” lub „zamknięty”. Niektóre aplikacje w Internecie mogą otwierać te porty, przez co komputer jest bardziej narażony na ataki hakerów i wirusów.
Używając Wireshark, możesz filtrować różne pakiety na podstawie ich numeru portu. Dlaczego chcesz to zrobić? Ponieważ w ten sposób możesz odfiltrować wszystkie pakiety, których nie chcesz na swoim komputerze z różnych powodów.
Jakie są ważne porty?
Istnieje 65 535 portów. Można je podzielić na trzy różne kategorie: porty od 0 do 1023 są dobrze znanymi portami i są przypisane do wspólnych usług i protokołów. Następnie od 1024 do 49151 to porty zarejestrowane – są one przypisywane przez ICANN do konkretnej usługi. A porty publiczne to porty od 49152-65535, mogą być używane przez dowolną usługę. Dla różnych protokołów używane są różne porty.
Jeśli chcesz poznać najpopularniejsze z nich, zapoznaj się z poniższą listą:
| Numer portu | Nazwa serwisu | Protokół |
| 20, 21 | Protokół przesyłania plików – FTP | TCP |
| 22 | Bezpieczna powłoka – SSH | TCP i UDP |
| 23 | Telnet | TCP |
| 25 | Prosty protokół przesyłania poczty | TCP |
| 53 | System nazw domen – DNS | TCP i UDP |
| 67/68 | Protokół dynamicznej konfiguracji hosta – DHCP | UDP |
| 80 | Protokół przesyłania hipertekstu – HTTP | TCP |
| 110 | Protokół pocztowy – POP3 | TCP |
| 123 | Protokół czasu sieciowego – NTP | UDP |
| 143 | Protokół dostępu do wiadomości internetowych (IMAP4) | TCP i UDP |
| 161/162 | Prosty protokół zarządzania siecią – SNMP | TCP i UDP |
| 443 | HTTP z Secure Sockets Layer – HTTPS (HTTP przez SSL/TLS) | TCP |
Analiza w Wireshark
Proces analizy w Wireshark reprezentuje monitorowanie różnych protokołów i danych w sieci.
Zanim zaczniemy proces analizy, upewnij się, że znasz rodzaj ruchu, który chcesz przeanalizować oraz różne typy urządzeń, które emitują ruch:
- Czy masz obsługiwany tryb promiscuous? Jeśli to zrobisz, umożliwi to urządzeniu zbieranie pakietów, które nie są pierwotnie przeznaczone dla Twojego urządzenia.
- Jakie masz urządzenia w swojej sieci? Należy pamiętać, że różne rodzaje urządzeń będą przesyłać różne pakiety.
- Jaki rodzaj ruchu chcesz analizować? Rodzaj ruchu będzie zależał od urządzeń w Twojej sieci.
Umiejętność korzystania z różnych filtrów jest niezwykle ważna dla przechwytywania zamierzonych pakietów. Filtry te są używane przed procesem przechwytywania pakietów. Jak oni pracują? Ustawiając konkretny filtr, natychmiast usuwasz ruch, który nie spełnia podanych kryteriów.
W Wireshark do tworzenia różnych filtrów przechwytywania używana jest składnia zwana składnią Berkley Packet Filter (BPF). Ponieważ jest to składnia najczęściej używana w analizie pakietów, ważne jest, aby zrozumieć, jak to działa.
Składnia Berkley Packet Filter przechwytuje filtry oparte na różnych wyrażeniach filtrujących. Wyrażenia te składają się z jednego lub kilku prymitywów, a prymitywy składają się z identyfikatora (wartości lub nazw, które próbujesz znaleźć w różnych pakietach), po których następuje jeden lub kilka kwalifikatorów.
Kwalifikacje można podzielić na trzy różne rodzaje:
- Typ — za pomocą tych kwalifikatorów określasz, co reprezentuje identyfikator. Kwalifikatory typu to port, net i host.
- Dir (kierunek) – te kwalifikatory służą do określenia kierunku transferu. W ten sposób „src” oznacza źródło, a „dst” oznacza miejsce docelowe.
- Protokół (protocol) – za pomocą kwalifikatorów protokołu możesz określić konkretny protokół, który chcesz przechwycić.
Możesz użyć kombinacji różnych kwalifikatorów, aby odfiltrować wyszukiwanie. Możesz także użyć operatorów: na przykład możesz użyć operatora konkatenacji (&/and), operatora negacji (!/nie) itp.
Oto kilka przykładów filtrów przechwytywania, których możesz użyć w Wireshark:
| Filtry | Opis |
| host 192.168.1.2 | Cały ruch związany z 192.168.1.2 |
| port TCP 22 | Cały ruch związany z portem 22 |
| src 192.168.1.2 | Cały ruch pochodzący z 192.168.1.2 |
Możliwe jest tworzenie filtrów przechwytywania w polach nagłówka protokołu. Składnia wygląda tak: proto[przesunięcie:rozmiar(opcjonalne)]=wartość. Tutaj proto reprezentuje protokół, który chcesz filtrować, offset reprezentuje pozycję wartości w nagłówku pakietu, rozmiar reprezentuje długość danych, a wartość to dane, których szukasz.
Wyświetl filtry w Wireshark
W przeciwieństwie do filtrów przechwytywania, filtry wyświetlania nie odrzucają żadnych pakietów, po prostu ukrywają je podczas przeglądania. To dobra opcja, ponieważ po odrzuceniu pakietów nie będziesz w stanie ich odzyskać.
Filtry wyświetlania służą do sprawdzania obecności określonego protokołu. Na przykład, jeśli chcesz wyświetlić pakiety zawierające określony protokół, możesz wpisać nazwę protokołu w pasku narzędzi „Wyświetl filtr” programu Wireshark.
Inne opcje
Istnieje wiele innych opcji, których możesz użyć do analizy pakietów w Wireshark, w zależności od Twoich potrzeb.
- W oknie „Statystyki” w Wireshark znajdziesz różne podstawowe narzędzia, których możesz użyć do analizy pakietów. Na przykład możesz użyć narzędzia „Rozmowy”, aby przeanalizować ruch między dwoma różnymi adresami IP.
- W oknie „Informacje dla ekspertów” możesz analizować anomalie lub nietypowe zachowania w swojej sieci.
Filtrowanie według portu w Wireshark
Filtrowanie według portu w Wireshark jest łatwe dzięki pasku filtrów, który umożliwia zastosowanie filtra wyświetlania.
Na przykład, jeśli chcesz filtrować port 80, wpisz to w pasku filtrowania: „tcp.port == 80”. Możesz też wpisać „równ” zamiast „==”, ponieważ „eq” oznacza „równe”.
Możesz także filtrować wiele portów jednocześnie. || w tym przypadku używane są znaki.
Na przykład, jeśli chcesz filtrować porty 80 i 443, wpisz to w pasku filtrowania: „port.tcp == 80 || tcp.port == 443", lub "port tcp eq 80 || port tcp eq 443.”
Dodatkowe często zadawane pytania
Jak filtrować Wireshark według adresu IP i portu?
Istnieje kilka sposobów filtrowania Wireshark według adresu IP:
1. Jeśli interesuje Cię pakiet z określonym adresem IP, wpisz to w pasku filtra: „ip.adr == x.x.x.x.”
2. Jeśli interesują Cię pakiety pochodzące z określonego adresu IP, wpisz to w pasku filtra: „ip.src == x.x.x.x.”
3. Jeśli interesują Cię pakiety kierowane na konkretny adres IP, wpisz to w pasku filtra: „ip.dst == x.x.x.x.”
Jeśli chcesz zastosować dwa filtry, takie jak adres IP i numer portu, sprawdź następny przykład: „ip.adr == 192.168.1.199.&&tcp.port eq 443.” Ponieważ „&&” reprezentują symbole „i”, pisząc to, możesz filtrować wyszukiwanie według adresu IP (192.168.1.199) i numeru portu (tcp.port eq 443).
W jaki sposób Wireshark przechwytuje ruch w porcie?
Wireshark przechwytuje cały ruch sieciowy na bieżąco. Przechwyci cały ruch na portach i pokaże wszystkie numery portów w określonych połączeniach.
Jeśli chcesz rozpocząć przechwytywanie, wykonaj następujące kroki:
1. Otwórz „Wireshark”.
2. Wybierz „Przechwyć”.
3. Wybierz „Interfejsy”.
4. Wybierz „Rozpocznij”.
Jeśli chcesz skupić się na określonym numerze portu, możesz użyć paska filtrowania.
Jeśli chcesz zatrzymać przechwytywanie, naciśnij „Ctrl + E”.
Co to jest filtr przechwytywania dla opcji DHCP?
Opcja DHCP (Dynamic Host Configuration Protocol) reprezentuje rodzaj protokołu zarządzania siecią. Służy do automatycznego przydzielania adresów IP urządzeniom podłączonym do sieci. Korzystając z opcji DHCP, nie musisz ręcznie konfigurować różnych urządzeń.
Jeśli chcesz widzieć tylko pakiety DHCP w Wireshark, wpisz „bootp” w pasku filtrów. Dlaczego bootp? Ponieważ reprezentuje starszą wersję DHCP i obaj używają tych samych numerów portów – 67 i 68.
Dlaczego powinienem używać Wireshark?
Korzystanie z Wireshark ma wiele zalet, z których niektóre to:
1. To nic nie kosztuje – możesz analizować ruch sieciowy całkowicie za darmo!
2. Może być używany na różnych platformach – możesz używać Wireshark na Windows, Linux, Mac, Solaris itp.
3. Jest szczegółowy – Wireshark oferuje dogłębną analizę wielu protokołów.
4. Oferuje dane na żywo – dane te mogą być zbierane z różnych źródeł, takich jak Ethernet, Token Ring, FDDI, Bluetooth, USB itp.
5. Jest szeroko stosowany – Wireshark jest najpopularniejszym analizatorem protokołów sieciowych.
Wireshark nie gryzie!
Teraz dowiedziałeś się więcej o Wireshark, jego możliwościach i opcjach filtrowania. Jeśli chcesz mieć pewność, że możesz rozwiązywać i identyfikować wszelkiego rodzaju problemy z siecią lub sprawdzać dane przychodzące i wychodzące z sieci, zapewniając w ten sposób bezpieczeństwo, zdecydowanie powinieneś wypróbować Wireshark.
Czy kiedykolwiek używałeś Wireshark? Opowiedz nam o tym w sekcji komentarzy poniżej.