Administratorzy sieci napotykają wiele problemów z siecią podczas wykonywania swojej pracy. W przypadku podejrzanego działania lub konieczności oceny konkretnego segmentu sieci przydatne mogą być narzędzia do analizy protokołów, takie jak Wireshark. Szczególnie użyteczną funkcją jest filtrowanie pakietów sieciowych według adresów IP.
Jeśli jesteś użytkownikiem po raz pierwszy, samodzielne skonfigurowanie kroków może być nieco trudne. Na szczęście przygotowaliśmy ten ostateczny przewodnik na temat filtrowania według adresu IP w Wireshark. Odejdziesz, znając różnicę między dwoma językami filtrowania, poznając nowe łańcuchy filtrów i wiele więcej.
Najlepsze jest to, że będziesz potrzebować pomocy tylko w wykonaniu tych kroków za pierwszym razem. Każdy kolejny występ to bułka z masłem!
Co to jest Wireshark?
Wireshark to analizator pakietów sieciowych, który od dłuższego czasu dominuje w branży. To było świetne do momentu odłożenia na półkę wielu podobnych narzędzi, w tym Monitora sieci Microsoft. Dwie główne cechy, które rozsławiły Wireshark to jego elastyczność i łatwość użytkowania.
Analizatory pakietów sieciowych to narzędzia, które przechwytują i analizują ruch danych z możliwie największą szczegółowością w określonych kanałach komunikacyjnych. Służą jako najlepsze narzędzia diagnostyczne dla systemów wbudowanych.
Wireshark oferuje najwyższej klasy zdolność do filtrowania pakietów podczas przechwytywania i analizy na różnych poziomach złożoności. Dzięki temu jest równie wygodny dla początkujących, jak i dla profesjonalistów zajmujących się monitorowaniem sieci. Wireshark również pozyskuje i analizuje ruch z różnych innych analizatorów protokołów, ułatwiając przeglądanie przeszłego ruchu w określonych momentach w przeszłości.
Przed Wireshark narzędzia do śledzenia sieci były bardzo drogie lub zastrzeżone. To wszystko zmieniło się wraz z pojawieniem się tej aplikacji. Oprogramowanie jest typu open source i obsługuje wszystkie główne platformy. Przyniosło to Wireshark duże wsparcie społeczności, co zdjęło koszty jako barierę i stworzyło miejsce na szeroki zakres możliwości szkoleniowych.
Oto dlaczego ludzie mogą chcieć używać Wireshark:
- Rozwiązywanie problemów z siecią
- Badanie problemów związanych z bezpieczeństwem
- Badanie aplikacji sieciowych
- Implementacje protokołu debugowania
- Nauka o wewnętrznych protokołach sieciowych
Wireshark można pobrać bezpłatnie. Jeśli nadal nie masz, możesz to zrobić tutaj. Wystarczy pobrać plik wykonywalny i kliknąć plik, aby go zainstalować.
Interfejs użytkownika Wireshark
Po pobraniu i zainstalowaniu Wireshark, możesz uzyskać do niego dostęp z lokalnej powłoki lub menedżera okien. Jedną z pierwszych rzeczy, które musisz zrobić, jest wybranie interfejsu sieciowego z listy sieci na kartach komputerowych.
Możesz kliknąć „Capture”, a następnie „Interfaces” z menu i wybrać odpowiednią opcję.
Główne okno interfejsu Wireshark składa się z kilku części:
- Menu – służy do uruchamiania akcji
- Główny pasek narzędzi – szybki dostęp do elementów, których często używasz z menu
- Pasek narzędzi filtrów – tutaj możesz ustawić filtry wyświetlania
- Panel listy pakietów – przechwycone podsumowania pakietów
- Okienko szczegółów – więcej informacji o wybranym pakiecie z linii pakietów
- Panel bajtów – dane z pakietu panelu z listą pakietów, podświetlające wybrane pole w tym panelu
- Pasek stanu — przechwycone dane i informacje o bieżącym stanie programu
Możesz kontrolować listy pakietów i poruszać się po szczegółach całkowicie za pomocą klawiatury. Tutaj znajduje się tabela przedstawiająca typowe polecenia skrótów klawiaturowych.
Jak dodawać filtry w Wireshark?
Pasek narzędzi „Filtr” umożliwia dostosowywanie i uruchamianie nowych filtrów wyświetlania.
Aby tworzyć i edytować filtry przechwytywania, przejdź do „Zarządzaj filtrami przechwytywania” z menu zakładek lub przejdź do „Przechwytywanie”, a następnie „Filtry przechwytywania” z menu głównego.
Aby tworzyć i edytować filtry wyświetlania, wybierz „Zarządzaj filtrami wyświetlania” z menu zakładek lub przejdź do menu głównego i wybierz „Analizuj”, a następnie „Filtry wyświetlania”.
Zobaczysz sekcję wprowadzania filtra z zielonym tłem. Jest to obszar, w którym wprowadzasz i edytujesz ciągi filtrów wyświetlania. W tym miejscu możesz również zobaczyć aktualnie zastosowany filtr. Wystarczy kliknąć nazwę filtra lub dwukrotnie kliknąć ciąg, aby go edytować.
Podczas pisania system sprawdzi systemowy łańcuch filtru. Jeśli wprowadzisz niepoprawny, tło zmieni się z zielonego na czerwony. Zawsze naciskaj przycisk „Zastosuj” lub „Enter”, aby zastosować ciąg filtra.
Możesz dodać nowy filtr, klikając przycisk „Dodaj”, który jest czarnym znakiem plus na jasnoszarym tle. Innym sposobem dodania nowego filtra jest kliknięcie prawym przyciskiem myszy obszaru przycisku filtra. Aby usunąć filtr, kliknij przycisk minus. Przycisk minus będzie wyszarzony, jeśli nie zostanie wybrany żaden filtr.
Jak filtrować według adresu IP w Wireshark?
Doskonałą cechą Wireshark jest to, że pozwala filtrować pakiety według adresów IP. Wystarczy wykonać poniższe czynności, aby uzyskać instrukcje, jak to zrobić:
- Zacznij od kliknięcia przycisku plusa, aby dodać nowy filtr wyświetlania.
- Uruchom następującą operację w polu Filtr: ip.addr==[adres IP] i naciśnij Enter.
- Zauważ, że ścieżka listy pakietów filtruje teraz tylko ruch, który przechodzi do (miejsca docelowego) i od (źródła) wpisanego adresu IP.
- Aby wyczyścić filtr, kliknij przycisk „Wyczyść” na pasku narzędzi Filtr.
Źródłowy adres IP
Możesz ograniczyć widok pakietów do tych z określonymi źródłowymi adresami IP, które pojawiają się w tym filtrze. Po prostu uruchom następujące polecenie w polu filtru i naciśnij Enter:
ip.src == [adres IP]
Docelowy adres IP
Możesz zastosować filtry miejsc docelowych, aby ograniczyć widok pakietów do tych z określonym docelowym adresem IP wyświetlanym w filtrze.
Polecenie wygląda następująco:
ip.dst == [adres IP]
Filtr przechwytywania a filtr wyświetlania
Wireshark obsługuje dwa języki filtrowania: filtry przechwytywania i filtry wyświetlania. Pierwsza służy do filtrowania podczas przechwytywania pakietów. Ten ostatni filtruje wyświetlane pakiety. Dzięki filtrom wyświetlania możesz skupić się na pakietach, które Cię interesują i ukryć te, które nie są obecnie ważne. Możesz wyświetlać pakiety na podstawie kilku czynników:
- Protokół
- Obecność w terenie
- Wartości pól
- Porównanie w terenie
Filtry wyświetlania używają składni operatora logicznego i pól opisujących pakiety, które filtrujesz. Po utworzeniu kilku filtrów wyświetlania ich napisanie staje się łatwe. Filtry przechwytywania są nieco mniej intuicyjne, ponieważ są tajemnicze.
Oto przegląd funkcji i zastosowań każdego filtra:
Filtry przechwytywania:
- Są ustawiane przed rozpoczęciem przechwytywania ruchu
- Nie można zmienić podczas przechwytywania ruchu
- Używany do przechwytywania określonego rodzaju ruchu
Filtry wyświetlania:
- Zmniejszają pakiety wyświetlane w Wireshark
- Można dostosować podczas przechwytywania ruchu
- Służy do ukrywania ruchu w celu oceny określonych rodzajów ruchu
Aby uzyskać więcej informacji na temat filtrowania podczas przechwytywania, odwiedź tę stronę.
Dodatkowe często zadawane pytania
Jak filtrować Wireshark według adresu URL?
Możesz wyszukiwać podane adresy URL HTTP podczas przechwytywania w Wireshark, używając następującego ciągu filtra:
http zawiera „[URL]. “
Pamiętaj, że nie możesz używać operatorów „zawiera” w polach atomowych (liczby, adresy IP).
Jak filtrować Wireshark według numeru portu?
Możesz użyć następującego polecenia, aby filtrować Wireshark według numeru portu:
Tcp.port eq [numer portu].
Jak działa Wireshark?
Wireshark to narzędzie do wykrywania pakietów sieciowych. Analizuje pakiety sieciowe, pobierając połączenie internetowe i rejestrując pakiety, które przez nie podróżują. Następnie dostarcza użytkownikom informacje o tych pakietach, w tym ich pochodzenie, miejsce docelowe, zawartość, protokoły, wiadomości itp.
Idąc 007 na Network Sniffing
Dzięki Wireshark inżynierowie i administratorzy sieci nie muszą już martwić się o brak narzędzi diagnostycznych w przypadku istotnych problemów z siecią. Łatwo dostępne i wygodne funkcje programu znacznie ułatwiają ocenę podatności sieci i rozwiązywanie problemów.
Po przeczytaniu naszego artykułu powinieneś być w stanie odróżnić różne opcje filtrowania w programie związane z filtrowaniem IP. Nauczyłeś się również podstawowych wyrażeń łańcuchowych do filtrowania według adresu IP i nie tylko. Mamy nadzieję, że pomoże to rozwiązać wszelkie problemy z siecią, z którymi możesz się spotkać.
Jakich innych funkcji często używasz w Wireshark? Co Twoim zdaniem wyróżnia Wireshark na tle konkurencji? Podziel się swoimi przemyśleniami w sekcji komentarzy poniżej.