Как да филтрирате по IP в Wireshark

Администраторите на мрежата срещат широк спектър от мрежови проблеми, докато вършат работата си. Всеки път, когато има подозрително действие или необходимост от оценка на определен мрежов сегмент, инструментите за анализ на протоколи, като Wireshark, могат да бъдат полезни. Една особено полезна функция е филтрирането на мрежови пакети по IP адреси.

Как да филтрирате по IP в Wireshark

Ако сте потребител за първи път, може да ви се стори малко предизвикателно да конфигурирате стъпките за това сами. За щастие, ние събрахме това най -добро ръководство за това как да филтрирате по IP в Wireshark. Ще си тръгнете, знаейки разликата между двата му филтриращи езика, научавайки нови филтърни низове и много други.

Най -хубавото е, че ще имате нужда само от помощ при изпълнението на тези стъпки за първи път. Всяко следващо изпълнение ще бъде парче торта!

Какво е Wireshark?

Wireshark е анализатор на мрежови пакети, доминиращ в индустриалното пространство от доста време. Беше страхотно до момента, в който да отложим много подобни инструменти, включително Microsoft Network Monitor. Двете основни характеристики, които направиха Wireshark известен, са неговата гъвкавост и лекота на използване.

Анализаторите на мрежови пакети са инструменти, които улавят и анализират трафика на данни възможно най -подробно в конкретни комуникационни канали. Те служат като най -добрите диагностични инструменти за вградени системи.

Wireshark идва с първокласна възможност за филтриране на пакети по време на улавяне и при анализ с различни нива на сложност. Това го прави еднакво удобен както за първоначалните, така и за професионалистите по наблюдение на мрежата. Wireshark също поглъща и анализира трафика от различни други анализатори на протоколи, което прави лесен преглед на миналия трафик в определени моменти от миналото.

Преди Wireshark инструментите за проследяване на мрежата са били много скъпи или собственически. Всичко се промени с появата на това приложение. Софтуерът е с отворен код и поддържа всички основни платформи. Това донесе на Wireshark много подкрепа от общността, което свали цената като бариера и направи място за широк спектър от възможности за обучение.

Ето защо хората може да искат да използват Wireshark:

  • Отстраняване на проблеми с мрежата
  • Разглеждане на проблеми със сигурността
  • Разглеждане на мрежови приложения
  • Отстраняване на грешки при прилагане на протокол
  • Научете за вътрешните мрежови протоколи

Wireshark е безплатен за изтегляне. В случай, че все още не сте го направили, можете да го направите тук. Просто изтеглете изпълнимия файл и кликнете върху файла, за да го инсталирате.

Потребителският интерфейс на Wireshark

След като изтеглите и инсталирате Wireshark, можете да получите достъп до него от вашата локална обвивка или мениджър на прозорци. Едно от първите неща, които трябва да направите, е да изберете мрежов интерфейс от списъка с мрежи на адаптерите на компютъра.

Можете да кликнете върху „Заснемане“, след това върху „Интерфейси“ от менюто и да изберете подходящата опция.

Главният прозорец в интерфейса на Wireshark се състои от няколко части:

  • Меню - използва се за стартиране на действия
  • Основна лента с инструменти - бърз достъп до елементи, които често използвате от менюто
  • Лента с инструменти за филтриране - тук можете да зададете филтри за показване
  • Панел със списък на пакети - събрани резюмета на пакети
  • Панел с подробности - повече информация за избрания пакет от лентата за пакети
  • Байтов панел - данни от пакета на панела от списък с пакети, подчертаващи избраното поле в този панел
  • Лента на състоянието - уловени данни и текуща информация за състоянието на програмата

Можете да контролирате списъците с пакети и да навигирате изцяло в детайлите с клавиатурата си. Тук има таблица, показваща общи команди за клавишни комбинации.

Как да добавите филтри в Wireshark?

Лентата с инструменти „Филтър“ е мястото, където можете да персонализирате и стартирате нови филтри за показване.

За да създадете и редактирате филтри за улавяне, отидете на „Управление на филтри за улавяне“ от менюто с отметки или отворете „Заснемане“, след това „Филтри за улавяне“ от главното меню.

За да създадете и редактирате дисплейни филтри, изберете „Управление на филтрите на дисплея“ от менюто с отметки или отидете в главното меню и изберете „Анализ“, след това „Филтри на дисплея“.

Ще видите раздел за въвеждане на филтър със зелен фон. Това е областта, в която въвеждате и редактирате низовете на филтри на дисплея. Тук също можете да видите прилагания понастоящем филтър. Просто кликнете върху името на филтъра или щракнете двукратно върху низа, за да го редактирате.

Докато пишете, системата ще извърши системна проверка на филтърния низ. Ако въведете невалиден, фонът става зелен от червен. Винаги натискайте бутона „Прилагане“ или клавиша „Въвеждане“, за да приложите филтърния низ.

Можете да добавите нов филтър, като кликнете върху бутона „Добавяне“, който е черен знак плюс на светлосив фон. Друг начин да добавите нов филтър е да щракнете с десния бутон върху областта на бутона на филтъра. За да премахнете филтър, щракнете върху бутона минус. Бутонът минус ще бъде затъмнен, ако не е избран филтър.

Как да филтрирам по IP адрес в Wireshark?

Отлична характеристика на Wireshark е, че ви позволява да филтрирате пакети по IP адреси. Просто следвайте стъпките по -долу за инструкции как да направите това:

  1. Започнете, като щракнете върху бутона плюс, за да добавите нов филтър на дисплея.

  2. Изпълнете следната операция в полето Филтър: ip.addr == [IP адрес] и натиснете Enter.

  3. Забележете, че сега Pane List Lane филтрира само трафика, който отива към (дестинация) и от (източник) IP адреса, който сте въвели.

  4. За да изчистите филтъра, щракнете върху бутона „Изчистване“ в лентата с инструменти Филтър.

Източник IP

Можете да ограничите изгледа на пакети до тези с конкретни източници IP адреси, които се появяват в този филтър. Просто изпълнете следната команда във филтърното поле и натиснете Enter:

ip.src == [IP адрес]

Дестинация IP

Можете да приложите филтри за дестинация, за да ограничите изгледа на пакети до тези с конкретен целеви IP адрес, показан във филтъра.

Командата е следната:

ip.dst == [IP адрес]

Филтър за улавяне срещу филтър за показване

Wireshark поддържа два езика за филтриране: филтри за улавяне и филтри за показване. Първият се използва за филтриране при улавяне на пакети. Последните филтри показват пакети. С филтрите за показване можете да се съсредоточите върху пакетите, които ви интересуват, и да скриете тези, които в момента не са важни. Можете да показвате пакети въз основа на няколко фактора:

  • Протокол
  • Присъствие на полето
  • Стойности на полето
  • Сравнение на полето

Филтрите за показване използват синтаксис на логически оператор и полета, които описват пакетите, които филтрирате. След като създадете няколко филтъра на дисплея, става лесно да ги напишете. Филтрите за улавяне са малко по -малко интуитивни, тъй като са загадъчни.

Ето преглед на функциите и употребите на всеки филтър:

Филтри за улавяне:

  • Те се задават, преди да започнат да улавят трафика
  • Невъзможно промяна по време на улавяне на трафика
  • Използва се за улавяне на конкретен тип трафик

Дисплейни филтри:

  • Те намаляват пакетите, които се показват в Wireshark
  • Може да се персонализира по време на улавяне на трафика
  • Използва се за скриване на трафика за оценка на конкретни видове трафик

За повече информация относно филтрирането при заснемане посетете тази страница.

Допълнителни често задавани въпроси

Как да филтрирам Wireshark по URL адрес?

Можете да търсите дадени HTTP URL адреси при заснемане в Wireshark, като използвате следния филтриращ низ:

http съдържа „[URL]. „

Обърнете внимание, че не можете да използвате операторите „contains“ в атомни полета (числа, IP адреси.)

Как да филтрирам Wireshark по номер на порт?

Можете да използвате следната команда, за да филтрирате Wireshark по номер на порт:

Tcp.port eq [номер на порт].

Как работи Wireshark?

Wireshark е инструмент за намиране на мрежови пакети. Той анализира мрежовите пакети, като използва интернет връзка и регистрира пакети, които преминават през нея. След това той предоставя на потребителите информацията за тези пакети, включително техния произход, местоназначение, съдържание, протоколи, съобщения и т.н.

Отидете на 007 за мрежово нюхане

Благодарение на Wireshark мрежовите инженери и администратори вече не трябва да се притесняват, че ще пропуснат диагностичните инструменти за съществени мрежови проблеми. Лесно достъпните и удобни функции на програмата го правят много по -лесен за оценка на мрежовите уязвимости и извършване на отстраняване на неизправности.

След като прочетете нашата статия, сега трябва да можете да кажете разликата между различните опции за филтриране в програмата, свързани с IP филтрирането. Научихте и основните низови изрази за филтриране по IP и много други. Надяваме се, че това ще помогне за решаването на всякакви мрежови проблеми, които може да срещнете.

Какви други функции често използвате в Wireshark? С какво според вас Wireshark се отличава от конкуренцията? Споделете вашите мисли в секцията за коментари по -долу.

скорошни публикации