Omrežni skrbniki se pri svojem delu srečujejo s številnimi težavami z omrežjem. Kadar koli pride do sumljivega dejanja ali potrebe po oceni določenega segmenta omrežja, lahko pridejo prav orodja za analitiko protokolov, kot je Wireshark. Posebno uporabna funkcija je filtriranje omrežnih paketov po naslovih IP.
Če ste prvič uporabnik, se vam bo morda zdelo nekoliko zahtevno, da sami konfigurirate korake za to. Na srečo smo sestavili ta končni vodnik o filtriranju po IP-ju v Wiresharku. Odšli boste, ko boste poznali razliko med dvema jezikoma za filtriranje, se naučili novih filtrirnih nizov in še veliko več.
Najboljša stvar je, da boste potrebovali pomoč le pri izvedbi teh korakov prvič. Vsaka naslednja predstava bo prava kos!
Kaj je Wireshark?
Wireshark je analizator omrežnih paketov, ki že nekaj časa prevladuje v industrijskem prostoru. Do te točke, ko je bilo odloženo veliko podobnih orodij, vključno z Microsoftovim omrežnim monitorjem, je bilo odlično. Dve glavni značilnosti, zaradi katerih je Wireshark postal znan, sta njegova prilagodljivost in enostavna uporaba.
Analizatorji omrežnih paketov so orodja, ki zajamejo in analizirajo podatkovni promet čim bolj podrobno v določenih komunikacijskih kanalih. Služijo kot vrhunsko diagnostično orodje za vgrajene sisteme.
Wireshark ima vrhunsko sposobnost filtriranja paketov med zajemanjem in analizo z različnimi ravnmi kompleksnosti. Zaradi tega je enako priročen tako za začetnike kot tudi za strokovnjake za spremljanje omrežja. Wireshark tudi zaužije in analizira promet iz različnih drugih analizatorjev protokolov, zaradi česar je pregled preteklega prometa v določenih trenutkih v preteklosti enostaven.
Pred Wiresharkom so bila orodja za sledenje omrežja zelo draga ali lastniška. Vse se je spremenilo s prihodom te aplikacije. Programska oprema je odprtokodna in podpira vse glavne platforme. To je Wiresharku prineslo veliko podporo skupnosti, kar je zmanjšalo stroške kot oviro in omogočilo široko paleto priložnosti za usposabljanje.
Tukaj je razlog, zakaj bi ljudje morda želeli uporabiti Wireshark:
- Odpravljanje težav z omrežjem
- Preučevanje varnostnih težav
- Pregledovanje omrežnih aplikacij
- Izvedbe protokola za odpravljanje napak
- Spoznavanje notranjosti omrežnega protokola
Wireshark je brezplačen za prenos. Če še vedno niste, lahko to storite tukaj. Preprosto prenesite izvedljivo datoteko in kliknite datoteko, da jo namestite.
Uporabniški vmesnik Wireshark
Ko prenesete in namestite Wireshark, lahko do njega dostopate iz lokalne lupine ali upravitelja oken. Ena od prvih stvari, ki jih morate storiti, je izbrati omrežni vmesnik s seznama omrežij na računalniških adapterjih.
V meniju lahko kliknete »Zajemi«, nato »Vmesniki« in izberete ustrezno možnost.
Glavno okno vmesnika Wireshark je sestavljeno iz več delov:
- Meni – uporablja se za začetek dejanj
- Glavna orodna vrstica – hiter dostop do elementov, ki jih pogosto uporabljate iz menija
- Orodna vrstica filtrov – tukaj lahko nastavite filtre za prikaz
- Podokno s seznamom paketov – povzetki zajetih paketov
- Podokno s podrobnostmi – več informacij o izbranem paketu s paketnega pasu
- Podokno z bajti – podatki iz paketa podokna seznama paketov, ki označijo izbrano polje v tem podoknu
- Statusna vrstica – zajeti podatki in informacije o stanju programa v teku
S tipkovnico lahko nadzorujete sezname paketov in se pomikate po podrobnostih. Tukaj je tabela, ki prikazuje običajne ukaze bližnjic na tipkovnici.
Kako dodati filtre v Wireshark?
V orodni vrstici »Filter« lahko prilagodite in zaženete nove filtre za prikaz.
Če želite ustvariti in urediti filtre za zajemanje, pojdite na »Upravljanje filtrov za zajemanje« v meniju z zaznamki ali se pomaknite do »Zajemi« in nato »Filtri za zajemanje« v glavnem meniju.
Če želite ustvariti in urediti filtre za prikaz, v meniju z zaznamki izberite »Upravljanje filtrov zaslona« ali pojdite v glavni meni in izberite »Analiziraj« in nato »Prikaži filtre«.
Videli boste razdelek za vnos filtra z zelenim ozadjem. To je območje, kjer vnašate in urejate nize prikaznih filtrov. Tu lahko vidite tudi trenutno uporabljeni filter. Preprosto kliknite ime filtra ali dvokliknite niz, da ga uredite.
Ko pišete, bo sistem preveril sistemski niz filtra. Če vnesete neveljavno, se ozadje spremeni iz zelene v rdeče. Vedno pritisnite gumb »Uporabi« ali tipko »Enter«, da uporabite niz filtra.
Nov filter lahko dodate s klikom na gumb »Dodaj«, ki je črni znak plus na svetlo sivi podlagi. Drug način za dodajanje novega filtra je, da z desno tipko miške kliknete območje gumba za filter. Če želite odstraniti filter, kliknite gumb minus. Gumb minus bo zatemnjen, če ni izbran filter.
Kako filtrirati po naslovu IP v Wiresharku?
Odlična lastnost Wiresharka je, da vam omogoča filtriranje paketov po naslovih IP. Samo sledite spodnjim korakom za navodila, kako to storiti:
- Začnite s klikom na gumb plus, da dodate nov zaslonski filter.
- V polju Filter zaženite naslednjo operacijo: ip.addr==[naslov IP] in pritisnite Enter.
- Upoštevajte, da trak seznama paketov zdaj filtrira samo promet, ki gre na (cilj) in iz (vir) naslov IP, ki ste ga vnesli.
- Če želite počistiti filter, kliknite gumb »Počisti« v orodni vrstici Filter.
Vir IP
Pogled paketov lahko omejite na tiste z določenimi izvornimi naslovi IP, ki so prikazani v tem filtru. Samo zaženite naslednji ukaz v polju za filtriranje in pritisnite Enter:
ip.src == [naslov IP]
Ciljni IP
Uporabite lahko ciljne filtre, da omejite pogled paketov na tiste z določenim ciljnim IP-jem, ki je prikazan v filtru.
Ukaz je naslednji:
ip.dst == [naslov IP]
Filter zajema v primerjavi s filtrom za prikaz
Wireshark podpira dva jezika za filtriranje: filtre za zajemanje in filtre za prikaz. Prvi se uporablja za filtriranje med zajemanjem paketov. Slednji filtrira prikazane pakete. S filtri za prikaz se lahko osredotočite na pakete, ki vas zanimajo, in skrijete tiste, ki trenutno niso pomembni. Pakete lahko prikažete na podlagi več dejavnikov:
- Protokol
- Prisotnost na terenu
- Vrednosti polj
- Primerjava polj
Filtri za prikaz uporabljajo sintakso logičnega operaterja in polja, ki opisujejo pakete, ki jih filtrirate. Ko ustvarite nekaj zaslonskih filtrov, jih je enostavno napisati. Filtri za zajemanje so nekoliko manj intuitivni, saj so skrivnostni.
Tu je pregled funkcij in uporabe vsakega filtra:
Filtri za zajemanje:
- Nastavljeni so pred začetkom zajemanja prometa
- Med zajemanjem prometa ni mogoče spremeniti
- Uporablja se za zajemanje določene vrste prometa
Filtri za prikaz:
- Zmanjšajo pakete, ki se prikazujejo v Wiresharku
- Lahko se prilagodi med zajemom prometa
- Uporablja se za skrivanje prometa za oceno določenih vrst prometa
Za več informacij o filtriranju med zajemanjem obiščite to stran.
Dodatna pogosta vprašanja
Kako filtriram Wireshark po URL-ju?
Dane URL-je HTTP v zajemu v Wiresharku lahko iščete z uporabo naslednjega niza filtra:
http vsebuje »[URL]. “
Upoštevajte, da v atomskih poljih (številke, naslovi IP) ne morete uporabiti operatorjev »vsebuje«.
Kako filtriram Wireshark po številki vrat?
Za filtriranje Wiresharka po številki vrat lahko uporabite naslednji ukaz:
Tcp.port eq [številka vrat].
Kako deluje Wireshark?
Wireshark je orodje za iskanje omrežnih paketov. Analizira omrežne pakete tako, da prevzame internetno povezavo in registrira pakete, ki potujejo po njej. Nato uporabnikom zagotovi informacije o teh paketih, vključno z njihovim izvorom, ciljem, vsebino, protokoli, sporočili itd.
Going 007 na Network Sniffing
Zahvaljujoč Wiresharku omrežnim inženirjem in skrbnikom ni več treba skrbeti, da bi zamudili diagnostična orodja za bistvene težave z omrežjem. Enostavno dostopne in priročne funkcije programa olajšajo oceno ranljivosti omrežja in odpravljanje težav.
Ko ste prebrali naš članek, bi morali zdaj razlikovati med različnimi možnostmi filtrov v programu, povezanimi s filtriranjem IP. Naučili ste se tudi osnovnih nizovnih izrazov za filtriranje po IP-ju in še veliko več. Upajmo, da bo to pomagalo rešiti kakršne koli težave z omrežjem, s katerimi se lahko srečate.
Katere druge funkcije pogosto uporabljate v Wiresharku? Po čem menite, da Wireshark izstopa od konkurence? Delite svoje misli v spodnjem razdelku za komentarje.