Internet

Cum se filtrează după IP în Wireshark

Administratorii de rețea se confruntă cu o gamă largă de probleme de rețea în timp ce își desfășoară activitatea. Ori de câte ori există o acțiune suspectă sau necesitatea de a evalua un anumit segment de rețea, instrumentele de analist de protocol, cum ar fi Wireshark, pot fi utile. O caracteristică deosebit de utilă este filtrarea pachetelor de rețea după adrese IP.

Cum se filtrează după IP în Wireshark

Dacă sunteți un utilizator pentru prima dată, s-ar putea să vă fie un pic dificil să configurați pașii pentru a face acest lucru pe cont propriu. Din fericire, am adunat acest ghid final despre cum să filtrați după IP în Wireshark. Veți pleca știind diferența dintre cele două limbi de filtrare, învățând noi șiruri de filtrare și multe altele.

Cel mai bun lucru este că veți avea nevoie doar de asistență pentru a efectua acești pași de prima dată. Fiecare reprezentație următoare va fi o bucată de tort!

Ce este Wireshark?

Wireshark este un analizor de pachete de rețea care domină spațiul industriei de ceva vreme. A fost grozav până în punctul în care a fost eliminată multe instrumente similare, inclusiv Microsoft Network Monitor. Cele două caracteristici principale care au făcut faimosul Wireshark sunt flexibilitatea și ușurința în utilizare.

Analizatoarele de pachete de rețea sunt instrumente care captează și analizează traficul de date cât mai detaliat posibil în anumite canale de comunicare. Acestea servesc ca instrumente de diagnosticare supreme pentru sistemele încorporate.

Wireshark vine cu capacitatea de top de a filtra pachetele în timpul captării și după analiză cu diferite niveluri de complexitate. Acest lucru îl face la fel de convenabil pentru cei care încep pentru prima dată, precum și pentru profesioniștii în monitorizarea rețelei. De asemenea, Wireshark ingerează și analizează traficul de la diverse alte analizoare de protocoale, ceea ce face simplă examinarea traficului trecut în anumite momente din trecut.

Înainte de Wireshark, instrumentele de urmărire a rețelei erau foarte scumpe sau proprietare. Totul s-a schimbat odată cu apariția acestei aplicații. Software-ul este open-source și acceptă toate platformele majore. Acest lucru a adus Wireshark o mulțime de sprijin comunității, ceea ce a eliminat costul ca o barieră și a făcut loc pentru o gamă largă de oportunități de formare.

Iată de ce oamenii ar putea dori să folosească Wireshark:

  • Depanarea problemelor de rețea
  • Examinarea problemelor de securitate
  • Examinarea aplicațiilor de rețea
  • Implementări de protocol de depanare
  • Învățare despre elementele interne ale protocolului de rețea

Wireshark poate fi descărcat gratuit. În cazul în care încă nu ați făcut-o, puteți face acest lucru aici. Doar descărcați executabilul și faceți clic pe fișier pentru a-l instala.

Interfața de utilizator Wireshark

După descărcarea și instalarea Wireshark, îl puteți accesa din shell-ul local sau managerul de ferestre. Unul dintre primele lucruri pe care trebuie să le faceți este să alegeți o interfață de rețea din lista de rețele de pe adaptoarele computerului dvs.

Puteți să faceți clic pe „Captură”, apoi pe „Interfețe” din meniu și să alegeți opțiunea corespunzătoare.

Fereastra principală din interfața Wireshark constă din mai multe părți:

  • Meniu – folosit pentru a începe acțiuni
  • Bara de instrumente principală – acces rapid la elementele pe care le utilizați adesea din meniu
  • Bara de instrumente Filtrare – puteți seta filtre de afișare aici
  • Panoul listă de pachete – rezumatele pachetelor capturate
  • Panoul de detalii – mai multe informații despre pachetul selectat din banda pentru pachete
  • Panoul de octeți – date din pachetul panoului listei de pachete, evidențiind câmpul ales în panoul respectiv
  • Bara de stare – date capturate și informații despre starea programului în curs

Puteți controla listele de pachete și puteți naviga prin detalii în întregime cu tastatura. Există un tabel care arată comenzile comune de comenzi rapide de la tastatură aici.

Cum să adăugați filtre în Wireshark?

Bara de instrumente „Filtru” este locul în care puteți personaliza și rula noi filtre de afișare.

Pentru a crea și edita filtre de captură, accesați „Gestionați filtrele de captură” din meniul de marcaje sau navigați la „Captură”, apoi „Filtre de captură” din meniul principal.

Pentru a crea și edita filtre de afișare, selectați „Gestionați filtrele de afișare” din meniul de marcaje sau accesați meniul principal și selectați „Analizați”, apoi „Filtrele de afișare”.

Veți vedea o secțiune de introducere a filtrului cu un fundal verde. Aceasta este zona în care introduceți și editați șirurile de filtre de afișare. Aici puteți vedea și filtrul aplicat în prezent. Pur și simplu faceți clic pe numele filtrului sau faceți dublu clic pe șir pentru a-l edita.

Pe măsură ce scrieți, sistemul va efectua o verificare de sistem a șirului de filtru. Dacă introduceți unul nevalid, fundalul devine din verde în roșu. Apăsați întotdeauna butonul „Aplicați” sau tasta „Enter” pentru a aplica șirul de filtru.

Puteți adăuga un nou filtru făcând clic pe butonul „Adăugați”, care este un semn plus negru pe un fundal gri deschis. O altă modalitate de a adăuga un nou filtru este să faceți clic dreapta pe zona butonului de filtru. Pentru a elimina un filtru, faceți clic pe butonul minus. Butonul minus va fi incolorat dacă nu este selectat niciun filtru.

Cum se filtrează după adresa IP în Wireshark?

O caracteristică excelentă a Wireshark este că vă permite să filtrați pachetele după adrese IP. Doar urmați pașii de mai jos pentru instrucțiuni despre cum să faceți acest lucru:

  1. Începeți prin a face clic pe butonul plus pentru a adăuga un nou filtru de afișare.

  2. Rulați următoarea operație în caseta Filtru: ip.addr==[adresa IP] și apăsați Enter.

  3. Observați că Packet List Lane acum filtrează doar traficul care merge către (destinație) și de la (sursă) adresa IP pe care ați introdus-o.

  4. Pentru a șterge filtrul, faceți clic pe butonul „Șterge” din bara de instrumente Filtru.

IP sursă

Puteți restricționa vizualizarea pachetelor la cele cu anumite adrese IP sursă care apar în acel filtru. Doar rulați următoarea comandă în caseta de filtru și apăsați Enter:

ip.src == [adresă IP]

IP de destinație

Puteți aplica filtre de destinație pentru a restricționa vizualizarea pachetelor la cele cu un anumit IP de destinație afișat în filtru.

Comanda este următoarea:

ip.dst == [adresă IP]

Filtru de captură vs. Filtru de afișare

Wireshark acceptă două limbi de filtrare: filtre de captură și filtre de afișare. Primul este folosit pentru filtrare în timpul captării pachetelor. Ultimele filtre au afișat pachete. Cu filtrele de afișare, vă puteți concentra asupra pachetelor care vă interesează și le puteți ascunde pe cele care nu sunt importante în prezent. Puteți afișa pachete pe baza mai multor factori:

  • Protocol
  • Prezența pe teren
  • Valorile câmpului
  • Comparație de câmp

Filtrele de afișare folosesc o sintaxă de operator boolean și câmpuri care descriu pachetele pe care le filtrați. Odată ce creați câteva filtre de afișare, devine ușor să le scrieți. Filtrele de captare sunt puțin mai puțin intuitive, deoarece sunt criptice.

Iată o prezentare generală a caracteristicilor și utilizărilor fiecărui filtru:

Filtre de captură:

  • Sunt setate înainte de a începe să capteze traficul
  • Imposibil de schimbat în timpul captării traficului
  • Folosit pentru capturarea unui anumit tip de trafic

Afișează filtre:

  • Acestea reduc pachetele care se afișează în Wireshark
  • Poate fi personalizat în timpul captării traficului
  • Folosit pentru a ascunde traficul pentru a evalua anumite tipuri de trafic

Pentru mai multe informații despre filtrarea în timpul captării, vizitați această pagină.

Întrebări frecvente suplimentare

Cum filtrez Wireshark după URL?

Puteți căuta adrese URL HTTP date în capturare în Wireshark utilizând următorul șir de filtru:

http conține „[URL]. „

Rețineți că nu puteți utiliza operatorii „conține” pe câmpurile atomice (numere, adrese IP.)

Cum filtrez Wireshark după numărul de port?

Puteți utiliza următoarea comandă pentru a filtra Wireshark după numărul de port:

Tcp.port eq [număr port].

Cum funcționează Wireshark?

Wireshark este un instrument de detectare a pachetelor de rețea. Analizează pachetele de rețea, luând o conexiune la internet și înregistrând pachetele care circulă prin aceasta. Apoi oferă utilizatorilor informații despre acele pachete, inclusiv originea, destinația, conținutul, protocoalele, mesajele etc.

Merg 007 pe Network Sniffing

Datorită Wireshark, inginerii și administratorii de rețea nu mai trebuie să-și facă griji că vor pierde instrumentele de diagnosticare pentru problemele esențiale ale rețelei. Caracteristicile ușor accesibile și convenabile ale programului fac mult mai simplă evaluarea vulnerabilităților rețelei și depanarea.

După ce ați citit articolul nostru, acum ar trebui să puteți face diferența dintre diferitele opțiuni de filtrare din programul legat de filtrarea IP. Ați învățat, de asemenea, expresiile de bază de șir pentru filtrarea după IP și multe altele. Sperăm că acest lucru va ajuta la rezolvarea problemelor de rețea pe care le puteți întâlni.

Ce alte funcții folosiți adesea în Wireshark? Ce crezi că îl face pe Wireshark să iasă în evidență față de concurență? Împărtășiți-vă gândurile în secțiunea de comentarii de mai jos.

S-ar putea sa-ti placa si

$config[zx-auto] not found$config[zx-overlay] not found