Как фильтровать по IP в Wireshark
Сетевые администраторы сталкиваются с широким спектром сетевых проблем в своей работе. Когда возникает подозрительное действие или возникает необходимость оценить определенный сегмент сети, могут пригодиться инструменты анализа протокола, такие как Wireshark. Особенно полезной функцией является фильтрация сетевых пакетов по IP-адресам.
Если вы новичок, вам может быть немного сложно настроить шаги, чтобы сделать это самостоятельно. К счастью, мы собрали это окончательное руководство по фильтрации по IP в Wireshark. Вы уйдете, зная разницу между двумя языками фильтрации, изучите новые строки фильтров и многое другое.
Лучше всего то, что вам понадобится помощь только для выполнения этих шагов в первый раз. Каждое последующее использование будет детской игрой!
Что такое Wireshark?
Wireshark – это анализатор сетевых пакетов, который уже довольно давно доминирует в секторе. Это было фантастически, поскольку пришлось отложить множество подобных инструментов, в том числе Microsoft Network Monitor. Две основные особенности, которые сделали Wireshark известным, – это его гибкость и простота использования.
Анализаторы сетевых пакетов – это инструменты, которые захватывают и анализируют трафик данных как можно более подробно в конкретных каналах связи. Они служат в качестве окончательных диагностических инструментов для встроенных систем.
Wireshark обладает первоклассной способностью фильтровать пакеты во время захвата и анализа с различным уровнем сложности. Это делает его одинаково удобным как для новичков, так и для профессионалов сетевого мониторинга.
Wireshark также захватывает и анализирует трафик от различных других анализаторов протоколов, что упрощает просмотр прошлого трафика в определенное время в прошлом.
До Wireshark инструменты сетевого мониторинга были либо очень дорогими, либо проприетарными. Все изменилось с появлением этого приложения. Программное обеспечение с открытым исходным кодом и поддерживает все основные платформы.
Это принесло Wireshark большую поддержку со стороны сообщества, что устранило стоимость как барьер и оставило место для широкого спектра возможностей обучения.
Вот почему люди могут захотеть использовать Wireshark:
- Устранение неполадок сети
- Изучение вопросов безопасности
- Проверка сетевых приложений
- Реализации протокола отладки
- Изучение внутреннего устройства сетевого протокола
Wireshark можно загрузить бесплатно. Если вы еще этого не сделали, вы можете это сделать кто . Просто загрузите исполняемый файл и щелкните файл, чтобы установить его.
Пользовательский интерфейс Wireshark
После того, как вы загрузили и установили Wireshark, вы можете получить к нему доступ из локальной оболочки или оконного менеджера. Первое, что вам нужно сделать, это выбрать сетевой интерфейс из списка сетей на адаптерах вашего компьютера.
Вы можете нажать «Захват», затем «Интерфейсы» в меню и выбрать соответствующий вариант.
Главное окно интерфейса Wireshark состоит из нескольких частей:
- Меню: используется для запуска действий
- Основная панель инструментов: быстрый доступ к часто используемым элементам из меню
- Панель инструментов фильтра: здесь вы можете установить фильтры просмотра
- Панель списка пакетов: сводка захваченных пакетов
- Панель сведений – дополнительные сведения о пакете, выбранном на панели пакетов.
- Панель байтов: данные из пакета на панели списка пакетов с выделением выбранного поля на этой панели.
- Строка состояния: полученные данные и информация о состоянии выполняемой программы
Вы можете проверять списки пакетов и полностью перемещаться по деталям с помощью клавиатуры. Есть таблица, показывающая общие сочетания клавиш. кто .
Как добавить фильтры в Wireshark?
Панель инструментов «Фильтр» – это то место, где вы можете настраивать и запускать новые фильтры представления.
Чтобы создать и отредактировать фильтры захвата, перейдите в «Управление фильтрами захвата» в меню «Закладки» или выберите «Захват», затем «Фильтры захвата» в главном меню.
Чтобы создать и отредактировать фильтры представления, выберите «Управление фильтрами представления» в меню «Закладки» или перейдите в главное меню и выберите «Анализировать», затем «Фильтры представления».
Вы увидите секцию ввода фильтра с зеленым фоном. Это область, в которой вы вводите и редактируете строки фильтра представления. Здесь вы также можете увидеть применяемый в данный момент фильтр. Просто щелкните имя фильтра или дважды щелкните строку, чтобы отредактировать ее.
По мере ввода система будет выполнять системную проверку строки фильтра. Если ввести неверный, цвет фона изменится с зеленого на красный. Всегда нажимайте кнопку «Применить» или клавишу «Ввод», чтобы применить строку фильтра.
Вы можете добавить новый фильтр, нажав кнопку «Добавить», которая представляет собой черный знак плюса на светло-сером фоне. Другой способ добавить новый фильтр – щелкнуть правой кнопкой мыши в области кнопки фильтра.
Чтобы удалить фильтр, нажмите кнопку «минус». Кнопка «минус» будет недоступна, если фильтр не выбран.
Как фильтровать по IP-адресу в Wireshark?
Отличной особенностью Wireshark является то, что он позволяет фильтровать пакеты на основе IP-адресов. Следуйте инструкциям ниже, чтобы узнать, как это сделать:
- Начните с нажатия кнопки «плюс», чтобы добавить новый фильтр представления.
- В поле «Фильтр» выполните следующие действия: ip.addr ==[indirizzo IP] и нажмите Enter.
- Обратите внимание, что дорожка списка пакетов теперь фильтрует только трафик, идущий к (получателю) и от (источнику) IP-адреса, который вы ввели.
- Чтобы очистить фильтр, нажмите кнопку «Очистить» на панели инструментов «Фильтр».
Исходный IP
Вы можете ограничить отображение пакетов теми, с определенными исходными IP-адресами, которые отображаются в этом фильтре. Просто запустите следующую команду в поле фильтра и нажмите Enter:
ip.src == [IP address]
IP-адрес назначения
Фильтры назначения могут применяться для ограничения отображения пакетов только теми, у которых есть определенный IP-адрес назначения, отображаемый в фильтре.
Команда выглядит следующим образом:
ip.dst == [IP address]
Фильтр захвата и фильтр отображения
Wireshark поддерживает два языка фильтрации: фильтры захвата и фильтры просмотра. Первый используется для фильтрации во время захвата пакетов. Последний фильтрует отображаемые пакеты. С помощью фильтров просмотра вы можете сосредоточиться на интересующих вас пакетах и скрыть те, которые в данный момент не важны. Вы можете просматривать пакеты на основе нескольких факторов:
- Протокол
- Полевое присутствие
- Значения полей
- Сравнение полей
Фильтры просмотра используют синтаксис логического оператора и поля, описывающие фильтруемые пакеты. После того, как вы создали несколько фильтров представления, их становится легко написать. Фильтры захвата немного менее интуитивно понятны, поскольку они загадочны.
Вот обзор функций и использования каждого фильтра:
Фильтры захвата:
- Они устанавливаются до начала захвата трафика.
- Невозможно изменить при захвате трафика
- Используется для захвата определенных типов трафика
Просмотр фильтров:
- Они уменьшают количество пакетов, которые появляются в Wireshark.
- Его можно настроить при захвате трафика
- Используется для скрытия трафика для оценки определенных типов трафика
Для получения дополнительной информации о фильтрации при захвате посетите Эта страница .
Дополнительные ответы на часто задаваемые вопросы
Как я могу отфильтровать Wireshark по URL-адресу?
Вы можете искать определенные URL-адреса HTTP в захвате Wireshark, используя следующую строку фильтра:
http содержит “[URL]. «
Обратите внимание, что вы не можете использовать операторы “содержит” в атомарных полях (числах, IP-адресах).
Как я могу отфильтровать Wireshark по номеру порта?
Вы можете использовать следующую команду для фильтрации Wireshark по номеру порта:
Tcp.port эквалайзер [port number].
Как работает Wireshark?
Wireshark – это инструмент для сниффинга сетевых пакетов. Анализирует сетевые пакеты, устанавливая подключение к Интернету и регистрируя пакеты, проходящие через него. Затем он предоставляет пользователям информацию об этих пакетах, включая их происхождение, место назначения, контент, протоколы, сообщения и т. Д.
Стать агентом 007 в Network Sniffing
Благодаря Wireshark сетевым инженерам и администраторам больше не нужно беспокоиться о потере диагностических инструментов для основных сетевых проблем. Удобные и легкодоступные функции программы значительно упрощают оценку уязвимостей сети и устранение неполадок.
Прочитав нашу статью, вы сможете различать различные параметры фильтрации в программе, связанные с IP-фильтрацией. Вы также узнали основные строковые выражения для фильтрации IP и многое другое. Надеюсь, это поможет решить любые проблемы с сетью, с которыми вы можете столкнуться.
Какие еще функции вы часто используете в Wireshark? Как вы думаете, что отличает Wireshark от конкурентов? Поделитесь своими мыслями в разделе комментариев ниже.