Как фильтровать по IP в Wireshark

Как фильтровать по IP в Wireshark

Сетевые администраторы сталкиваются с широким спектром сетевых проблем в своей работе. Когда возникает подозрительное действие или возникает необходимость оценить определенный сегмент сети, могут пригодиться инструменты анализа протокола, такие как Wireshark. Особенно полезной функцией является фильтрация сетевых пакетов по IP-адресам.

Если вы новичок, вам может быть немного сложно настроить шаги, чтобы сделать это самостоятельно. К счастью, мы собрали это окончательное руководство по фильтрации по IP в Wireshark. Вы уйдете, зная разницу между двумя языками фильтрации, изучите новые строки фильтров и многое другое.

Лучше всего то, что вам понадобится помощь только для выполнения этих шагов в первый раз. Каждое последующее использование будет детской игрой!

Что такое Wireshark?

Wireshark — это анализатор сетевых пакетов, который уже довольно давно доминирует в секторе. Это было фантастически, поскольку пришлось отложить множество подобных инструментов, в том числе Microsoft Network Monitor. Две основные особенности, которые сделали Wireshark известным, — это его гибкость и простота использования.

Анализаторы сетевых пакетов — это инструменты, которые захватывают и анализируют трафик данных как можно более подробно в конкретных каналах связи. Они служат в качестве окончательных диагностических инструментов для встроенных систем.

Wireshark обладает первоклассной способностью фильтровать пакеты во время захвата и анализа с различным уровнем сложности. Это делает его одинаково удобным как для новичков, так и для профессионалов сетевого мониторинга.

Wireshark также захватывает и анализирует трафик от различных других анализаторов протоколов, что упрощает просмотр прошлого трафика в определенное время в прошлом.

До Wireshark инструменты сетевого мониторинга были либо очень дорогими, либо проприетарными. Все изменилось с появлением этого приложения. Программное обеспечение с открытым исходным кодом и поддерживает все основные платформы.

Это принесло Wireshark большую поддержку со стороны сообщества, что устранило стоимость как барьер и оставило место для широкого спектра возможностей обучения.

Вот почему люди могут захотеть использовать Wireshark:

  • Устранение неполадок сети
  • Изучение вопросов безопасности
  • Проверка сетевых приложений
  • Реализации протокола отладки
  • Изучение внутреннего устройства сетевого протокола

Wireshark можно загрузить бесплатно. Если вы еще этого не сделали, вы можете это сделать кто . Просто загрузите исполняемый файл и щелкните файл, чтобы установить его.

Пользовательский интерфейс Wireshark

После того, как вы загрузили и установили Wireshark, вы можете получить к нему доступ из локальной оболочки или оконного менеджера. Первое, что вам нужно сделать, это выбрать сетевой интерфейс из списка сетей на адаптерах вашего компьютера.

Вы можете нажать «Захват», затем «Интерфейсы» в меню и выбрать соответствующий вариант.

Главное окно интерфейса Wireshark состоит из нескольких частей:

  • Меню: используется для запуска действий
  • Основная панель инструментов: быстрый доступ к часто используемым элементам из меню
  • Панель инструментов фильтра: здесь вы можете установить фильтры просмотра
  • Панель списка пакетов: сводка захваченных пакетов
  • Панель сведений — дополнительные сведения о пакете, выбранном на панели пакетов.
  • Панель байтов: данные из пакета на панели списка пакетов с выделением выбранного поля на этой панели.
  • Строка состояния: полученные данные и информация о состоянии выполняемой программы

Вы можете проверять списки пакетов и полностью перемещаться по деталям с помощью клавиатуры. Есть таблица, показывающая общие сочетания клавиш. кто .

Как добавить фильтры в Wireshark?

Панель инструментов «Фильтр» — это то место, где вы можете настраивать и запускать новые фильтры представления.

Чтобы создать и отредактировать фильтры захвата, перейдите в «Управление фильтрами захвата» в меню «Закладки» или выберите «Захват», затем «Фильтры захвата» в главном меню.

Чтобы создать и отредактировать фильтры представления, выберите «Управление фильтрами представления» в меню «Закладки» или перейдите в главное меню и выберите «Анализировать», затем «Фильтры представления».

Вы увидите секцию ввода фильтра с зеленым фоном. Это область, в которой вы вводите и редактируете строки фильтра представления. Здесь вы также можете увидеть применяемый в данный момент фильтр. Просто щелкните имя фильтра или дважды щелкните строку, чтобы отредактировать ее.

По мере ввода система будет выполнять системную проверку строки фильтра. Если ввести неверный, цвет фона изменится с зеленого на красный. Всегда нажимайте кнопку «Применить» или клавишу «Ввод», чтобы применить строку фильтра.

Вы можете добавить новый фильтр, нажав кнопку «Добавить», которая представляет собой черный знак плюса на светло-сером фоне. Другой способ добавить новый фильтр — щелкнуть правой кнопкой мыши в области кнопки фильтра.

Чтобы удалить фильтр, нажмите кнопку «минус». Кнопка «минус» будет недоступна, если фильтр не выбран.

Как фильтровать по IP-адресу в Wireshark?

Отличной особенностью Wireshark является то, что он позволяет фильтровать пакеты на основе IP-адресов. Следуйте инструкциям ниже, чтобы узнать, как это сделать:

  1. Начните с нажатия кнопки «плюс», чтобы добавить новый фильтр представления.
  2. В поле «Фильтр» выполните следующие действия: ip.addr ==[indirizzo IP] и нажмите Enter.
  3. Обратите внимание, что дорожка списка пакетов теперь фильтрует только трафик, идущий к (получателю) и от (источнику) IP-адреса, который вы ввели.
  4. Чтобы очистить фильтр, нажмите кнопку «Очистить» на панели инструментов «Фильтр».

Исходный IP

Вы можете ограничить отображение пакетов теми, с определенными исходными IP-адресами, которые отображаются в этом фильтре. Просто запустите следующую команду в поле фильтра и нажмите Enter:

ip.src == [IP address]

IP-адрес назначения

Фильтры назначения могут применяться для ограничения отображения пакетов только теми, у которых есть определенный IP-адрес назначения, отображаемый в фильтре.

Команда выглядит следующим образом:

ip.dst == [IP address]

Фильтр захвата и фильтр отображения

Wireshark поддерживает два языка фильтрации: фильтры захвата и фильтры просмотра. Первый используется для фильтрации во время захвата пакетов. Последний фильтрует отображаемые пакеты. С помощью фильтров просмотра вы можете сосредоточиться на интересующих вас пакетах и ​​скрыть те, которые в данный момент не важны. Вы можете просматривать пакеты на основе нескольких факторов:

  • Протокол
  • Полевое присутствие
  • Значения полей
  • Сравнение полей

Фильтры просмотра используют синтаксис логического оператора и поля, описывающие фильтруемые пакеты. После того, как вы создали несколько фильтров представления, их становится легко написать. Фильтры захвата немного менее интуитивно понятны, поскольку они загадочны.

Вот обзор функций и использования каждого фильтра:

Фильтры захвата:

  • Они устанавливаются до начала захвата трафика.
  • Невозможно изменить при захвате трафика
  • Используется для захвата определенных типов трафика

Просмотр фильтров:

  • Они уменьшают количество пакетов, которые появляются в Wireshark.
  • Его можно настроить при захвате трафика
  • Используется для скрытия трафика для оценки определенных типов трафика

Для получения дополнительной информации о фильтрации при захвате посетите Эта страница .

Дополнительные ответы на часто задаваемые вопросы

Как я могу отфильтровать Wireshark по URL-адресу?

Вы можете искать определенные URL-адреса HTTP в захвате Wireshark, используя следующую строку фильтра:

http содержит «[URL]. «

Обратите внимание, что вы не можете использовать операторы «содержит» в атомарных полях (числах, IP-адресах).

Как я могу отфильтровать Wireshark по номеру порта?

Вы можете использовать следующую команду для фильтрации Wireshark по номеру порта:

Tcp.port эквалайзер [port number].

Как работает Wireshark?

Wireshark — это инструмент для сниффинга сетевых пакетов. Анализирует сетевые пакеты, устанавливая подключение к Интернету и регистрируя пакеты, проходящие через него. Затем он предоставляет пользователям информацию об этих пакетах, включая их происхождение, место назначения, контент, протоколы, сообщения и т. Д.

Стать агентом 007 в Network Sniffing

Благодаря Wireshark сетевым инженерам и администраторам больше не нужно беспокоиться о потере диагностических инструментов для основных сетевых проблем. Удобные и легкодоступные функции программы значительно упрощают оценку уязвимостей сети и устранение неполадок.

Прочитав нашу статью, вы сможете различать различные параметры фильтрации в программе, связанные с IP-фильтрацией. Вы также узнали основные строковые выражения для фильтрации IP и многое другое. Надеюсь, это поможет решить любые проблемы с сетью, с которыми вы можете столкнуться.

Какие еще функции вы часто используете в Wireshark? Как вы думаете, что отличает Wireshark от конкурентов? Поделитесь своими мыслями в разделе комментариев ниже.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован.