Как фильтровать по портам с Wireshark

Как фильтровать по портам с Wireshark

Wireshark — самый широко используемый в мире анализатор протоколов. С его помощью вы можете проверять все, что происходит в вашей сети, решать различные проблемы, анализировать и фильтровать сетевой трафик с помощью различных инструментов и т. Д. Если вы хотите узнать больше о Wireshark и о том, как фильтровать по портам, обязательно читайте дальше.

Что такое фильтр порта?

Фильтрация портов — это способ фильтрации пакетов (сообщений из разных сетевых протоколов) на основе их номера порта. Эти номера портов используются для протоколов TCP и UDP, наиболее известных протоколов передачи.

Фильтрация портов — это форма защиты вашего компьютера, поскольку с помощью фильтрации портов вы можете разрешить или заблокировать определенные порты, чтобы предотвратить различные операции в сети.

Существует хорошо налаженная система портов, используемых для различных интернет-сервисов, таких как передача файлов, электронная почта и т. Д. На самом деле существует более 65 000 различных портов.

Они существуют в «разрешенном» или «закрытом» режимах. Некоторые приложения в Интернете могут открывать эти порты, делая ваш компьютер более уязвимым для хакеров и вирусов.

Используя Wireshark, вы можете фильтровать разные пакеты по номеру порта. Зачем вам это нужно? Потому что таким образом вы можете фильтровать все пакеты, которые вам не нужны на вашем компьютере по нескольким причинам.

Какие порты важны?

Всего 65 535 портов. Их можно разделить на три разные категории: порты от 0 до 1023 — это хорошо известные порты, назначенные для общих служб и протоколов. Следовательно, от 1024 до 49151 — это зарегистрированные порты, назначенные ICANN определенной службе. А общедоступные порты — это порты с номерами 49152-65535, они могут использоваться любой службой. Для разных протоколов используются разные порты.

Если вы хотите узнать самые распространенные из них, взгляните на следующий список:

Номер порта Протокол имени службы 20, 21 Протокол передачи файлов — FTP TCP 22 Безопасная оболочка — SSH TCP и UDP 23 Telnet TCP 25 Простой протокол передачи почты TCP 53 Система доменных имен — DNS TCP и UDP 67/68 Протокол динамической конфигурации хоста — DHCP UDP 80 Протокол передачи гипертекста — HTTP TCP 110 Почтовый протокол — POP3 TCP 123 Протокол сетевого времени — NTP UDP 143 Протокол доступа к сообщениям в Интернете (IMAP4) TCP и UDP 161/162 простая сеть — SNMP TCP и UDP 443 HTTP с уровнем защищенных сокетов — HTTPS ( HTTP через SSL / TLS) TCP

Анализ в Wireshark

Процесс аналитики в Wireshark представляет собой мониторинг различных протоколов и данных в сети.

Прежде чем начать процесс анализа, убедитесь, что вы знаете тип трафика, который вы пытаетесь анализировать, и различные типы устройств, излучающих трафик:

  1. Поддерживается ли у вас неразборчивый режим? Если вы это сделаете, это позволит вашему устройству собирать пакеты, которые изначально не предназначены для вашего устройства.
  2. Какие устройства есть в вашей сети? Важно помнить, что разные типы устройств передают разные пакеты.
  3. Какой трафик вы хотите анализировать? Тип трафика будет зависеть от устройств в сети.

Знание того, как использовать различные фильтры, чрезвычайно важно для захвата ожидаемых пакетов. Эти фильтры используются перед процессом захвата пакетов. Как они работают? Установив определенный фильтр, вы немедленно удаляете трафик, не соответствующий указанным критериям.

В Wireshark для создания различных фильтров захвата используется синтаксис Berkley Packet Filter (BPF). Поскольку это наиболее часто используемый синтаксис при синтаксическом анализе пакетов, важно понимать, как он работает.

Синтаксис Berkley Packet Filter захватывает фильтры на основе различных выражений фильтрации. Эти выражения состоят из одного или нескольких примитивов, а примитивы состоят из идентификатора (значений или имен, которые вы пытаетесь найти в разных пакетах), за которым следует один или несколько квалификаторов.

Квалификаторы можно разделить на три разных типа:

  1. Тип: с помощью этих квалификаторов вы указываете, что представляет собой идентификатор. Квалификаторы типа включают порт, сеть и хост.
  2. Dir (направление): эти квалификаторы используются для указания направления передачи. Таким образом, «src» отмечает источник, а «dst» — место назначения.
  3. Proto (протокол): с помощью квалификаторов протокола вы можете указать конкретный протокол, который хотите получить.

Вы можете использовать комбинацию различных квалификаторов для фильтрации поиска. Также вы можете использовать операторы: например, вы можете использовать оператор конкатенации (& / и), оператор отрицания (! / Not) и т. Д.

Вот несколько примеров фильтров захвата, которые вы можете использовать в Wireshark:

Фильтры Описание хоста 192.168.1.2 Весь трафик, связанный с 192.168.1.2 tcp port 22 Весь трафик, связанный с портом 22 src 192.168.1.2 Весь трафик из 192.168.1.2

Вы можете создать фильтры захвата в полях заголовка протокола. Синтаксис выглядит так: proto[offset:size(opzionale)]= значение. Здесь proto представляет протокол, который вы хотите фильтровать, смещение представляет положение значения в заголовке пакета, размер представляет длину данных, а значение — данные, которые вы ищете.

Просмотр фильтров в Wireshark

В отличие от фильтров захвата, фильтры просмотра не отбрасывают пакеты, они просто скрывают их во время просмотра. Это хороший вариант, поскольку после того, как пакеты будут отброшены, вы не сможете их восстановить.

Фильтры просмотра используются для проверки наличия определенного протокола. Например, если вы хотите просмотреть пакеты, содержащие определенный протокол, вы можете ввести имя протокола на панели инструментов Wireshark «Просмотр фильтра».

Другие варианты

Существуют различные другие варианты, которые вы можете использовать для синтаксического анализа пакетов в Wireshark, в зависимости от ваших потребностей.

  1. В окне «Статистика» в Wireshark вы можете найти несколько основных инструментов, которые можно использовать для анализа пакетов. Например, вы можете использовать инструмент «Разговоры» для анализа трафика между двумя разными IP-адресами.
  2. В окне «Экспертная информация» можно анализировать аномалии или необычное поведение в вашей сети.

ДАЛЬНЕЙШИЕ ПОДРОБНОСТИ:

Фильтрация портов в Wireshark

Фильтрация по портам в Wireshark проста благодаря панели фильтров, которая позволяет применять фильтр представления.

Например, если вы хотите отфильтровать порт 80, введите это в строке фильтра: «tcp.port == 80.» Вы также можете ввести «eq» вместо «==», поскольку «eq» означает «равно».

Вы также можете фильтровать несколько портов одновременно. || в этом случае используются знаки.

Например, если вы хотите отфильтровать порты 80 и 443, введите это в строке фильтра: ”tcp.port == 80 || tcp.port == 443 «или» tcp.port eq 80 || tcp.port eq 443. «

Дополнительные ответы на часто задаваемые вопросы

Как я могу отфильтровать Wireshark по IP-адресу и порту?

Есть несколько способов отфильтровать Wireshark по IP-адресу:

  1. Если вас интересует пакет с определенным IP-адресом, введите это в строке фильтра: «ip.adr == xxxx»
  2. Если вас интересуют пакеты с определенного IP-адреса, введите это в строке фильтра: «ip.src == xxxx»
  3. Если вас интересуют пакеты, идущие на определенный IP-адрес, введите это в строке фильтра: «ip.dst == xxxx»

Если вы хотите применить два фильтра, например IP-адрес и номер порта, проверьте следующий пример: «ip.adr == 192.168.1.199. && tcp.port eq 443.» Поскольку «&&» представляют собой символы «и», написав это, вы можете отфильтровать результаты поиска по IP-адресу (192.168.1.199) и по номеру порта (tcp.port eq 443).

Как Wireshark захватывает трафик порта?

Wireshark захватывает весь сетевой трафик по мере его появления. Он захватит весь трафик порта и покажет вам все номера портов в определенных соединениях. Если вы хотите начать захват, выполните следующие действия:

  1. Апри «Wireshark».
  2. Нажмите «Захват».
  3. Выберите «Интерфейсы».
  4. Коснитесь «Старт».

Если вы хотите сосредоточиться на конкретном номере порта, вы можете использовать панель фильтров. Если вы хотите остановить захват, нажмите «Ctrl + E».

Что такое фильтр захвата для опции DHCP?

Параметр Dynamic Host Configuration Protocol (DHCP) — это тип протокола управления сетью. Он используется для автоматического назначения IP-адресов устройствам, подключенным к сети. Используя опцию DHCP, нет необходимости вручную настраивать различные устройства.

Если вы хотите видеть в Wireshark только DHCP-пакеты, введите «bootp» в строке фильтра. Почему бутп? Потому что он представляет собой старую версию DHCP, и они оба используют одни и те же номера портов: 67 и 68.

Зачем мне использовать Wireshark?

Использование Wireshark дает несколько преимуществ, в том числе:

  1. Это бесплатно: вы можете анализировать свой сетевой трафик совершенно бесплатно!
  2. Его можно использовать для разных платформ — вы можете использовать Wireshark в Windows, Linux, Mac, Solaris и т. Д.
  3. Подробно: Wireshark предлагает углубленный анализ множества протоколов.
  4. Предлагает данные в реальном времени: эти данные могут быть собраны из различных источников, таких как Ethernet, Token Ring, FDDI, Bluetooth, USB и т. Д.
  5. Он широко используется: Wireshark — самый популярный анализатор сетевых протоколов.

Wireshark non morde!

Теперь вы узнали больше о Wireshark, его возможностях и параметрах фильтрации. Если вы хотите быть уверены в том, что можете устранять и идентифицировать любой тип сетевой проблемы или проверять входящие и исходящие данные из вашей сети, тем самым сохраняя ее безопасность, вам обязательно стоит попробовать Wireshark.

Вы когда-нибудь использовали Wireshark? Расскажите нам в комментариях ниже.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован.