Интернет

Как фильтровать по IP в Wireshark

Сетевые администраторы сталкиваются с широким спектром сетевых проблем при выполнении своей работы. Когда возникает подозрительное действие или возникает необходимость оценить определенный сегмент сети, могут пригодиться инструменты анализа протоколов, такие как Wireshark. Одна особенно полезная функция - фильтрация сетевых пакетов по IP-адресам.

Как фильтровать по IP в Wireshark

Если вы впервые пользуетесь сайтом, вам может быть сложно настроить действия для этого самостоятельно. К счастью, мы собрали это исчерпывающее руководство по фильтрации по IP-адресу в Wireshark. Вы уйдете, зная разницу между двумя языками фильтрации, изучите новые строки фильтров и многое другое.

Лучше всего то, что вам понадобится помощь только при выполнении этих шагов в первый раз. Каждое последующее выступление будет просто куском пирога!

Что такое Wireshark?

Wireshark - это анализатор сетевых пакетов, который уже довольно давно доминирует в отрасли. Было здорово, что многие подобные инструменты, включая Microsoft Network Monitor, были отложены. Две основные особенности, которые сделали Wireshark известным, - это его гибкость и простота использования.

Анализаторы сетевых пакетов - это инструменты, которые захватывают и анализируют трафик данных как можно более подробно в конкретных каналах связи. Они служат в качестве основных инструментов диагностики для встраиваемых систем.

Wireshark обладает первоклассной способностью фильтровать пакеты во время захвата и при анализе с различными уровнями сложности. Это делает его одинаково удобным как для новичков, так и для профессионалов сетевого мониторинга. Wireshark также принимает и анализирует трафик от различных других анализаторов протоколов, что упрощает просмотр прошлого трафика в определенное время в прошлом.

До Wireshark инструменты отслеживания сети были очень дорогими или проприетарными. Все изменилось с появлением этого приложения. Программное обеспечение с открытым исходным кодом и поддерживает все основные платформы. Это принесло Wireshark большую поддержку со стороны сообщества, что сняло стоимость как барьер и освободило место для широкого спектра возможностей обучения.

Вот почему люди могут захотеть использовать Wireshark:

  • Устранение неполадок сети
  • Изучение проблем безопасности
  • Изучение сетевых приложений
  • Реализации протокола отладки
  • Изучение внутреннего устройства сетевого протокола

Wireshark можно загрузить бесплатно. Если вы еще этого не сделали, вы можете сделать это здесь. Просто загрузите исполняемый файл и щелкните файл, чтобы установить его.

Пользовательский интерфейс Wireshark

После загрузки и установки Wireshark вы можете получить к нему доступ из локальной оболочки или оконного менеджера. Первое, что вам нужно сделать, это выбрать сетевой интерфейс из списка сетей на адаптерах вашего компьютера.

Вы можете нажать «Захват», затем «Интерфейсы» в меню и выбрать соответствующий вариант.

Главное окно интерфейса Wireshark состоит из нескольких частей:

  • Меню - используется для запуска действий
  • Основная панель инструментов - быстрый доступ к часто используемым элементам из меню
  • Панель инструментов фильтра - здесь вы можете установить фильтры отображения
  • Панель списка пакетов - сводки захваченных пакетов
  • Панель сведений - дополнительная информация о выбранном пакете из полосы пакетов
  • Панель байтов - данные из панели списка пакетов пакета, выделение выбранного поля в этой панели
  • Строка состояния - захваченные данные и текущая информация о состоянии программы

Вы можете управлять списками пакетов и полностью перемещаться по деталям с помощью клавиатуры. Здесь есть таблица с общими сочетаниями клавиш.

Как добавить фильтры в Wireshark?

Панель инструментов «Фильтр» - это то место, где вы можете настраивать и запускать новые фильтры отображения.

Чтобы создать и отредактировать фильтры захвата, перейдите к «Управление фильтрами захвата» в меню закладок или перейдите к «Захват», затем «Фильтры захвата» в главном меню.

Чтобы создать и отредактировать фильтры отображения, выберите «Управление фильтрами отображения» в меню закладок или перейдите в главное меню и выберите «Анализировать», затем «Фильтры отображения».

Вы увидите секцию ввода фильтра с зеленым фоном. Это область, в которой вы вводите и редактируете строки фильтра отображения. Здесь также можно увидеть примененный в данный момент фильтр. Просто щелкните имя фильтра или дважды щелкните строку, чтобы отредактировать ее.

По мере того, как вы пишете, система будет выполнять системную проверку строки фильтра. Если ввести неверный, цвет фона изменится с зеленого на красный. Всегда нажимайте кнопку «Применить» или «Ввод», чтобы применить строку фильтра.

Вы можете добавить новый фильтр, нажав кнопку «Добавить», которая представляет собой черный знак плюса на светло-сером фоне. Другой способ добавить новый фильтр - щелкнуть правой кнопкой мыши в области кнопки фильтра. Чтобы удалить фильтр, нажмите кнопку «минус». Кнопка «минус» будет недоступна, если фильтр не выбран.

Как фильтровать по IP-адресу в Wireshark?

Отличной особенностью Wireshark является то, что он позволяет фильтровать пакеты по IP-адресам. Просто следуйте инструкциям ниже, чтобы узнать, как это сделать:

  1. Начните с нажатия кнопки «плюс», чтобы добавить новый фильтр отображения.

  2. Выполните следующую операцию в поле Фильтр: ip.addr == [IP-адрес] и нажмите Enter.

  3. Обратите внимание, что полоса списка пакетов теперь фильтрует только трафик, который идет к (получателю) и от (источнику) IP-адреса, который вы ввели.

  4. Чтобы очистить фильтр, нажмите кнопку «Очистить» на панели инструментов «Фильтр».

Исходный IP

Вы можете ограничить просмотр пакетов теми, у кого есть определенные исходные IP-адреса, которые появляются в этом фильтре. Просто запустите следующую команду в поле фильтра и нажмите Enter:

ip.src == [IP-адрес]

IP-адрес назначения

Вы можете применить фильтры назначения, чтобы ограничить просмотр пакетов теми, у кого конкретный IP-адрес назначения отображается в фильтре.

Команда выглядит следующим образом:

ip.dst == [IP-адрес]

Фильтр захвата и фильтр отображения

Wireshark поддерживает два языка фильтрации: фильтры захвата и фильтры отображения. Первый используется для фильтрации при захвате пакетов. Последний фильтрует отображаемые пакеты. С помощью фильтров отображения вы можете сосредоточиться на интересующих вас пакетах и ​​скрыть те, которые в данный момент не важны. Вы можете отображать пакеты на основе нескольких факторов:

  • Протокол
  • Полевое присутствие
  • Значения полей
  • Сравнение полей

В фильтрах отображения используется синтаксис логического оператора и поля, описывающие фильтруемые пакеты. Как только вы создадите несколько фильтров отображения, их станет легко написать. Фильтры захвата немного менее интуитивно понятны, поскольку они загадочны.

Вот обзор возможностей и использования каждого фильтра:

Фильтры захвата:

  • Они устанавливаются перед началом захвата трафика.
  • Невозможно изменить при захвате трафика
  • Используется для захвата определенного типа трафика

Фильтры отображения:

  • Они уменьшают количество пакетов, отображаемых в Wireshark.
  • Возможность настройки при захвате трафика
  • Используется для скрытия трафика для оценки определенных типов трафика

Для получения дополнительной информации о фильтрации при захвате посетите эту страницу.

Дополнительные ответы на часто задаваемые вопросы

Как отфильтровать Wireshark по URL-адресу?

Вы можете искать заданные URL-адреса HTTP в захвате в Wireshark, используя следующую строку фильтра:

http содержит «[URL]. «

Обратите внимание, что вы не можете использовать операторы «содержит» в атомарных полях (числах, IP-адресах).

Как отфильтровать Wireshark по номеру порта?

Вы можете использовать следующую команду для фильтрации Wireshark по номеру порта:

Tcp.port eq [номер порта].

Как работает Wireshark?

Wireshark - это инструмент для сниффинга сетевых пакетов. Он анализирует сетевые пакеты, используя подключение к Интернету и регистрируя пакеты, которые проходят через него. Затем он предоставляет пользователям информацию об этих пакетах, включая их происхождение, место назначения, контент, протоколы, сообщения и т. Д.

007 на Network Sniffing

Благодаря Wireshark сетевым инженерам и администраторам больше не нужно беспокоиться о том, что они могут упустить диагностические инструменты для решения важных сетевых проблем. Легкодоступные и удобные функции программы значительно упрощают оценку уязвимостей сети и устранение неполадок.

Прочитав нашу статью, вы теперь сможете различать различные параметры фильтрации в программе, связанные с IP-фильтрацией. Вы также узнали основные строковые выражения для фильтрации по IP и многое другое. Надеюсь, это поможет решить любые проблемы с сетью, с которыми вы можете столкнуться.

Какие еще функции вы часто используете в Wireshark? Как вы думаете, что отличает Wireshark от конкурентов? Поделитесь своими мыслями в разделе комментариев ниже.

Вам также могут понравиться

$config[zx-auto] not found$config[zx-overlay] not found