Ako filtrovať podľa portu pomocou Wireshark

Wireshark predstavuje celosvetovo najpoužívanejší analyzátor protokolov. Pomocou neho môžete skontrolovať všetko, čo sa deje vo vašej sieti, odstraňovať rôzne problémy, analyzovať a filtrovať sieťový prenos pomocou rôznych nástrojov atď.

Ak sa chcete dozvedieť viac o Wiresharku a o tom, ako filtrovať podľa portu, pokračujte v čítaní.

Čo presne je filtrovanie portov?

Filtrovanie portov predstavuje spôsob filtrovania paketov (správ z rôznych sieťových protokolov) na základe ich čísla portu. Tieto čísla portov sa používajú pre protokoly TCP a UDP, najznámejšie protokoly na prenos. Filtrovanie portov predstavuje formu ochrany vášho počítača, pretože pomocou filtrovania portov môžete povoliť alebo zablokovať určité porty, aby ste zabránili rôznym operáciám v rámci siete.

Existuje dobre zavedený systém portov používaných pre rôzne internetové služby, ako je prenos súborov, e-mail atď. V skutočnosti existuje viac ako 65 000 rôznych portov. Existujú v režime „povoliť“ alebo „zatvorené“. Niektoré aplikácie na internete dokážu tieto porty otvoriť, čím sa váš počítač stane viac vystavený hackerom a vírusom.

Pomocou Wireshark môžete filtrovať rôzne pakety na základe ich čísla portu. Prečo by ste to chceli urobiť? Pretože týmto spôsobom môžete z rôznych dôvodov odfiltrovať všetky pakety, ktoré vo svojom počítači nechcete.

Aké sú dôležité porty?

K dispozícii je 65 535 portov. Možno ich rozdeliť do troch rôznych kategórií: porty od 0 do 1023 sú dobre známe porty a sú priradené k bežným službám a protokolom. Potom od 1024 do 49151 sú registrované porty – ICANN ich prideľuje konkrétnej službe. A verejné prístavy sú porty od 49152-65535, môže ich použiť akákoľvek služba. Pre rôzne protokoly sa používajú rôzne porty.

Ak sa chcete dozvedieť o najbežnejších, pozrite si nasledujúci zoznam:

Číslo portuNázov službyProtokol
20, 21Protokol prenosu súborov – FTPTCP
22Zabezpečený shell – SSHTCP a UDP
23TelnetTCP
25Jednoduchý protokol prenosu poštyTCP
53Domain Name System – DNSTCP a UDP
67/68Dynamický protokol konfigurácie hostiteľa – DHCPUDP
80HyperText Transfer Protocol – HTTPTCP
110Post Office Protocol – POP3TCP
123Network Time Protocol – NTPUDP
143Internet Message Access Protocol (IMAP4)TCP a UDP
161/162Simple Network Management Protocol – SNMPTCP a UDP
443HTTP s vrstvou Secure Sockets Layer – HTTPS (HTTP cez SSL/TLS)TCP

Analýza v programe Wireshark

Proces analýzy v programe Wireshark predstavuje monitorovanie rôznych protokolov a údajov v sieti.

Skôr než začneme s procesom analýzy, uistite sa, že poznáte typ návštevnosti, ktorý chcete analyzovať, a rôzne typy zariadení, ktoré prevádzkujú:

  1. Máte podporovaný promiskuitný režim? Ak tak urobíte, vášmu zariadeniu to umožní zhromažďovať pakety, ktoré nie sú pôvodne určené pre vaše zariadenie.
  2. Aké zariadenia máte vo svojej sieti? Je dôležité mať na pamäti, že rôzne druhy zariadení budú prenášať rôzne pakety.
  3. Aký typ návštevnosti chcete analyzovať? Typ prevádzky bude závisieť od zariadení vo vašej sieti.

Vedieť, ako používať rôzne filtre, je mimoriadne dôležité pre zachytávanie zamýšľaných paketov. Tieto filtre sa používajú pred procesom zachytávania paketov. ako fungujú? Nastavením konkrétneho filtra okamžite odstránite návštevnosť, ktorá nespĺňa zadané kritériá.

V rámci Wireshark sa na vytváranie rôznych zachytávacích filtrov používa syntax nazývaná syntax Berkley Packet Filter (BPF). Keďže ide o syntax, ktorá sa najčastejšie používa pri analýze paketov, je dôležité pochopiť, ako funguje.

Syntax Berkley Packet Filter zachytáva filtre založené na rôznych výrazoch filtrovania. Tieto výrazy pozostávajú z jedného alebo viacerých primitív a primitívy pozostávajú z identifikátora (hodnoty alebo názvy, ktoré sa pokúšate nájsť v rôznych paketoch), po ktorých nasleduje jeden alebo niekoľko kvalifikátorov.

Kvalifikácia sa dá rozdeliť do troch rôznych druhov:

  1. Typ – pomocou týchto kvalifikátorov určujete, aký druh veci identifikátor predstavuje. Kvalifikátory typu zahŕňajú port, net a hostiteľ.
  2. Dir (direction) – tieto kvalifikátory sa používajú na určenie smeru prenosu. Týmto spôsobom „src“ označuje zdroj a „dst“ označuje cieľ.
  3. Proto (protokol) – pomocou kvalifikátorov protokolu môžete určiť konkrétny protokol, ktorý chcete zachytiť.

Na odfiltrovanie vyhľadávania môžete použiť kombináciu rôznych kvalifikátorov. Môžete tiež použiť operátory: napríklad môžete použiť operátor zreťazenia (&/and), operátor negácie (!/not) atď.

Tu je niekoľko príkladov zachytávacích filtrov, ktoré môžete použiť v programe Wireshark:

FiltrePopis
hostiteľ 192.168.1.2Všetka premávka spojená s číslom 192.168.1.2
tcp port 22Všetka prevádzka spojená s portom 22
src 192.168.1.2Všetka premávka pochádzajúca z 192.168.1.2

V poliach hlavičky protokolu je možné vytvoriť zachytávacie filtre. Syntax vyzerá takto: proto[offset:size(voliteľné)]=hodnota. Proto predstavuje protokol, ktorý chcete filtrovať, offset predstavuje polohu hodnoty v hlavičke paketu, veľkosť predstavuje dĺžku údajov a hodnota predstavuje údaje, ktoré hľadáte.

Zobraziť filtre v programe Wireshark

Na rozdiel od zachytávacích filtrov, zobrazovacie filtre nevyhadzujú žiadne pakety, jednoducho ich pri prezeraní skryjú. Toto je dobrá voľba, pretože akonáhle vyhodíte pakety, nebudete ich môcť obnoviť.

Zobrazovacie filtre sa používajú na kontrolu prítomnosti určitého protokolu. Ak by ste napríklad chceli zobraziť pakety, ktoré obsahujú konkrétny protokol, môžete zadať názov protokolu na paneli nástrojov „Filter zobrazenia“ v programe Wireshark.

Ďalšie možnosti

Existujú rôzne ďalšie možnosti, ktoré môžete použiť na analýzu paketov v programe Wireshark, v závislosti od vašich potrieb.

  1. V okne „Štatistika“ v programe Wireshark nájdete rôzne základné nástroje, ktoré môžete použiť na analýzu paketov. Môžete napríklad použiť nástroj „Konverzácie“ na analýzu návštevnosti medzi dvoma rôznymi adresami IP.

  2. V okne „Expert Infos“ môžete analyzovať anomálie alebo nezvyčajné správanie vo vašej sieti.

Filtrovanie podľa portu vo Wiresharku

Filtrovanie podľa portu v programe Wireshark je jednoduché vďaka lište filtra, ktorá vám umožňuje použiť filter zobrazenia.

Napríklad, ak chcete filtrovať port 80, zadajte do panela filtrov toto: „tcp.port == 80.“ Môžete tiež napísať „ekv“ namiesto „==“, pretože „eq“ znamená „rovná sa“.

Môžete tiež filtrovať viacero portov naraz. || v tomto prípade sa používajú znaky.

Napríklad, ak chcete filtrovať porty 80 a 443, zadajte do panela filtrov toto: „tcp.port == 80 || tcp.port == 443“, alebo „tcp.port ekv 80 || tcp.port ekv. 443.”

Ďalšie často kladené otázky

Ako môžem filtrovať Wireshark podľa IP adresy a portu?

Existuje niekoľko spôsobov, ako môžete filtrovať Wireshark podľa adresy IP:

1. Ak máte záujem o paket s konkrétnou IP adresou, zadajte túto do panela filtra: “ip.adr == x.x.x.x.

2. Ak máte záujem o pakety prichádzajúce z konkrétnej adresy IP, zadajte do panela filtra toto: „ip.src == x.x.x.x.

3. Ak máte záujem, aby pakety smerovali na konkrétnu IP adresu, zadajte toto do panela filtra: “ip.dst == x.x.x.x.

Ak chcete použiť dva filtre, ako je IP adresa a číslo portu, pozrite si nasledujúci príklad: “ip.adr == 192.168.1.199.&&tcp.port eq 443.” Keďže „&&“ predstavuje symboly pre „a“, ich napísaním môžete filtrovať vyhľadávanie podľa adresy IP (192.168.1.199) a čísla portu (tcp.port eq 443).

Ako Wireshark zachytáva návštevnosť prístavu?

Wireshark zachytáva všetku sieťovú prevádzku, ako sa to deje. Zachytí všetku prevádzku portov a ukáže vám všetky čísla portov v konkrétnych pripojeniach.

Ak chcete spustiť snímanie, postupujte podľa týchto krokov:

1. Otvorte „Wireshark“.

2. Klepnite na „Zachytiť“.

3. Vyberte „Rozhrania“.

4. Klepnite na „Štart“.

Ak sa chcete zamerať na konkrétne číslo portu, môžete použiť panel filtrov.

Keď chcete zastaviť snímanie, stlačte „Ctrl + E.“

Čo je zachytávací filter pre možnosť DHCP?

Možnosť Dynamic Host Configuration Protocol (DHCP) predstavuje druh protokolu správy siete. Používa sa na automatické prideľovanie IP adries zariadeniam, ktoré sú pripojené k sieti. Použitím možnosti DHCP nemusíte ručne konfigurovať rôzne zariadenia.

Ak chcete v programe Wireshark vidieť iba pakety DHCP, na paneli filtrov napíšte „bootp“. Prečo bootp? Pretože predstavuje staršiu verziu DHCP a obe používajú rovnaké čísla portov – 67 a 68.

Prečo by som mal používať Wireshark?

Používanie Wireshark má množstvo výhod, z ktorých niektoré sú:

1. Je to zadarmo – môžete analyzovať svoju sieťovú prevádzku úplne zadarmo!

2. Dá sa použiť pre rôzne platformy – Wireshark môžete použiť na Windows, Linux, Mac, Solaris atď.

3. Je to podrobné – Wireshark ponúka hĺbkovú analýzu mnohých protokolov.

4. Ponúka živé dáta – tieto dáta je možné zbierať z rôznych zdrojov ako Ethernet, Token Ring, FDDI, Bluetooth, USB atď.

5. Je široko používaný – Wireshark je najpopulárnejší analyzátor sieťových protokolov.

Wireshark nehryzie!

Teraz ste sa dozvedeli viac o programe Wireshark, jeho schopnostiach a možnostiach filtrovania. Ak si chcete byť istí, že dokážete vyriešiť a identifikovať akýkoľvek typ problémov so sieťou alebo skontrolovať údaje prichádzajúce a odchádzajúce z vašej siete, a tak ju udržať v bezpečí, určite by ste mali vyskúšať Wireshark.

Použili ste niekedy Wireshark? Povedzte nám o tom v sekcii komentárov nižšie.