Správcovia siete sa pri svojej práci stretávajú so širokou škálou problémov so sieťou. Kedykoľvek sa vyskytne podozrivá akcia alebo potreba vyhodnotiť konkrétny segment siete, môžu sa hodiť nástroje na analýzu protokolov, ako je Wireshark. Jednou z obzvlášť užitočných funkcií je filtrovanie sieťových paketov podľa IP adries.
Ak ste prvým používateľom, môže byť pre vás trochu náročné nakonfigurovať kroky, ako to urobiť sami. Našťastie sme zostavili túto dokonalú príručku o tom, ako filtrovať podľa adresy IP v programe Wireshark. Odídete s poznaním rozdielu medzi dvoma jazykmi filtrovania, naučíte sa nové reťazce filtrov a oveľa viac.
Najlepšie na tom je, že pri prvom vykonaní týchto krokov budete potrebovať iba pomoc. Každé nasledujúce vystúpenie bude hračka!
Čo je Wireshark?
Wireshark je sieťový analyzátor paketov, ktorý už nejaký čas dominuje priemyselnému priestoru. Bolo to skvelé až do bodu odloženia mnohých podobných nástrojov vrátane Microsoft Network Monitor. Dve hlavné funkcie, ktoré preslávili Wireshark, sú jeho flexibilita a jednoduché použitie.
Analyzátory sieťových paketov sú nástroje, ktoré zachytávajú a analyzujú dátovú prevádzku čo najpodrobnejšie v konkrétnych komunikačných kanáloch. Slúžia ako špičkové diagnostické nástroje pre vstavané systémy.
Wireshark prichádza so špičkovou schopnosťou filtrovať pakety počas zachytávania a analýzy s rôznymi úrovňami zložitosti. Vďaka tomu je rovnako vhodný pre začiatočníkov, ako aj pre profesionálov v oblasti monitorovania siete. Wireshark tiež prijíma a analyzuje návštevnosť z rôznych iných analyzátorov protokolov, vďaka čomu je jednoduché kontrolovať minulú návštevnosť v konkrétnych časoch v minulosti.
Pred Wiresharkom boli nástroje na sledovanie siete veľmi drahé alebo proprietárne. To všetko sa zmenilo s príchodom tejto aplikácie. Softvér je open source a podporuje všetky hlavné platformy. To prinieslo Wiresharku veľa podpory komunity, čo znížilo náklady ako prekážku a vytvorilo priestor pre širokú škálu príležitostí na školenie.
Tu je dôvod, prečo ľudia môžu chcieť používať Wireshark:
- Riešenie problémov so sieťou
- Skúmanie bezpečnostných problémov
- Skúmanie sieťových aplikácií
- Implementácie protokolu ladenia
- Zoznámenie sa s internými sieťovými protokolmi
Wireshark je zadarmo na stiahnutie. Ak ešte nie, môžete tak urobiť tu. Stačí stiahnuť spustiteľný súbor a kliknutím na súbor ho nainštalovať.
Používateľské rozhranie Wireshark
Po stiahnutí a inštalácii Wireshark k nemu máte prístup z miestneho shellu alebo správcu okien. Jedna z prvých vecí, ktoré musíte urobiť, je vybrať sieťové rozhranie zo zoznamu sietí na vašich počítačových adaptéroch.
Môžete kliknúť na „Zachytiť“, potom na „Rozhrania“ z ponuky a vybrať príslušnú možnosť.
Hlavné okno v rozhraní Wireshark pozostáva z niekoľkých častí:
- Menu – slúži na spustenie akcií
- Hlavný panel nástrojov – rýchly prístup k položkám, ktoré často používate z ponuky
- Panel nástrojov filtra – tu môžete nastaviť filtre zobrazenia
- Panel so zoznamom paketov – súhrny zachytených paketov
- Panel s podrobnosťami – viac informácií o vybranom pakete z paketovej dráhy
- Panel bajtov – údaje z paketu na paneli so zoznamom paketov so zvýraznením zvoleného poľa v tomto paneli
- Stavový riadok – zachytené dáta a informácie o stave prebiehajúceho programu
Môžete ovládať zoznamy paketov a prechádzať podrobnosťami úplne pomocou klávesnice. Tu je tabuľka zobrazujúca bežné príkazy klávesových skratiek.
Ako pridať filtre do Wireshark?
Panel s nástrojmi „Filter“ je miesto, kde môžete prispôsobiť a spustiť nové filtre zobrazenia.
Ak chcete vytvoriť a upraviť filtre zachytávania, prejdite na položku „Spravovať filtre snímania“ z ponuky záložiek alebo prejdite na „Zachytiť“ a potom na „Filtre snímania“ z hlavnej ponuky.
Ak chcete vytvoriť a upraviť filtre zobrazenia, v ponuke záložiek vyberte položku „Spravovať filtre zobrazenia“ alebo prejdite do hlavnej ponuky a vyberte možnosť „Analyzovať“ a potom „Filtre zobrazenia“.
Uvidíte sekciu vstupu filtra so zeleným pozadím. Toto je oblasť, kde zadávate a upravujete reťazce filtra zobrazenia. Tu môžete vidieť aj aktuálne použitý filter. Jednoducho kliknite na názov filtra alebo dvakrát kliknite na reťazec a upravte ho.
Ako píšete, systém vykoná systémovú kontrolu reťazca filtra. Ak zadáte neplatnú, pozadie sa zmení zo zelenej na červenú. Ak chcete použiť reťazec filtra, vždy stlačte tlačidlo „Použiť“ alebo kláves „Enter“.
Nový filter môžete pridať kliknutím na tlačidlo „Pridať“, čo je čierne znamienko plus na svetlosivom pozadí. Ďalším spôsobom, ako pridať nový filter, je kliknúť pravým tlačidlom myši na oblasť tlačidla filtra. Ak chcete filter odstrániť, kliknite na tlačidlo mínus. Ak nie je vybratý žiadny filter, tlačidlo mínus bude sivé.
Ako filtrovať podľa IP adresy v Wireshark?
Vynikajúcou vlastnosťou Wireshark je, že vám umožňuje filtrovať pakety podľa IP adries. Postupujte podľa pokynov nižšie, ako to urobiť:
- Začnite kliknutím na tlačidlo plus a pridajte nový filter zobrazenia.
- V poli Filter spustite nasledujúcu operáciu: ip.addr==[IP adresa] a stlačte Enter.
- Všimnite si, že pruh so zoznamom paketov teraz filtruje iba prevádzku, ktorá smeruje do (cieľa) a zo (zdroja) IP adresy, ktorú ste zadali.
- Ak chcete filter vymazať, kliknite na tlačidlo „Vymazať“ na paneli s nástrojmi Filter.
Zdrojová IP
Zobrazenie paketov môžete obmedziť na tie s konkrétnymi zdrojovými IP adresami, ktoré sa zobrazujú v danom filtri. Stačí spustiť nasledujúci príkaz v poli filtra a stlačiť Enter:
ip.src == [IP adresa]
Cieľová adresa IP
Môžete použiť cieľové filtre na obmedzenie zobrazenia paketov na tie s konkrétnou cieľovou IP zobrazenou vo filtri.
Príkaz je nasledovný:
ip.dst == [IP adresa]
Filter záznamu vs. filter zobrazenia
Wireshark podporuje dva jazyky filtrovania: zachytávacie filtre a zobrazovacie filtre. Prvý sa používa na filtrovanie pri zachytávaní paketov. Posledné filtruje zobrazené pakety. Pomocou zobrazovacích filtrov sa môžete zamerať na pakety, ktoré vás zaujímajú, a skryť tie, ktoré momentálne nie sú dôležité. Pakety môžete zobraziť na základe niekoľkých faktorov:
- Protokol
- Prítomnosť v teréne
- Hodnoty poľa
- Porovnanie v teréne
Filtre zobrazenia používajú syntax logického operátora a polia, ktoré popisujú pakety, ktoré filtrujete. Keď vytvoríte niekoľko filtrov zobrazenia, bude ľahké ich napísať. Filtre zachytávania sú o niečo menej intuitívne, pretože sú záhadné.
Tu je prehľad funkcií a použitia každého filtra:
Filtre na zachytávanie:
- Nastavujú sa pred začatím zachytávania premávky
- Nie je možné zmeniť počas zaznamenávania premávky
- Používa sa na zaznamenávanie špecifického typu premávky
Zobrazovacie filtre:
- Znižujú počet paketov, ktoré sa zobrazujú v programe Wireshark
- Dá sa prispôsobiť počas zaznamenávania premávky
- Používa sa na skrytie premávky na posúdenie konkrétnych typov premávky
Viac informácií o filtrovaní počas snímania nájdete na tejto stránke.
Ďalšie často kladené otázky
Ako môžem filtrovať Wireshark podľa adresy URL?
Dané adresy URL HTTP v zachytávaní v programe Wireshark môžete vyhľadať pomocou nasledujúceho reťazca filtra:
http obsahuje „[URL]. “
Upozorňujeme, že operátory „obsahuje“ nemôžete použiť na atómové polia (čísla, adresy IP.)
Ako môžem filtrovať Wireshark podľa čísla portu?
Na filtrovanie Wireshark podľa čísla portu môžete použiť nasledujúci príkaz:
Tcp.port eq [číslo portu].
Ako funguje Wireshark?
Wireshark je nástroj na snímanie sieťových paketov. Analyzuje sieťové pakety tak, že sa pripojí k internetu a zaregistruje pakety, ktoré cez ňu prechádzajú. Používateľom potom poskytuje informácie o týchto paketoch vrátane ich pôvodu, cieľa, obsahu, protokolov, správ atď.
Chystám sa 007 na Network Sniffing
Vďaka Wiresharku sa sieťoví inžinieri a správcovia už nemusia obávať, že by im chýbali diagnostické nástroje na riešenie základných problémov so sieťou. Vďaka ľahko dostupným a pohodlným funkciám programu je oveľa jednoduchšie posúdiť zraniteľnosť siete a vykonať riešenie problémov.
Po prečítaní nášho článku by ste teraz mali byť schopní rozoznať rozdiel medzi rôznymi možnosťami filtrovania v programe súvisiacom s filtrovaním IP. Naučili ste sa tiež základné reťazcové výrazy na filtrovanie podľa adresy IP a oveľa viac. Dúfajme, že to pomôže vyriešiť akékoľvek problémy so sieťou, s ktorými sa môžete stretnúť.
Aké ďalšie funkcie často používate v programe Wireshark? Čím sa podľa vás Wireshark odlišuje od konkurencie? Podeľte sa o svoje myšlienky v sekcii komentárov nižšie.