A Wireshark a világ leggyakrabban használt protokollelemzője. Használatával mindent ellenőrizhet, ami a hálózaton belül történik, elháríthatja a különböző problémákat, elemezheti és szűrheti a hálózati forgalmat különféle eszközök segítségével stb.
Ha többet szeretne megtudni a Wiresharkról és a port szerinti szűrésről, feltétlenül olvassa el.
Mi is pontosan a portszűrés?
A portszűrés a csomagok (különböző hálózati protokollokból származó üzenetek) szűrésének módja a portszámuk alapján. Ezeket a portszámokat a TCP és UDP protokollokhoz használják, amelyek a legismertebb átviteli protokollok. A portszűrés egyfajta védelmet jelent a számítógép számára, mivel a portszűréssel engedélyezheti vagy blokkolhatja bizonyos portokat, hogy megakadályozza a hálózaton belüli különböző műveleteket.
A különböző internetes szolgáltatásokhoz, például fájlátvitelhez, e-mailhez stb. használható egy jól bevált portrendszer. Valójában több mint 65 000 különböző port létezik. „Engedélyezett” vagy „zárt” módban léteznek. Egyes internetes alkalmazások meg tudják nyitni ezeket a portokat, így jobban ki van téve a számítógépe hackereknek és vírusoknak.
A Wireshark használatával különböző csomagokat szűrhet a portszámuk alapján. Miért akarod ezt megtenni? Mert így kiszűrheti az összes olyan csomagot, amelyet különböző okok miatt nem szeretne a számítógépében.
Melyek a fontos portok?
65 535 port található. Három különböző kategóriába sorolhatók: a 0 és 1023 közötti portok jól ismertek, és általános szolgáltatásokhoz és protokollokhoz vannak hozzárendelve. Ezután 1024-től 49151-ig regisztrált portok vannak – ezeket az ICANN rendeli hozzá egy adott szolgáltatáshoz. A nyilvános portok pedig a 49152-65535-ös portok, ezeket bármilyen szolgáltatás használhatja. A különböző protokollokhoz különböző portokat használnak.
Ha többet szeretne megtudni a leggyakoribbakról, nézze meg az alábbi listát:
Port száma | Szolgáltatás neve | Jegyzőkönyv |
20, 21 | Fájlátviteli protokoll – FTP | TCP |
22 | Biztonságos shell – SSH | TCP és UDP |
23 | Telnet | TCP |
25 | Egyszerű levélátviteli protokoll | TCP |
53 | Domain névrendszer – DNS | TCP és UDP |
67/68 | Dynamic Host Configuration Protocol – DHCP | UDP |
80 | Hypertext Transfer Protocol – HTTP | TCP |
110 | Posta protokoll – POP3 | TCP |
123 | Hálózati időprotokoll – NTP | UDP |
143 | Internet Message Access Protocol (IMAP4) | TCP és UDP |
161/162 | Egyszerű hálózatkezelési protokoll – SNMP | TCP és UDP |
443 | HTTP Secure Sockets Layerrel – HTTPS (HTTP over SSL/TLS) | TCP |
Elemzés a Wiresharkban
A Wireshark elemzési folyamata különböző protokollok és adatok megfigyelését jelenti a hálózaton belül.
Mielőtt elkezdené az elemzési folyamatot, győződjön meg arról, hogy ismeri az elemezni kívánt forgalom típusát, valamint a forgalmat kibocsátó különféle típusú eszközöket:
- Támogatja a promiszkuális módot? Ha így tesz, ez lehetővé teszi, hogy az eszköz olyan csomagokat gyűjtsön, amelyeket eredetileg nem az Ön készülékéhez szánnak.
- Milyen eszközök vannak a hálózaton belül? Fontos szem előtt tartani, hogy a különböző típusú eszközök különböző csomagokat továbbítanak.
- Milyen típusú forgalmat szeretne elemezni? A forgalom típusa a hálózaton belüli eszközöktől függ.
A különböző szűrők használatának ismerete rendkívül fontos a tervezett csomagok rögzítéséhez. Ezeket a szűrőket a csomagrögzítési folyamat előtt használják. Hogyan működnek? Egy adott szűrő beállításával azonnal eltávolítja azt a forgalmat, amely nem felel meg a megadott feltételeknek.
A Wiresharkon belül a Berkley Packet Filter (BPF) szintaxist használják különböző rögzítési szűrők létrehozására. Mivel ezt a szintaxist használják leggyakrabban a csomagelemzésben, fontos megérteni, hogyan működik.
A Berkley Packet Filter szintaxisa különböző szűrőkifejezések alapján rögzíti a szűrőket. Ezek a kifejezések egy vagy több primitívből állnak, a primitívek pedig egy azonosítóból (értékek vagy nevek, amelyeket különböző csomagokban keresnek), majd egy vagy több minősítőt tartalmaznak.
A minősítők három különböző típusra oszthatók:
- Típus – ezekkel a minősítőkkel adja meg, hogy az azonosító milyen dolgot képvisel. A típusminősítők közé tartozik a port, a net és a host.
- Dir (irány) – ezek a minősítők az átviteli irány meghatározására szolgálnak. Ilyen módon az „src” a forrást, a „dst” pedig a célt jelöli.
- Proto (protokoll) – a protokoll minősítőkkel megadhatja, hogy melyik protokollt szeretné rögzíteni.
A keresés kiszűréséhez különböző minősítők kombinációját használhatja. Használhat operátorokat is: például használhatja az összefűzési operátort (&/and), a tagadó operátort (!/not) stb.
Íme néhány példa a Wiresharkban használható rögzítési szűrőkre:
Szűrők | Leírás |
host 192.168.1.2 | A 192.168.1.2-hez kapcsolódó összes forgalom |
tcp port 22 | A 22-es porthoz kapcsolódó összes forgalom |
src 192.168.1.2 | Minden forgalom, amely a 192.168.1.2 |
Lehetőség van rögzítési szűrők létrehozására a protokoll fejlécében. A szintaxis így néz ki: proto[offset:size(optional)]=value. Itt a proto a szűrni kívánt protokollt, az offset az érték pozícióját a csomag fejlécében, a méret az adat hosszát, az érték pedig a keresett adatot jelenti.
Szűrők megjelenítése a Wiresharkban
A rögzítő szűrőkkel ellentétben a megjelenítési szűrők nem dobnak el egyetlen csomagot sem, hanem egyszerűen elrejtik őket megtekintés közben. Ez egy jó lehetőség, mivel ha egyszer eldobja a csomagokat, nem fogja tudni visszaállítani őket.
A kijelzőszűrők egy bizonyos protokoll meglétének ellenőrzésére szolgálnak. Ha például egy adott protokollt tartalmazó csomagokat szeretne megjeleníteni, beírhatja a protokoll nevét a Wireshark „Display filter” eszköztárába.
Egyéb opciók
Számos egyéb lehetőség is van a csomagok elemzésére a Wiresharkban, az Ön igényeitől függően.
- A Wireshark „Statisztikák” ablakában különböző alapvető eszközöket találhat, amelyekkel csomagokat elemezhet. Használhatja például a „Beszélgetések” eszközt két különböző IP-cím közötti forgalom elemzésére.
- A „Szakértői információk” ablakban elemezheti a hálózaton belüli rendellenességeket vagy szokatlan viselkedést.
Szűrés port szerint a Wiresharkban
A Wireshark portonkénti szűrése egyszerű a képernyőszűrő alkalmazását lehetővé tevő szűrősávnak köszönhetően.
Például, ha a 80-as portot szeretné szűrni, írja be ezt a szűrősávba: "tcp.port == 80
.” Azt is megteheti, hogy írja be: "ekv
” az „==” helyett, mivel az „eq” az „egyenlő”-re utal.
Egyszerre több portot is szűrhet. A || jeleket használnak ebben az esetben.
Például, ha szűrni szeretné a 80-as és 443-as portot, írja be ezt a szűrősávba: "tcp.port == 80 || tcp.port == 443
”, vagy „tcp.port eq 80 || tcp.port eq 443
.”
További GYIK
Hogyan szűrhetem a Wiresharkot IP-cím és port alapján?
Számos módja van a Wireshark szűrésének IP-cím alapján:
1. Ha egy adott IP-című csomagra kíváncsi, írja be ezt a szűrősávba: "ip.adr == x.x.x.x.
”
2. Ha egy adott IP-címről érkező csomagok érdeklik, írja be ezt a szűrősávba: "ip.src == x.x.x.x.
”
3. Ha érdekli, hogy a csomagok egy adott IP-címre menjenek, írja be ezt a szűrősávba: "ip.dst == x.x.x.x.
”
Ha két szűrőt, például IP-címet és portszámot szeretne alkalmazni, nézze meg a következő példát: "ip.adr == 192.168.1.199.&&&tcp.port eq 443.
” Mivel az „&&” az „és” szimbólumokat jelenti, ennek beírásával szűrheti a keresést IP-cím (192.168.1.199) és portszám (tcp.port eq 443) alapján.
Hogyan rögzíti a Wireshark a portforgalmat?
A Wireshark azonnal rögzíti az összes hálózati forgalmat. Ez rögzíti az összes port forgalmat, és megmutatja az összes portszámot az adott kapcsolatokban.
Ha el szeretné indítani a rögzítést, kövesse az alábbi lépéseket:
1. Nyissa meg a „Wiresharkot”.
2. Érintse meg a „Rögzítés” lehetőséget.
3. Válassza az „Interfaces” lehetőséget.
4. Érintse meg a „Start” gombot.
Ha egy adott portszámra szeretne összpontosítani, használhatja a szűrősávot.
Ha le szeretné állítani a rögzítést, nyomja meg a „Ctrl + E” billentyűt.
Mi a rögzítési szűrő a DHCP opcióhoz?
A Dynamic Host Configuration Protocol (DHCP) opció egyfajta hálózatfelügyeleti protokollt jelent. Az IP-címek automatikus hozzárendelésére szolgál a hálózathoz csatlakoztatott eszközökhöz. A DHCP opció használatával nem kell manuálisan konfigurálnia a különféle eszközöket.
Ha csak a DHCP-csomagokat szeretné látni a Wiresharkban, írja be a „bootp” szót a szűrősávba. Miért bootp? Mert ez a DHCP régebbi verzióját képviseli, és mindkettő ugyanazt a portszámot használja – 67 és 68.
Miért használjam a Wiresharkot?
A Wireshark használatának számos előnye van, amelyek közül néhány:
1. Ingyenes – teljesen ingyenesen elemezheti hálózati forgalmát!
2. Különféle platformokon használható – használhatja a Wiresharkot Windowson, Linuxon, Macen, Solarison stb.
3. Részletes – a Wireshark számos protokoll mélyreható elemzését kínálja.
4. Élő adatokat kínál – ezek az adatok különböző forrásokból gyűjthetők, például Ethernet, Token Ring, FDDI, Bluetooth, USB stb.
5. Széles körben használják – A Wireshark a legnépszerűbb hálózati protokollelemző.
A Wireshark nem harap!
Most többet megtudott a Wiresharkról, annak képességeiről és szűrési lehetőségeiről. Ha biztos akar lenni abban, hogy el tudja végezni a hibaelhárítást és azonosítani bármilyen típusú hálózati problémát, vagy ellenőrizni tudja a hálózatába bejövő és onnan kijövő adatokat, így megőrizve azok biztonságát, mindenképpen próbálja ki a Wiresharkot.
Használtad már a Wiresharkot? Mondja el nekünk az alábbi megjegyzés szakaszban.