A hálózati rendszergazdák sokféle hálózati problémával találkoznak munkájuk során. Amikor gyanús műveletre van szükség, vagy egy adott hálózati szegmens értékelésére van szükség, a protokollelemző eszközök, például a Wireshark jól jöhetnek. Az egyik különösen hasznos funkció a hálózati csomagok szűrése IP-címek alapján.
Ha Ön először használ, akkor kissé kihívást jelenthet a lépések önálló konfigurálása. Szerencsére összeállítottuk ezt a végső útmutatót az IP alapján történő szűréshez a Wiresharkban. Megismerheti a két szűrőnyelv közötti különbséget, új szűrőkarakterláncokat tanulhat meg, és még sok minden más.
A legjobb dolog az, hogy csak ezeknek a lépéseknek a végrehajtásához lesz szüksége segítségre. Minden következő előadás egy szelet torta lesz!
Mi az a Wireshark?
A Wireshark egy hálózati csomagelemző, amely már egy ideje uralja az iparágat. Nagyon jó volt addig a pontig, amíg sok hasonló eszközt, köztük a Microsoft Network Monitort, a polcokra helyezték. A Wireshark két fő jellemzője a rugalmassága és a könnyű kezelhetősége tette híressé.
A hálózati csomagelemzők olyan eszközök, amelyek az adatforgalmat a lehető legrészletesebben rögzítik és elemzik az adott kommunikációs csatornákon. A beágyazott rendszerek végső diagnosztikai eszközeiként szolgálnak.
A Wireshark csúcsminőségű képességgel rendelkezik a csomagok szűrésére a rögzítés és az elemzés során különböző összetettségi szinteken. Ez egyformán kényelmessé teszi az első alkalommal használók és a hálózatfigyelő szakemberek számára. A Wireshark emellett különféle más protokollelemzőkből származó forgalmat is feldolgoz és elemzi, így egyszerűvé teszi a múltbeli forgalom áttekintését bizonyos múltbeli időpontokban.
A Wireshark előtt a hálózati nyomkövető eszközök nagyon drágák vagy védettek voltak. Mindez megváltozott az alkalmazás megjelenésével. A szoftver nyílt forráskódú, és támogatja az összes főbb platformot. Ez sok közösségi támogatást hozott a Wiresharknak, ami gátat szabott a költségeknek, és teret engedett a képzési lehetőségek széles skálájának.
Íme, miért szeretnék az emberek használni a Wiresharkot:
- Hálózati problémák hibaelhárítása
- Biztonsági problémák vizsgálata
- Hálózati alkalmazások vizsgálata
- Hibakeresési protokoll implementációk
- A hálózati protokoll belső tulajdonságainak megismerése
A Wireshark ingyenesen letölthető. Ha még mindig nem tette meg, itt megteheti. Csak töltse le a végrehajtható fájlt, és kattintson a fájlra a telepítéshez.
A Wireshark felhasználói felület
A Wireshark letöltése és telepítése után elérheti azt a helyi shellből vagy ablakkezelőből. Az egyik első dolog, amit meg kell tennie, hogy válasszon egy hálózati interfészt a számítógép-adapterek hálózatainak listájából.
Kattintson a „Rögzítés”, majd az „Interfész” elemre a menüből, és válassza ki a megfelelő opciót.
A Wireshark felület fő ablaka több részből áll:
- Menü – műveletek indítására szolgál
- Fő eszköztár – gyors hozzáférés a gyakran használt elemekhez a menüből
- Szűrő eszköztár – itt állíthatja be a megjelenítési szűrőket
- Csomaglista panel – rögzített csomagösszegzések
- Részletek panel – további információ a csomagsávból kiválasztott csomagról
- Bájtok panel – adatok a csomaglista panel csomagjából, kiemelve a kiválasztott mezőt a panelen
- Állapotsor – rögzített adatok és folyamatban lévő programállapot-információk
A billentyűzettel vezérelheti a csomaglistákat és navigálhat a részletek között. Itt található egy táblázat, amely a gyakori billentyűparancsokat mutatja be.
Hogyan lehet szűrőket hozzáadni a Wiresharkban?
A „Szűrő” eszköztárban testreszabhatja és új megjelenítési szűrőket futtathat.
Rögzítési szűrők létrehozásához és szerkesztéséhez lépjen a „Rögzítési szűrők kezelése” elemre a könyvjelző menüből, vagy lépjen a „Rögzítés”, majd a „Rögzítési szűrők” elemre a főmenüből.
Megjelenítési szűrők létrehozásához és szerkesztéséhez válassza a „Képernyőszűrők kezelése” lehetőséget a könyvjelző menüből, vagy lépjen a főmenübe, és válassza az „Elemzés”, majd a „Megjelenítési szűrők” lehetőséget.
Látni fog egy szűrőbemeneti részt zöld háttérrel. Ez az a terület, ahol beírhatja és szerkesztheti a megjelenítési szűrő karakterláncait. Itt láthatja az aktuálisan alkalmazott szűrőt is. Egyszerűen kattintson a szűrő nevére, vagy kattintson duplán a karakterláncra a szerkesztéséhez.
Írás közben a rendszer elvégzi a szűrő karakterlánc rendszerellenőrzését. Ha érvénytelen értéket ad meg, a háttér zöldről pirosra vált. Mindig nyomja meg az „Alkalmaz” gombot vagy az „Enter” gombot a szűrőkarakterlánc alkalmazásához.
Új szűrőt a „Hozzáadás” gombra kattintva adhat hozzá, amely egy fekete pluszjel világosszürke alapon. Új szűrő hozzáadásának másik módja, ha jobb gombbal kattint a szűrőgomb területére. A szűrő eltávolításához kattintson a mínusz gombra. A mínusz gomb szürkén jelenik meg, ha nincs kiválasztva szűrő.
Hogyan lehet szűrni IP-cím alapján a Wiresharkban?
A Wireshark kiváló tulajdonsága, hogy lehetővé teszi a csomagok szűrését IP-címek alapján. Egyszerűen kövesse az alábbi lépéseket, hogy megtudja, hogyan kell ezt megtenni:
- Kezdje a plusz gombra kattintva új megjelenítési szűrő hozzáadásához.
- Futtassa a következő műveletet a Szűrő mezőben: ip.addr==[IP-cím] és nyomja meg az Entert.
- Figyelje meg, hogy a Csomaglista sáv most csak azt a forgalmat szűri, amely a (cél) és a (forrás) a megadott IP-címre megy.
- A szűrő törléséhez kattintson a „Törlés” gombra a Szűrő eszköztárban.
Forrás IP
Korlátozhatja a csomagnézetet a szűrőben megjelenő adott forrás IP-címmel rendelkezőkre. Csak futtassa a következő parancsot a szűrőmezőben, és nyomja meg az Enter billentyűt:
ip.src == [IP-cím]
Cél IP
Célszűrők alkalmazásával korlátozhatja a csomagnézetet azokra, amelyeknek meghatározott cél IP-címe jelenik meg a szűrőben.
A parancs a következő:
ip.dst == [IP-cím]
Capture Filter vs. Display Filter
A Wireshark két szűrési nyelvet támogat: a rögzítési szűrőket és a megjelenítési szűrőket. Az előbbi a csomagok rögzítése közbeni szűrésre szolgál. Ez utóbbi szűri a megjelenített csomagokat. A megjelenítési szűrőkkel az Önt érdeklő csomagokra összpontosíthat, és elrejtheti azokat, amelyek jelenleg nem fontosak. A csomagokat több tényező alapján is megjelenítheti:
- Jegyzőkönyv
- Terepi jelenlét
- Mezőértékek
- Terep összehasonlítás
A megjelenítési szűrők logikai operátori szintaxist és olyan mezőket használnak, amelyek leírják a szűrni kívánt csomagokat. Néhány megjelenítési szűrő létrehozása után egyszerűvé válik azok írása. A rögzítőszűrők valamivel kevésbé intuitívak, mivel rejtélyesek.
Íme az egyes szűrők funkcióinak és használatának áttekintése:
Rögzítési szűrők:
- A forgalom rögzítésének megkezdése előtt vannak beállítva
- Forgalomrögzítés közben nem lehet változtatni
- Adott forgalomtípus rögzítésére szolgál
Kijelző szűrők:
- Csökkentik a Wiresharkban megjelenő csomagokat
- Forgalomrögzítés során személyre szabható
- A forgalom elrejtésére szolgál bizonyos forgalomtípusok felméréséhez
A rögzítés közbeni szűréssel kapcsolatos további információkért látogasson el erre az oldalra.
További GYIK
Hogyan szűrhetem a Wiresharkot URL alapján?
A Wiresharkban rögzített HTTP URL-címekre a következő szűrőkarakterlánc használatával kereshet:
A http tartalmazza: „[URL]. "
Ne feledje, hogy nem használhatja a „contains” operátorokat atommezőknél (számok, IP-címek).
Hogyan szűrhetem a Wiresharkot portszám alapján?
A következő paranccsal szűrheti a Wiresharkot portszám szerint:
Tcp.port eq [portszám].
Hogyan működik a Wireshark?
A Wireshark egy hálózati csomagszimuláló eszköz. A hálózati csomagokat úgy elemzi, hogy internetkapcsolatot vesz fel, és regisztrálja a rajta áthaladó csomagokat. Ezután a felhasználók rendelkezésére bocsátja a csomagokra vonatkozó információkat, beleértve a származási helyüket, a célállomásukat, a tartalmat, a protokollokat, az üzeneteket stb.
Going 007 a Network Sniffing
A Wiresharknak köszönhetően a hálózati mérnököknek és rendszergazdáknak többé nem kell aggódniuk amiatt, hogy kihagyják a diagnosztikai eszközöket az alapvető hálózati problémák esetén. A program könnyen elérhető és kényelmes szolgáltatásai sokkal egyszerűbbé teszik a hálózati sérülékenységek felmérését és a hibaelhárítást.
Cikkünk elolvasása után az IP-szűréssel kapcsolatos programban most már meg kell tudni különböztetni a különböző szűrési lehetőségeket. Megtanulta az IP szerinti szűrés alapvető karakterlánc-kifejezéseit és még sok mást is. Remélhetőleg ez segít megoldani az esetleges hálózati problémákat.
Milyen egyéb funkciókat használ gyakran a Wiresharkban? Mit gondol, miben áll ki a Wireshark a versenytársak közül? Ossza meg gondolatait az alábbi megjegyzések részben.