Szűrés IP alapján a Wiresharkban

A hálózati rendszergazdák sokféle hálózati problémával találkoznak munkájuk során. Amikor gyanús műveletre van szükség, vagy egy adott hálózati szegmens értékelésére van szükség, a protokollelemző eszközök, például a Wireshark jól jöhetnek. Az egyik különösen hasznos funkció a hálózati csomagok szűrése IP-címek alapján.

Szűrés IP alapján a Wiresharkban

Ha Ön először használ, akkor kissé kihívást jelenthet a lépések önálló konfigurálása. Szerencsére összeállítottuk ezt a végső útmutatót az IP alapján történő szűréshez a Wiresharkban. Megismerheti a két szűrőnyelv közötti különbséget, új szűrőkarakterláncokat tanulhat meg, és még sok minden más.

A legjobb dolog az, hogy csak ezeknek a lépéseknek a végrehajtásához lesz szüksége segítségre. Minden következő előadás egy szelet torta lesz!

Mi az a Wireshark?

A Wireshark egy hálózati csomagelemző, amely már egy ideje uralja az iparágat. Nagyon jó volt addig a pontig, amíg sok hasonló eszközt, köztük a Microsoft Network Monitort, a polcokra helyezték. A Wireshark két fő jellemzője a rugalmassága és a könnyű kezelhetősége tette híressé.

A hálózati csomagelemzők olyan eszközök, amelyek az adatforgalmat a lehető legrészletesebben rögzítik és elemzik az adott kommunikációs csatornákon. A beágyazott rendszerek végső diagnosztikai eszközeiként szolgálnak.

A Wireshark csúcsminőségű képességgel rendelkezik a csomagok szűrésére a rögzítés és az elemzés során különböző összetettségi szinteken. Ez egyformán kényelmessé teszi az első alkalommal használók és a hálózatfigyelő szakemberek számára. A Wireshark emellett különféle más protokollelemzőkből származó forgalmat is feldolgoz és elemzi, így egyszerűvé teszi a múltbeli forgalom áttekintését bizonyos múltbeli időpontokban.

A Wireshark előtt a hálózati nyomkövető eszközök nagyon drágák vagy védettek voltak. Mindez megváltozott az alkalmazás megjelenésével. A szoftver nyílt forráskódú, és támogatja az összes főbb platformot. Ez sok közösségi támogatást hozott a Wiresharknak, ami gátat szabott a költségeknek, és teret engedett a képzési lehetőségek széles skálájának.

Íme, miért szeretnék az emberek használni a Wiresharkot:

  • Hálózati problémák hibaelhárítása
  • Biztonsági problémák vizsgálata
  • Hálózati alkalmazások vizsgálata
  • Hibakeresési protokoll implementációk
  • A hálózati protokoll belső tulajdonságainak megismerése

A Wireshark ingyenesen letölthető. Ha még mindig nem tette meg, itt megteheti. Csak töltse le a végrehajtható fájlt, és kattintson a fájlra a telepítéshez.

A Wireshark felhasználói felület

A Wireshark letöltése és telepítése után elérheti azt a helyi shellből vagy ablakkezelőből. Az egyik első dolog, amit meg kell tennie, hogy válasszon egy hálózati interfészt a számítógép-adapterek hálózatainak listájából.

Kattintson a „Rögzítés”, majd az „Interfész” elemre a menüből, és válassza ki a megfelelő opciót.

A Wireshark felület fő ablaka több részből áll:

  • Menü – műveletek indítására szolgál
  • Fő eszköztár – gyors hozzáférés a gyakran használt elemekhez a menüből
  • Szűrő eszköztár – itt állíthatja be a megjelenítési szűrőket
  • Csomaglista panel – rögzített csomagösszegzések
  • Részletek panel – további információ a csomagsávból kiválasztott csomagról
  • Bájtok panel – adatok a csomaglista panel csomagjából, kiemelve a kiválasztott mezőt a panelen
  • Állapotsor – rögzített adatok és folyamatban lévő programállapot-információk

A billentyűzettel vezérelheti a csomaglistákat és navigálhat a részletek között. Itt található egy táblázat, amely a gyakori billentyűparancsokat mutatja be.

Hogyan lehet szűrőket hozzáadni a Wiresharkban?

A „Szűrő” eszköztárban testreszabhatja és új megjelenítési szűrőket futtathat.

Rögzítési szűrők létrehozásához és szerkesztéséhez lépjen a „Rögzítési szűrők kezelése” elemre a könyvjelző menüből, vagy lépjen a „Rögzítés”, majd a „Rögzítési szűrők” elemre a főmenüből.

Megjelenítési szűrők létrehozásához és szerkesztéséhez válassza a „Képernyőszűrők kezelése” lehetőséget a könyvjelző menüből, vagy lépjen a főmenübe, és válassza az „Elemzés”, majd a „Megjelenítési szűrők” lehetőséget.

Látni fog egy szűrőbemeneti részt zöld háttérrel. Ez az a terület, ahol beírhatja és szerkesztheti a megjelenítési szűrő karakterláncait. Itt láthatja az aktuálisan alkalmazott szűrőt is. Egyszerűen kattintson a szűrő nevére, vagy kattintson duplán a karakterláncra a szerkesztéséhez.

Írás közben a rendszer elvégzi a szűrő karakterlánc rendszerellenőrzését. Ha érvénytelen értéket ad meg, a háttér zöldről pirosra vált. Mindig nyomja meg az „Alkalmaz” gombot vagy az „Enter” gombot a szűrőkarakterlánc alkalmazásához.

Új szűrőt a „Hozzáadás” gombra kattintva adhat hozzá, amely egy fekete pluszjel világosszürke alapon. Új szűrő hozzáadásának másik módja, ha jobb gombbal kattint a szűrőgomb területére. A szűrő eltávolításához kattintson a mínusz gombra. A mínusz gomb szürkén jelenik meg, ha nincs kiválasztva szűrő.

Hogyan lehet szűrni IP-cím alapján a Wiresharkban?

A Wireshark kiváló tulajdonsága, hogy lehetővé teszi a csomagok szűrését IP-címek alapján. Egyszerűen kövesse az alábbi lépéseket, hogy megtudja, hogyan kell ezt megtenni:

  1. Kezdje a plusz gombra kattintva új megjelenítési szűrő hozzáadásához.

  2. Futtassa a következő műveletet a Szűrő mezőben: ip.addr==[IP-cím] és nyomja meg az Entert.

  3. Figyelje meg, hogy a Csomaglista sáv most csak azt a forgalmat szűri, amely a (cél) és a (forrás) a megadott IP-címre megy.

  4. A szűrő törléséhez kattintson a „Törlés” gombra a Szűrő eszköztárban.

Forrás IP

Korlátozhatja a csomagnézetet a szűrőben megjelenő adott forrás IP-címmel rendelkezőkre. Csak futtassa a következő parancsot a szűrőmezőben, és nyomja meg az Enter billentyűt:

ip.src == [IP-cím]

Cél IP

Célszűrők alkalmazásával korlátozhatja a csomagnézetet azokra, amelyeknek meghatározott cél IP-címe jelenik meg a szűrőben.

A parancs a következő:

ip.dst == [IP-cím]

Capture Filter vs. Display Filter

A Wireshark két szűrési nyelvet támogat: a rögzítési szűrőket és a megjelenítési szűrőket. Az előbbi a csomagok rögzítése közbeni szűrésre szolgál. Ez utóbbi szűri a megjelenített csomagokat. A megjelenítési szűrőkkel az Önt érdeklő csomagokra összpontosíthat, és elrejtheti azokat, amelyek jelenleg nem fontosak. A csomagokat több tényező alapján is megjelenítheti:

  • Jegyzőkönyv
  • Terepi jelenlét
  • Mezőértékek
  • Terep összehasonlítás

A megjelenítési szűrők logikai operátori szintaxist és olyan mezőket használnak, amelyek leírják a szűrni kívánt csomagokat. Néhány megjelenítési szűrő létrehozása után egyszerűvé válik azok írása. A rögzítőszűrők valamivel kevésbé intuitívak, mivel rejtélyesek.

Íme az egyes szűrők funkcióinak és használatának áttekintése:

Rögzítési szűrők:

  • A forgalom rögzítésének megkezdése előtt vannak beállítva
  • Forgalomrögzítés közben nem lehet változtatni
  • Adott forgalomtípus rögzítésére szolgál

Kijelző szűrők:

  • Csökkentik a Wiresharkban megjelenő csomagokat
  • Forgalomrögzítés során személyre szabható
  • A forgalom elrejtésére szolgál bizonyos forgalomtípusok felméréséhez

A rögzítés közbeni szűréssel kapcsolatos további információkért látogasson el erre az oldalra.

További GYIK

Hogyan szűrhetem a Wiresharkot URL alapján?

A Wiresharkban rögzített HTTP URL-címekre a következő szűrőkarakterlánc használatával kereshet:

A http tartalmazza: „[URL]. "

Ne feledje, hogy nem használhatja a „contains” operátorokat atommezőknél (számok, IP-címek).

Hogyan szűrhetem a Wiresharkot portszám alapján?

A következő paranccsal szűrheti a Wiresharkot portszám szerint:

Tcp.port eq [portszám].

Hogyan működik a Wireshark?

A Wireshark egy hálózati csomagszimuláló eszköz. A hálózati csomagokat úgy elemzi, hogy internetkapcsolatot vesz fel, és regisztrálja a rajta áthaladó csomagokat. Ezután a felhasználók rendelkezésére bocsátja a csomagokra vonatkozó információkat, beleértve a származási helyüket, a célállomásukat, a tartalmat, a protokollokat, az üzeneteket stb.

Going 007 a Network Sniffing

A Wiresharknak köszönhetően a hálózati mérnököknek és rendszergazdáknak többé nem kell aggódniuk amiatt, hogy kihagyják a diagnosztikai eszközöket az alapvető hálózati problémák esetén. A program könnyen elérhető és kényelmes szolgáltatásai sokkal egyszerűbbé teszik a hálózati sérülékenységek felmérését és a hibaelhárítást.

Cikkünk elolvasása után az IP-szűréssel kapcsolatos programban most már meg kell tudni különböztetni a különböző szűrési lehetőségeket. Megtanulta az IP szerinti szűrés alapvető karakterlánc-kifejezéseit és még sok mást is. Remélhetőleg ez segít megoldani az esetleges hálózati problémákat.

Milyen egyéb funkciókat használ gyakran a Wiresharkban? Mit gondol, miben áll ki a Wireshark a versenytársak közül? Ossza meg gondolatait az alábbi megjegyzések részben.