Cara Menapis mengikut Pelabuhan dengan Wireshark

Wireshark mewakili penganalisis protokol yang paling banyak digunakan di dunia. Dengan menggunakannya, anda dapat memeriksa semua yang berlaku dalam rangkaian anda, menyelesaikan masalah yang berlainan, menganalisis dan menyaring lalu lintas rangkaian anda menggunakan pelbagai alat, dll.

Sekiranya anda ingin mengetahui lebih lanjut mengenai Wireshark dan cara menapis mengikut port, pastikan anda terus membaca.

Apa Tepatnya Penapisan Pelabuhan?

Penyaringan port mewakili cara menyaring paket (mesej dari protokol rangkaian yang berbeza) berdasarkan nombor port mereka. Nombor port ini digunakan untuk protokol TCP dan UDP, protokol yang paling terkenal untuk penghantaran. Penyaringan port mewakili bentuk perlindungan untuk komputer anda kerana, dengan penyaringan port, anda dapat memilih untuk mengizinkan atau menyekat port tertentu untuk mencegah operasi yang berlainan dalam rangkaian.

Terdapat sistem pelabuhan yang mapan yang digunakan untuk perkhidmatan internet yang berbeza, seperti pemindahan fail, e-mel, dan lain-lain. Sebenarnya, terdapat lebih dari 65.000 pelabuhan yang berbeza. Mereka ada dalam mod "izinkan" atau "tertutup". Beberapa aplikasi di internet dapat membuka port ini, sehingga menjadikan komputer anda lebih terdedah kepada penggodam dan virus.

Dengan menggunakan Wireshark, anda boleh menapis paket yang berbeza berdasarkan nombor port mereka. Mengapa anda mahu melakukan ini? Kerana dengan cara itu, anda dapat menyaring semua paket yang tidak anda mahukan di komputer anda dengan alasan yang berbeza.

Apakah Pelabuhan Penting?

Terdapat 65,535 pelabuhan. Mereka boleh dibahagikan kepada tiga kategori yang berbeza: port dari 0 - 1023 adalah port yang terkenal, dan mereka ditugaskan untuk perkhidmatan dan protokol biasa. Kemudian, dari 1024 hingga 49151 adalah port berdaftar - mereka ditugaskan oleh ICANN ke perkhidmatan tertentu. Dan pelabuhan awam adalah pelabuhan dari 49152-65535, ia boleh digunakan oleh perkhidmatan apa pun. Pelabuhan yang berbeza digunakan untuk protokol yang berbeza.

Sekiranya anda ingin mengetahui tentang yang paling biasa, lihat senarai berikut:

Nombor portNama perkhidmatanProtokol
20, 21Protokol pemindahan fail - FTPTCP
22Cangkang selamat - SSHTCP dan UDP
23TelnetTCP
25Protokol Pemindahan Surat MudahTCP
53Sistem Nama Domain - DNSTCP dan UDP
67/68Protokol Konfigurasi Host Dinamik - DHCPUDP
80Protokol Pemindahan Hiperteks - HTTPTCP
110Protokol Pejabat Pos - POP3TCP
123Protokol Masa Rangkaian - NTPUDP
143Protokol Akses Mesej Internet (IMAP4)TCP dan UDP
161/162Protokol Pengurusan Rangkaian Mudah –SNMPTCP dan UDP
443HTTP dengan Lapisan Soket Selamat - HTTPS (HTTP melalui SSL / TLS)TCP

Analisis di Wireshark

Proses analisis di Wireshark mewakili pemantauan protokol dan data yang berbeza di dalam rangkaian.

Sebelum kita memulakan proses analisis, pastikan anda mengetahui jenis lalu lintas yang ingin anda analisis, dan pelbagai jenis peranti yang mengeluarkan lalu lintas:

  1. Adakah anda menyokong mod rancak? Sekiranya anda melakukannya, ini akan membolehkan peranti anda mengumpulkan paket yang pada asalnya tidak dimaksudkan untuk peranti anda.
  2. Peranti apa yang anda ada di dalam rangkaian anda? Penting untuk diingat bahawa pelbagai jenis peranti akan menghantar paket yang berbeza.
  3. Apakah jenis lalu lintas yang ingin anda analisis? Jenis lalu lintas akan bergantung pada peranti dalam rangkaian anda.

Mengetahui cara menggunakan penapis yang berbeza sangat penting untuk menangkap paket yang dimaksudkan. Penapis ini digunakan sebelum proses menangkap paket. Bagaimana mereka berfungsi? Dengan menetapkan penapis tertentu, anda segera membuang lalu lintas yang tidak memenuhi kriteria yang diberikan.

Di dalam Wireshark, sintaksis yang disebut sintaks Berkley Packet Filter (BPF) digunakan untuk membuat penapis penangkapan yang berbeza. Oleh kerana ini adalah sintaks yang paling sering digunakan dalam analisis paket, penting untuk memahami cara kerjanya.

Sintaks Berkley Packet Filter menangkap penapis berdasarkan ungkapan penapisan yang berbeza. Ungkapan ini terdiri daripada satu atau beberapa primitif, dan primitif terdiri daripada pengecam (nilai atau nama yang anda cuba cari dalam paket yang berbeza), diikuti oleh satu atau beberapa kelayakan.

Kelayakan boleh dibahagikan kepada tiga jenis:

  1. Ketik - dengan kelayakan ini, anda menentukan jenis perkara yang ditunjukkan oleh pengecam. Jenis kelayakan merangkumi port, net, dan host.
  2. Dir (arahan) - kelayakan ini digunakan untuk menentukan arah perpindahan. Dengan cara itu, "src" menandakan sumbernya, dan "dst" menandakan tujuan.
  3. Proto (protokol) - dengan kelayakan protokol, anda dapat menentukan protokol tertentu yang ingin anda tangkap.

Anda boleh menggunakan kombinasi kelayakan yang berbeza untuk menyaring carian anda. Anda juga boleh menggunakan operator: sebagai contoh, anda boleh menggunakan pengendali gabungan (& / dan), operator negasi (! / Tidak), dll.

Berikut adalah beberapa contoh penapis tangkapan yang boleh anda gunakan di Wireshark:

PenapisPenerangan
tuan rumah 192.168.1.2Semua lalu lintas yang berkaitan dengan 192.168.1.2
port tcp 22Semua lalu lintas yang berkaitan dengan port 22
src 192.168.1.2Semua lalu lintas yang berasal dari 192.168.1.2

Adalah mungkin untuk membuat penapis penangkapan di bidang tajuk protokol. Sintaks seperti ini: proto [offset: size (pilihan)] = nilai. Di sini, proto mewakili protokol yang ingin anda saring, offset mewakili kedudukan nilai pada tajuk paket, ukuran mewakili panjang data, dan nilai adalah data yang anda cari.

Paparkan Penapis di Wireshark

Tidak seperti penapis penangkapan, penapis paparan tidak membuang sebarang paket, mereka hanya menyembunyikannya semasa melihat. Ini adalah pilihan yang baik kerana setelah anda membuang paket, anda tidak akan dapat memulihkannya.

Penapis paparan digunakan untuk memeriksa keberadaan protokol tertentu. Sebagai contoh, jika anda ingin memaparkan paket yang mengandungi protokol tertentu, anda boleh memasukkan nama protokol di bar alat "Penapis penapis" Wireshark.

Pilihan lain

Terdapat pelbagai pilihan lain yang boleh anda gunakan untuk menganalisis paket di Wireshark, bergantung pada keperluan anda.

  1. Di bawah tetingkap "Statistik" di Wireshark, anda boleh menemui pelbagai alat asas yang boleh anda gunakan untuk menganalisis paket. Sebagai contoh, anda boleh menggunakan alat "Percakapan" untuk menganalisis lalu lintas antara dua alamat IP yang berbeza.

  2. Di bawah tetingkap "Maklumat Pakar", anda dapat menganalisis anomali atau tingkah laku yang tidak biasa di dalam rangkaian anda.

Menyaring mengikut Pelabuhan di Wireshark

Menapis mengikut pelabuhan di Wireshark adalah mudah berkat bar penapis yang membolehkan anda menerapkan penapis paparan.

Sebagai contoh, jika anda ingin menapis port 80, ketik ini ke bar penapis: "tcp.port == 80. " Apa yang anda boleh lakukan ialah menaip “persamaan"Bukan" == ", kerana" eq "merujuk pada" sama ".

Anda juga boleh menapis beberapa port sekaligus. The || tanda digunakan dalam kes ini.

Sebagai contoh, jika anda ingin menapis port 80 dan 443, ketik ini ke bar penapis: "tcp.port == 80 || tcp.port == 443", Atau"tcp.port eq 80 || tcp.port eq 443.”

Soalan Lazim Tambahan

Bagaimana Saya Menapis Wireshark mengikut Alamat IP dan Pelabuhan?

Terdapat beberapa cara untuk menapis Wireshark mengikut alamat IP:

1. Sekiranya anda berminat dengan paket dengan alamat IP tertentu, masukkan ini ke bar penapis: "ip.adr == x.x.x.x.

2. Sekiranya anda berminat dengan paket yang berasal dari alamat IP tertentu, masukkan ini ke bar penapis: "ip.src == x.x.x.x.

3. Sekiranya anda berminat dengan paket yang menuju ke alamat IP tertentu, masukkan ini ke bar penapis: "ip.dst == x.x.x.x.

Sekiranya anda ingin menggunakan dua penapis, seperti alamat IP dan nombor port, lihat contoh berikut: “ip.adr == 192.168.1.199. && tcp.port eq 443."Oleh kerana" && "mewakili simbol untuk" dan ", dengan menulis ini, anda dapat menyaring carian anda dengan alamat IP (192.168.1.199) dan mengikut nombor port (tcp.port eq 443).

Bagaimana Wireshark Menangkap Trafik Pelabuhan?

Wireshark menangkap semua lalu lintas rangkaian semasa ia berlaku. Ia akan menangkap semua lalu lintas pelabuhan dan menunjukkan kepada anda semua nombor port dalam sambungan tertentu.

Sekiranya anda ingin memulakan tangkapan, ikuti langkah berikut:

1. Buka "Wireshark."

2. Ketik "Tangkap."

3. Pilih "Antaramuka."

4. Ketik "Mula."

Sekiranya anda ingin memfokuskan pada nombor port tertentu, anda boleh menggunakan bar penapis.

Apabila anda ingin menghentikan tangkapan, tekan '' Ctrl + E. ''

Apakah Penangkapan Penangkapan untuk Pilihan DHCP?

Pilihan Dynamic Host Configuration Protocol (DHCP) mewakili sejenis protokol pengurusan rangkaian. Ini digunakan untuk secara otomatis menetapkan alamat IP ke perangkat yang terhubung ke rangkaian. Dengan menggunakan pilihan DHCP, anda tidak perlu mengkonfigurasi pelbagai peranti secara manual.

Sekiranya anda ingin melihat hanya paket DHCP di Wireshark, ketik "bootp" di bar penapis. Mengapa but? Kerana mewakili versi DHCP yang lebih lama, dan mereka berdua menggunakan nombor port yang sama - 67 & 68.

Mengapa Saya Perlu Menggunakan Wireshark?

Menggunakan Wireshark mempunyai banyak kelebihan, beberapa di antaranya adalah:

1. Percuma - anda boleh menganalisis lalu lintas rangkaian anda secara percuma!

2. Ia boleh digunakan untuk platform yang berbeza - anda boleh menggunakan Wireshark pada Windows, Linux, Mac, Solaris, dll.

3. Ini terperinci - Wireshark menawarkan analisis mendalam mengenai banyak protokol.

4. Ia menawarkan data langsung - data ini dapat dikumpulkan dari pelbagai sumber seperti Ethernet, Token Ring, FDDI, Bluetooth, USB, dll.

5. Ia digunakan secara meluas - Wireshark adalah penganalisis protokol rangkaian yang paling popular.

Wireshark Tidak Menggigit!

Sekarang anda telah mengetahui lebih lanjut mengenai Wireshark, kemampuannya, dan pilihan penapisan. Sekiranya anda ingin memastikan bahawa anda dapat menyelesaikan dan mengenal pasti apa-apa jenis masalah rangkaian atau memeriksa data yang masuk dan keluar dari rangkaian anda, sehingga memastikannya tetap selamat, anda pasti harus mencuba Wireshark.

Adakah anda pernah menggunakan Wireshark? Beritahu kami mengenainya di bahagian komen di bawah.

Recent Posts

$config[zx-auto] not found$config[zx-overlay] not found