„Wireshark“ yra labiausiai naudojamas protokolų analizatorius pasaulyje. Naudodami jį galite patikrinti viską, kas vyksta jūsų tinkle, šalinti įvairias problemas, analizuoti ir filtruoti tinklo srautą naudodami įvairius įrankius ir kt.
Jei norite sužinoti daugiau apie „Wireshark“ ir kaip filtruoti pagal prievadą, skaitykite toliau.
Kas tiksliai yra prievadų filtravimas?
Prievadų filtravimas yra būdas filtruoti paketus (pranešimus iš skirtingų tinklo protokolų) pagal jų prievado numerį. Šie prievadų numeriai naudojami TCP ir UDP protokolams, geriausiai žinomiems perdavimo protokolams. Prievadų filtravimas yra jūsų kompiuterio apsaugos forma, nes naudodami prievadų filtravimą galite pasirinkti leisti arba blokuoti tam tikrus prievadus, kad tinkle būtų išvengta skirtingų operacijų.
Yra nusistovėjusi prievadų sistema, naudojama įvairioms interneto paslaugoms, tokioms kaip failų perdavimas, el. paštas ir kt. Tiesą sakant, yra daugiau nei 65 000 skirtingų prievadų. Jie egzistuoja leidimo arba uždarymo režimu. Kai kurios internete esančios programos gali atidaryti šiuos prievadus, todėl jūsų kompiuteris bus labiau apsaugotas nuo įsilaužėlių ir virusų.
Naudodami Wireshark galite filtruoti skirtingus paketus pagal jų prievado numerį. Kodėl norėtum tai padaryti? Nes tokiu būdu galite išfiltruoti visus paketus, kurių nenorite savo kompiuteryje dėl įvairių priežasčių.
Kokie yra svarbūs prievadai?
Yra 65 535 prievadai. Juos galima suskirstyti į tris skirtingas kategorijas: prievadai nuo 0 iki 1023 yra gerai žinomi prievadai ir priskiriami bendroms paslaugoms ir protokolams. Tada nuo 1024 iki 49151 yra registruoti prievadai – juos ICANN priskiria konkrečiai paslaugai. O viešieji prievadai yra prievadai nuo 49152-65535, jais gali naudotis bet kuri tarnyba. Skirtingiems protokolams naudojami skirtingi prievadai.
Jei norite sužinoti apie dažniausiai pasitaikančias, peržiūrėkite šį sąrašą:
Prievado numeris | Paslaugos pavadinimas | protokolas |
20, 21 | Failų perdavimo protokolas – FTP | TCP |
22 | Saugus apvalkalas – SSH | TCP ir UDP |
23 | Telnet | TCP |
25 | Paprastas pašto siuntimo protokolas | TCP |
53 | Domeno vardų sistema – DNS | TCP ir UDP |
67/68 | Dinaminis pagrindinio kompiuterio konfigūravimo protokolas – DHCP | UDP |
80 | Hiperteksto perdavimo protokolas – HTTP | TCP |
110 | Pašto protokolas – POP3 | TCP |
123 | Tinklo laiko protokolas – NTP | UDP |
143 | Interneto pranešimų prieigos protokolas (IMAP4) | TCP ir UDP |
161/162 | Paprastas tinklo valdymo protokolas – SNMP | TCP ir UDP |
443 | HTTP su Secure Sockets Layer – HTTPS (HTTP per SSL/TLS) | TCP |
„Wireshark“ analizė
„Wireshark“ analizės procesas reiškia skirtingų protokolų ir duomenų stebėjimą tinkle.
Prieš pradėdami nuo analizės proceso, įsitikinkite, kad žinote srauto, kurį norite analizuoti, tipą ir įvairių tipų įrenginius, kurie skleidžia srautą:
- Ar palaikote neteisėtą režimą? Jei tai padarysite, jūsų įrenginys galės rinkti paketus, kurie iš pradžių nebuvo skirti jūsų įrenginiui.
- Kokius įrenginius turite savo tinkle? Svarbu nepamiršti, kad skirtingų tipų įrenginiai perduos skirtingus paketus.
- Kokio tipo srautą norite analizuoti? Srauto tipas priklausys nuo jūsų tinkle esančių įrenginių.
Norint užfiksuoti numatytus paketus, labai svarbu žinoti, kaip naudoti skirtingus filtrus. Šie filtrai naudojami prieš paketų fiksavimo procesą. Kaip jie veikia? Nustatę konkretų filtrą, iš karto pašalinate srautą, kuris neatitinka nurodytų kriterijų.
kaip pakeisti ugnies tv pavadinimą
„Wireshark“ sintaksė, vadinama „Berkley Packet Filter“ (BPF) sintaksė, naudojama skirtingiems fiksavimo filtrams kurti. Kadangi tai sintaksė, kuri dažniausiai naudojama paketų analizėje, svarbu suprasti, kaip ji veikia.
„Berkley Packet Filter“ sintaksė užfiksuoja filtrus pagal skirtingas filtravimo išraiškas. Šios išraiškos susideda iš vieno ar kelių primityvų, o primityvus sudaro identifikatorius (reikšmės arba pavadinimai, kuriuos bandote rasti skirtinguose paketuose), po kurių seka vienas ar keli kvalifikatoriai.
Kvalifikatorius galima suskirstyti į tris skirtingus tipus:
- Tipas – su šiais kvalifikatoriais nurodote, kokį dalyką žymi identifikatorius. Tipo kvalifikatoriai apima prievadą, tinklą ir pagrindinį kompiuterį.
- Dir (kryptis) – šie kvalifikatoriai naudojami norint nurodyti perdavimo kryptį. Tokiu būdu src pažymi šaltinį, o dst – tikslą.
- Protokolas (protokolas) – su protokolo kvalifikatoriais galite nurodyti konkretų protokolą, kurį norite užfiksuoti.
Norėdami filtruoti paiešką, galite naudoti skirtingų kvalifikatorių derinį. Taip pat galite naudoti operatorius: pavyzdžiui, galite naudoti sujungimo operatorių (&/ir), neigimo operatorių (!/not) ir kt.
Štai keletas fiksavimo filtrų, kuriuos galite naudoti Wireshark, pavyzdžiai:
Filtrai | apibūdinimas |
šeimininkas 192.168.1.2 | Visas srautas, susijęs su 192.168.1.2 |
tcp prievadas 22 | Visas srautas, susijęs su 22 prievadu |
src 192.168.1.2 | Visas eismas, kilęs iš 192.168.1.2 |
Protokolo antraštės laukuose galima sukurti fiksavimo filtrus. Sintaksė atrodo taip: proto[offset:size(neprivaloma)]=value. Čia proto reiškia protokolą, kurį norite filtruoti, poslinkis reiškia vertės padėtį paketo antraštėje, dydis reiškia duomenų ilgį, o reikšmė yra duomenys, kurių ieškote.
„Wireshark“ ekrano filtrai
Skirtingai nei fiksavimo filtrai, ekrano filtrai neišmeta jokių paketų, jie tiesiog paslepia juos peržiūrėdami. Tai geras pasirinkimas, nes išmetę paketus negalėsite jų atkurti.
Ekrano filtrai naudojami patikrinti, ar yra tam tikras protokolas. Pavyzdžiui, jei norite rodyti paketus, kuriuose yra tam tikras protokolas, galite įvesti protokolo pavadinimą Wireshark ekrano filtro įrankių juostoje.
Kitos parinktys
Yra įvairių kitų parinkčių, kurias galite naudoti analizuodami paketus Wireshark, atsižvelgiant į jūsų poreikius.
- „Wireshark“ statistikos lange galite rasti įvairių pagrindinių įrankių, kuriuos galite naudoti paketams analizuoti. Pavyzdžiui, galite naudoti įrankį Pokalbiai analizuoti srautą tarp dviejų skirtingų IP adresų.
- Lange Ekspertų informacija galite analizuoti anomalijas arba neįprastą elgesį tinkle.
Filtravimas pagal prievadą Wireshark
Filtruoti pagal prievadą „Wireshark“ lengva, nes filtro juosta leidžia pritaikyti ekrano filtrą.
Pavyzdžiui, jei norite filtruoti 80 prievadą, filtro juostoje įveskite: |_+_|. Ką taip pat galite padaryti, tai įveskite |_+_| vietoj ==, nes eq reiškia lygybę.
Taip pat galite filtruoti kelis prievadus vienu metu. || šiuo atveju naudojami ženklai.
Pavyzdžiui, jei norite filtruoti 80 ir 443 prievadus, filtro juostoje įveskite: |_+_| arba |_+_|.
Papildomi DUK
Kaip filtruoti „Wireshark“ pagal IP adresą ir prievadą?
Yra keli būdai, kuriais galite filtruoti „Wireshark“ pagal IP adresą:
1. Jei jus domina paketas su konkrečiu IP adresu, įveskite tai į filtro juostą: |_+_|
2. Jei jus domina paketai, gaunami iš konkretaus IP adreso, filtro juostoje įveskite: |_+_|
3. Jei norite, kad paketai būtų nukreipti į tam tikrą IP adresą, filtro juostoje įveskite: |_+_|
Jei norite taikyti du filtrus, pvz., IP adresą ir prievado numerį, peržiūrėkite kitą pavyzdį: |_+_| Kadangi && reiškia simbolius ir, tai rašydami, galite filtruoti paiešką pagal IP adresą (192.168.1.199) ir prievado numerį (tcp.port eq 443).
Kaip „Wireshark“ fiksuoja uosto srautą?
„Wireshark“ užfiksuoja visą tinklo srautą, kai tai vyksta. Jis užfiksuos visą prievado srautą ir parodys visus prievadų numerius konkrečiose jungtyse.
kaip pakeisti iTunes atsarginę vietą
Jei norite pradėti fiksuoti, atlikite šiuos veiksmus:
1. Atidarykite „Wireshark“.
2. Bakstelėkite Užfiksuoti.
3. Pasirinkite Sąsajos.
4. Bakstelėkite Pradėti.
kaip žinoti, ar kas nors tave pridėjo prie „snapchat“
Jei norite sutelkti dėmesį į konkretų prievado numerį, galite naudoti filtro juostą.
Jei norite sustabdyti fiksavimą, paspauskite „Ctrl + E“.
Kas yra DHCP parinkties fiksavimo filtras?
Dinaminio pagrindinio kompiuterio konfigūravimo protokolo (DHCP) parinktis yra tinklo valdymo protokolo rūšis. Jis naudojamas automatiškai priskirti IP adresus įrenginiams, prijungtiems prie tinklo. Naudojant DHCP parinktį, jums nereikia rankiniu būdu konfigūruoti įvairių įrenginių.
Jei Wireshark norite matyti tik DHCP paketus, filtro juostoje įveskite bootp. Kodėl bootp? Kadangi tai yra senesnė DHCP versija, ir jie abu naudoja tuos pačius prievadų numerius – 67 ir 68.
Kodėl turėčiau naudoti „Wireshark“?
Wireshark naudojimas turi daug privalumų, iš kurių kai kurie yra:
1. Tai nemokama – galite visiškai nemokamai analizuoti tinklo srautą!
2. Jis gali būti naudojamas skirtingoms platformoms – galite naudoti Wireshark Windows, Linux, Mac, Solaris ir kt.
3. Tai išsami – Wireshark siūlo išsamią daugelio protokolų analizę.
4. Siūlomi tiesioginiai duomenys – šie duomenys gali būti renkami iš įvairių šaltinių, tokių kaip Ethernet, Token Ring, FDDI, Bluetooth, USB ir kt.
5. Jis plačiai naudojamas – Wireshark yra populiariausias tinklo protokolų analizatorius.
Wireshark nekanda!
Dabar sužinojote daugiau apie Wireshark, jo galimybes ir filtravimo parinktis. Jei norite būti tikri, kad galite pašalinti triktis ir nustatyti bet kokio tipo tinklo problemas arba patikrinti duomenis, gaunamus ir išeinančius iš tinklo, taip užtikrinant jų saugumą, tikrai turėtumėte išbandyti Wireshark.
Ar kada nors naudojote Wireshark? Papasakokite mums apie tai toliau pateiktame komentarų skyriuje.