Адміністратори мережі стикаються з широким спектром мережевих проблем під час виконання своєї роботи. Щоразу, коли виникає підозріла дія або потрібно оцінити певний сегмент мережі, можуть стати в нагоді інструменти аналітики протоколів, такі як Wireshark. Однією з особливо корисних функцій є фільтрація мережевих пакетів за IP-адресами.
Якщо ви користуєтеся вперше, вам може бути трохи складно налаштувати кроки для цього самостійно. На щастя, ми зібрали цей остаточний посібник про те, як фільтрувати за IP-адресою в Wireshark. Ви підете, дізнавшись різницю між двома мовами фільтрації, вивчіть нові рядки фільтра та багато іншого.
Найкраще те, що вам знадобиться лише допомога у виконанні цих кроків у перший раз. Кожна наступна вистава буде просто шматком торта!
Що таке Wireshark?
Wireshark – це аналізатор мережевих пакетів, який домінує в індустрії вже досить довго. Це було чудово до того моменту, коли було відкладено багато подібних інструментів, включаючи Microsoft Network Monitor. Дві основні особливості, які зробили Wireshark відомим, це його гнучкість і простота використання.
Аналізатори мережевих пакетів – це інструменти, які фіксують та аналізують трафік даних якомога детальніше в конкретних каналах зв’язку. Вони служать найкращими інструментами діагностики для вбудованих систем.
Wireshark має першокласну здатність фільтрувати пакети під час захоплення та аналізу з різними рівнями складності. Це робить його однаково зручним як для новачків, так і для професіоналів з моніторингу мережі. Wireshark також приймає та аналізує трафік з різних інших аналізаторів протоколів, що дозволяє легко переглядати минулий трафік у певний час у минулому.
До Wireshark інструменти відстеження мережі були дуже дорогими або запатентованими. Все змінилося з появою цієї програми. Програмне забезпечення є відкритим і підтримує всі основні платформи. Це принесло Wireshark велику підтримку спільноти, що зняло витрати як бар’єр і звільнило місце для широкого спектру можливостей навчання.
Ось чому люди можуть захотіти використовувати Wireshark:
- Усунення проблем з мережею
- Вивчення проблем безпеки
- Перевірка мережевих додатків
- Реалізація протоколу налагодження
- Дізнайтеся про внутрішні елементи мережевого протоколу
Wireshark можна безкоштовно завантажити. Якщо ви ще цього не зробили, ви можете зробити це тут. Просто завантажте виконуваний файл і натисніть на файл, щоб встановити його.
Інтерфейс користувача Wireshark
Після завантаження та встановлення Wireshark ви можете отримати доступ до нього з локальної оболонки або менеджера вікон. Одне з перших речей, які вам потрібно зробити, це вибрати мережевий інтерфейс зі списку мереж на адаптерах вашого комп’ютера.
Ви можете натиснути «Захоплення», потім «Інтерфейси» з меню та вибрати відповідний параметр.
Головне вікно інтерфейсу Wireshark складається з кількох частин:
- Меню – використовується для початку дій
- Головна панель інструментів – швидкий доступ до елементів, які ви часто використовуєте з меню
- Панель інструментів фільтрів – тут можна встановити фільтри відображення
- Панель списку пакетів – підсумки захоплених пакетів
- Панель деталей – додаткова інформація про вибраний пакет із пакетної смуги
- Панель байтів – дані з пакета панелі списку пакетів із виділенням вибраного поля на цій панелі
- Рядок стану – зібрані дані та інформація про поточний стан програми
Ви можете керувати списками пакетів і повністю переміщатися по деталях за допомогою клавіатури. Тут є таблиця, яка показує загальні команди комбінацій клавіш.
Як додати фільтри в Wireshark?
Панель інструментів «Фільтр» — це місце, де ви можете налаштувати та запустити нові фільтри відображення.
Щоб створити та відредагувати фільтри захоплення, перейдіть до «Керування фільтрами захоплення» з меню закладок або перейдіть до «Захоплення», а потім «Фільтри захоплення» з головного меню.
Щоб створити та відредагувати фільтри відображення, виберіть «Управління фільтрами відображення» в меню закладок або перейдіть до головного меню та виберіть «Аналіз», а потім «Відображення фільтрів».
Ви побачите розділ введення фільтра із зеленим фоном. Це область, де ви вводите та редагуєте рядки фільтра відображення. Тут також можна побачити застосований фільтр. Просто клацніть назву фільтра або двічі клацніть рядок, щоб відредагувати його.
Поки ви пишете, система перевірить рядок фільтра. Якщо ввести неправильний, фон зміниться із зеленого на червоний. Завжди натискайте кнопку «Застосувати» або клавішу «Enter», щоб застосувати рядок фільтра.
Ви можете додати новий фільтр, натиснувши кнопку «Додати», яка є чорним знаком плюс на світло-сірому фоні. Інший спосіб додати новий фільтр – клацнути правою кнопкою миші на області кнопки фільтра. Щоб видалити фільтр, натисніть кнопку мінус. Якщо фільтр не вибрано, кнопка мінус буде неактивною.
Як фільтрувати за IP-адресою в Wireshark?
Відмінною особливістю Wireshark є те, що він дозволяє фільтрувати пакети за IP-адресами. Просто виконайте наведені нижче дії, щоб отримати вказівки щодо того, як це зробити:
- Почніть, натиснувши кнопку плюс, щоб додати новий фільтр відображення.
- Виконайте таку операцію у полі «Фільтр»: ip.addr==[IP-адреса] і натисніть Enter.
- Зверніть увагу, що смуга списку пакетів тепер фільтрує лише трафік, який надходить до (пункту призначення) та (джерела) IP-адреси, яку ви ввели.
- Щоб очистити фільтр, натисніть кнопку «Очистити» на панелі інструментів «Фільтр».
IP джерела
Ви можете обмежити перегляд пакетів тими, хто має певні вихідні IP-адреси, які відображаються в цьому фільтрі. Просто запустіть таку команду у полі фільтра та натисніть Enter:
ip.src == [IP-адреса]
IP-адреса призначення
Ви можете застосувати фільтри призначення, щоб обмежити перегляд пакетів тими, у кого у фільтрі відображатиметься конкретна IP-адреса призначення.
Команда така:
ip.dst == [IP-адреса]
Фільтр захоплення проти фільтра відображення
Wireshark підтримує дві мови фільтрації: фільтри захоплення та фільтри відображення. Перший використовується для фільтрації під час захоплення пакетів. Останній фільтрує відображувані пакети. За допомогою фільтрів відображення ви можете зосередитися на пакетах, які вас цікавлять, і приховати ті, які зараз не важливі. Ви можете відображати пакети на основі кількох факторів:
- протокол
- Польова присутність
- Значення полів
- Порівняння полів
Фільтри відображення використовують синтаксис логічного оператора та поля, що описують пакети, які ви фільтруєте. Як тільки ви створите кілька фільтрів відображення, написати їх стане легко. Фільтри захоплення трохи менш інтуїтивно зрозумілі, оскільки вони загадкові.
Ось огляд функцій та використання кожного фільтра:
Фільтри захоплення:
- Вони встановлюються перед початком захоплення трафіку
- Неможливо змінити під час захоплення трафіку
- Використовується для захоплення певного типу трафіку
Фільтри відображення:
- Вони зменшують кількість пакетів, які відображаються в Wireshark
- Можна налаштувати під час захоплення трафіку
- Використовується для приховування трафіку для оцінки конкретних типів трафіку
Щоб дізнатися більше про фільтрацію під час зйомки, відвідайте цю сторінку.
Додаткові поширені запитання
Як відфільтрувати Wireshark за URL-адресою?
Ви можете шукати вказані URL-адреси HTTP у зйомці в Wireshark, використовуючи такий рядок фільтра:
http містить «[URL]. “
Зауважте, що ви не можете використовувати оператори «містить» для атомарних полів (числа, IP-адреси).
Як відфільтрувати Wireshark за номером порту?
Ви можете використовувати таку команду, щоб відфільтрувати Wireshark за номером порту:
Tcp.port eq [номер порту].
Як працює Wireshark?
Wireshark — це інструмент для виявлення мережевих пакетів. Він аналізує мережеві пакети, приймаючи підключення до Інтернету та реєструючи пакети, які передаються через нього. Потім він надає користувачам інформацію про ці пакети, включаючи їх походження, призначення, вміст, протоколи, повідомлення тощо.
Перейти до 007 на Network Sniffing
Завдяки Wireshark мережевим інженерам і адміністраторам більше не доведеться турбуватися про те, що вони не зможуть отримати інструменти діагностики для основних проблем мережі. Легкодоступні та зручні функції програми значно полегшують оцінку вразливостей мережі та усунення несправностей.
Прочитавши нашу статтю, тепер ви зможете відрізнити різні параметри фільтрації в програмі, пов’язані з фільтрацією IP. Ви також дізналися основні рядкові вирази для фільтрації за IP та багато іншого. Сподіваємося, це допоможе вирішити будь-які проблеми з мережею, з якими ви можете зіткнутися.
Які ще функції ви часто використовуєте в Wireshark? Чим, на вашу думку, Wireshark виділяється серед конкурентів? Поділіться своїми думками в розділі коментарів нижче.
