Jak filtrovat podle IP v Wireshark

Správci sítě se při své práci setkávají s celou řadou problémů se sítí. Kdykoli dojde k podezřelé akci nebo je potřeba vyhodnotit určitý segment sítě, mohou se hodit nástroje pro analýzu protokolů, jako je Wireshark. Jednou zvláště užitečnou funkcí je filtrování síťových paketů podle IP adres.

Jak filtrovat podle IP v Wireshark

Pokud jste prvním uživatelem, může být pro vás trochu obtížné nakonfigurovat kroky, jak to udělat sami. Naštěstí jsme sestavili tohoto dokonalého průvodce, jak filtrovat podle IP ve Wiresharku. Odejdete a budete znát rozdíl mezi dvěma filtrovacími jazyky, naučíte se nové řetězce filtrů a mnoho dalšího.

Nejlepší na tom je, že při prvním provádění těchto kroků budete potřebovat pouze pomoc. Každé následující vystoupení bude hračka!

Co je Wireshark?

Wireshark je síťový analyzátor paketů, který již nějakou dobu dominuje průmyslovému prostoru. Bylo to skvělé až do okamžiku, kdy bylo odloženo mnoho podobných nástrojů, včetně Microsoft Network Monitor. Dvě hlavní vlastnosti, které Wireshark proslavily, jsou jeho flexibilita a snadné použití.

Analyzátory síťových paketů jsou nástroje, které zachycují a analyzují datový provoz co nejpodrobněji ve specifických komunikačních kanálech. Slouží jako špičkové diagnostické nástroje pro vestavěné systémy.

Wireshark přichází se špičkovou schopností filtrovat pakety během zachycení a po analýze s různými úrovněmi složitosti. Díky tomu je stejně pohodlný pro začátečníky i pro profesionály v oblasti monitorování sítě. Wireshark také přijímá a analyzuje provoz z různých jiných analyzátorů protokolů, takže je snadné kontrolovat minulý provoz v konkrétních časech v minulosti.

Před Wiresharkem byly nástroje pro sledování sítě velmi drahé nebo proprietární. To vše se s příchodem této aplikace změnilo. Software je open source a podporuje všechny hlavní platformy. To Wiresharku přineslo velkou podporu komunity, což odstranilo náklady jako překážku a vytvořilo prostor pro širokou škálu školících příležitostí.

Zde je důvod, proč lidé mohou chtít používat Wireshark:

  • Odstraňování problémů se sítí
  • Zkoumání bezpečnostních problémů
  • Zkoumání síťových aplikací
  • Implementace protokolu ladění
  • Seznámení s interními síťovými protokoly

Wireshark je zdarma ke stažení. Pokud ještě nemáte, můžete tak učinit zde. Stačí si stáhnout spustitelný soubor a kliknutím na soubor jej nainstalovat.

Uživatelské rozhraní Wireshark

Po stažení a instalaci Wiresharku k němu můžete přistupovat z místního prostředí nebo správce oken. Jedna z prvních věcí, kterou musíte udělat, je vybrat síťové rozhraní ze seznamu sítí na vašich počítačových adaptérech.

Můžete kliknout na „Zachytit“ a poté na „Rozhraní“ z nabídky a vybrat příslušnou možnost.

Hlavní okno v rozhraní Wireshark se skládá z několika částí:

  • Menu – slouží ke spouštění akcí
  • Hlavní panel nástrojů – rychlý přístup k položkám, které často používáte z nabídky
  • Panel nástrojů Filtr – zde můžete nastavit filtry zobrazení
  • Podokno seznamu paketů – shrnutí zachycených paketů
  • Podokno podrobností – více informací o vybraném paketu z paketové dráhy
  • Podokno Bajty – data z paketu podokna seznamu paketů se zvýrazněním zvoleného pole v tomto podokně
  • Stavový řádek – zachycená data a informace o stavu probíhajícího programu

Můžete ovládat seznamy paketů a procházet detaily zcela pomocí klávesnice. Zde je tabulka s běžnými příkazy klávesových zkratek.

Jak přidat filtry do Wireshark?

Panel nástrojů „Filtr“ je místo, kde můžete přizpůsobit a spustit nové filtry zobrazení.

Chcete-li vytvořit a upravit filtry zachycení, přejděte do nabídky „Správa filtrů zachycení“ z nabídky záložek nebo přejděte na „Zachytit“ a poté na „Filtry zachycení“ z hlavní nabídky.

Chcete-li vytvořit a upravit filtry zobrazení, vyberte z nabídky záložek „Spravovat filtry zobrazení“ nebo přejděte do hlavní nabídky a vyberte „Analyzovat“ a poté „Filtry zobrazení“.

Uvidíte vstupní sekci filtru se zeleným pozadím. Toto je oblast, kde zadáváte a upravujete řetězce filtrů zobrazení. Zde také můžete vidět aktuálně použitý filtr. Jednoduše klikněte na název filtru nebo dvakrát klikněte na řetězec a upravte jej.

Jak píšete, systém provede systémovou kontrolu řetězce filtru. Pokud zadáte neplatný, pozadí se změní ze zelené na červenou. Pro použití řetězce filtru vždy stiskněte tlačítko „Použít“ nebo „Enter“.

Nový filtr můžete přidat kliknutím na tlačítko „Přidat“, což je černé znaménko plus na světle šedém pozadí. Dalším způsobem, jak přidat nový filtr, je kliknout pravým tlačítkem na oblast tlačítka filtru. Chcete-li filtr odstranit, klikněte na tlačítko mínus. Pokud není vybrán žádný filtr, bude tlačítko mínus zašedlé.

Jak filtrovat podle IP adresy v Wireshark?

Vynikající funkcí Wiresharku je, že vám umožňuje filtrovat pakety podle IP adres. Postupujte podle níže uvedených kroků, abyste získali pokyny, jak na to:

  1. Začněte kliknutím na tlačítko plus a přidejte nový filtr zobrazení.

  2. V poli Filtr spusťte následující operaci: ip.addr==[IP adresa] a stiskněte Enter.

  3. Všimněte si, že pruh se seznamem paketů nyní filtruje pouze provoz, který jde do (cíl) a ze (zdroje) zadané IP adresy.

  4. Chcete-li filtr vymazat, klikněte na tlačítko „Vymazat“ na panelu nástrojů Filtr.

IP zdroje

Zobrazení paketů můžete omezit na ty s konkrétními zdrojovými IP adresami, které se objevují v daném filtru. Stačí spustit následující příkaz v poli filtru a stisknout Enter:

ip.src == [IP adresa]

Cílová IP

Můžete použít cílové filtry, abyste omezili zobrazení paketů na ty s konkrétní cílovou IP uvedenou ve filtru.

Příkaz je následující:

ip.dst == [IP adresa]

Filtr zachycení vs. filtr zobrazení

Wireshark podporuje dva jazyky filtrování: filtry pro zachycení a filtry zobrazení. První se používá pro filtrování při zachycování paketů. Ten filtruje zobrazené pakety. Pomocí filtrů zobrazení se můžete zaměřit na pakety, které vás zajímají, a skrýt ty, které aktuálně nejsou důležité. Pakety můžete zobrazit na základě několika faktorů:

  • Protokol
  • Přítomnost v terénu
  • Hodnoty pole
  • Porovnání v terénu

Filtry zobrazení používají syntaxi logického operátora a pole, která popisují pakety, které filtrujete. Jakmile vytvoříte několik filtrů zobrazení, bude snadné je napsat. Zachycovací filtry jsou o něco méně intuitivní, protože jsou záhadné.

Zde je přehled funkcí a použití jednotlivých filtrů:

Zachycovací filtry:

  • Jsou nastaveny před zahájením zachycování provozu
  • Během zachycování provozu nelze změnit
  • Používá se pro zachycování specifického typu provozu

Zobrazit filtry:

  • Snižují počet paketů, které se zobrazují ve Wiresharku
  • Lze přizpůsobit během zachycování provozu
  • Používá se ke skrytí provozu za účelem posouzení konkrétních typů provozu

Další informace o filtrování při snímání naleznete na této stránce.

Další často kladené dotazy

Jak mohu filtrovat Wireshark podle adresy URL?

Dané adresy URL HTTP v zachycení ve Wiresharku můžete vyhledat pomocí následujícího řetězce filtru:

http obsahuje „[URL]. “

Všimněte si, že operátory „obsahuje“ nemůžete použít na atomická pole (čísla, IP adresy.)

Jak mohu filtrovat Wireshark podle čísla portu?

K filtrování Wireshark podle čísla portu můžete použít následující příkaz:

Tcp.port eq [číslo portu].

Jak Wireshark funguje?

Wireshark je nástroj pro čichání síťových paketů. Analyzuje síťové pakety tak, že se připojí k internetu a zaregistruje pakety, které přes něj putují. Poté poskytuje uživatelům informace o těchto paketech, včetně jejich původu, cíle, obsahu, protokolů, zpráv atd.

Chystám se 007 na Network Sniffing

Díky Wiresharku se síťoví inženýři a správci již nemusejí obávat, že by jim chyběly diagnostické nástroje pro zásadní problémy se sítí. Díky snadno přístupným a pohodlným funkcím programu je mnohem snazší posuzovat zranitelnosti sítě a provádět odstraňování problémů.

Po přečtení našeho článku byste nyní měli být schopni rozeznat rozdíl mezi různými možnostmi filtrování v programu souvisejícím s filtrováním IP. Naučili jste se také základní řetězcové výrazy pro filtrování podle IP a mnoho dalšího. Doufejme, že to pomůže vyřešit jakékoli problémy se sítí, se kterými se můžete setkat.

Jaké další funkce ve Wiresharku často používáte? Čím se podle vás Wireshark odlišuje od konkurence? Podělte se o své myšlenky v sekci komentářů níže.