Wireshark edustaa maailman eniten käytettyä protokolla-analysaattoria. Sen avulla voit tarkistaa kaiken verkossasi tapahtuvan, tehdä erilaisten ongelmien vianmäärityksen, analysoida ja suodattaa verkkoliikennettäsi erilaisilla työkaluilla jne.
Jos haluat oppia lisää Wiresharkista ja portin suodattamisesta, muista jatkaa lukemista.
Mitä porttisuodatus oikein on?
Porttisuodatus edustaa tapaa suodattaa paketteja (viestit eri verkkoprotokollista) niiden porttinumeron perusteella. Näitä porttinumeroita käytetään TCP- ja UDP-protokolliin, jotka ovat tunnetuimpia lähetysprotokollia. Porttisuodatus edustaa tietokoneesi suojausta, koska porttisuodatuksella voit sallia tai estää tietyt portit estääksesi erilaiset toiminnot verkossa.
On olemassa vakiintunut porttijärjestelmä, jota käytetään erilaisiin Internet-palveluihin, kuten tiedostojen siirtoon, sähköpostiin jne. Itse asiassa erilaisia portteja on yli 65 000. Ne ovat "sallittu" tai "suljettu"-tilassa. Jotkut Internetin sovellukset voivat avata nämä portit, jolloin tietokoneesi altistuu hakkereille ja viruksille.
Wiresharkin avulla voit suodattaa erilaisia paketteja niiden porttinumeron perusteella. Miksi haluaisit tehdä tämän? Koska tällä tavalla voit suodattaa pois kaikki paketit, joita et halua tietokoneellesi eri syistä.
Mitkä ovat tärkeät portit?
Portteja on 65 535. Ne voidaan jakaa kolmeen eri luokkaan: portit 0–1023 ovat hyvin tunnettuja portteja, ja ne on määritetty yleisille palveluille ja protokollille. Sitten 1024–49151 ovat rekisteröityjä portteja – ICANN määrittää ne tietylle palvelulle. Ja julkiset portit ovat portteja 49152-65535, niitä voivat käyttää kaikki palvelut. Eri protokollia varten käytetään eri portteja.
Jos haluat oppia yleisimmistä, tutustu seuraavaan luetteloon:
| Porttinumero | Palvelun nimi | pöytäkirja |
| 20, 21 | Tiedostonsiirtoprotokolla – FTP | TCP |
| 22 | Secure Shell - SSH | TCP ja UDP |
| 23 | Telnet | TCP |
| 25 | Yksinkertainen postinsiirtoprotokolla | TCP |
| 53 | Domain Name System – DNS | TCP ja UDP |
| 67/68 | Dynamic Host Configuration Protocol – DHCP | UDP |
| 80 | Hypertekstin siirtoprotokolla – HTTP | TCP |
| 110 | Postitoimistoprotokolla – POP3 | TCP |
| 123 | Verkkoaikaprotokolla – NTP | UDP |
| 143 | Internet Message Access Protocol (IMAP4) | TCP ja UDP |
| 161/162 | Yksinkertainen verkonhallintaprotokolla – SNMP | TCP ja UDP |
| 443 | HTTP Secure Sockets Layerilla – HTTPS (HTTP yli SSL/TLS) | TCP |
Analyysi Wiresharkissa
Wiresharkin analyysiprosessi edustaa eri protokollien ja tietojen seurantaa verkon sisällä.
Ennen kuin aloitamme analysointiprosessin, varmista, että tiedät analysoitavan liikenteen tyypin ja erityyppiset liikennettä lähettävät laitteet:
- Onko sinulla promiscuous-tilaa tuettu? Jos teet niin, laitteesi voi kerätä paketteja, joita ei ole alun perin tarkoitettu laitteellesi.
- Mitä laitteita sinulla on verkossasi? On tärkeää pitää mielessä, että erilaiset laitteet lähettävät erilaisia paketteja.
- Millaista liikennettä haluat analysoida? Liikenteen tyyppi riippuu verkossasi olevista laitteista.
Erilaisten suodattimien käytön tunteminen on erittäin tärkeää aiottujen pakettien sieppaamiseksi. Näitä suodattimia käytetään ennen pakettien sieppausprosessia. Miten ne toimivat? Asettamalla tietyn suodattimen poistat välittömästi liikenteen, joka ei täytä annettuja ehtoja.
Wiresharkissa käytetään Berkley Packet Filter (BPF) -syntaksia erilaisten sieppaussuodattimien luomiseen. Koska tämä on syntaksi, jota käytetään yleisimmin pakettianalyysissä, on tärkeää ymmärtää, miten se toimii.
Berkley Packet Filter -syntaksi kaappaa suodattimet eri suodatuslausekkeiden perusteella. Nämä lausekkeet koostuvat yhdestä tai useammasta primitiivistä, ja primitiivit koostuvat tunnisteesta (arvoista tai nimistä, joita yrität löytää eri paketeista), jota seuraa yksi tai useampi tarkenne.
Karsinnat voidaan jakaa kolmeen eri tyyppiin:
- Tyyppi – näillä tarkennuksilla määrität, minkälaista asiaa tunniste edustaa. Tyyppimääritteitä ovat portti, verkko ja isäntä.
- Dir (suunta) – näitä tarkenteita käytetään siirtosuunnan määrittämiseen. Tällä tavalla "src" merkitsee lähteen ja "dst" merkitsee määränpään.
- Proto (protokolla) – protokollamääritteiden avulla voit määrittää erityisen protokollan, jonka haluat kaapata.
Voit käyttää eri tarkenteiden yhdistelmää suodattaaksesi haun. Voit myös käyttää operaattoreita: esimerkiksi voit käyttää ketjutusoperaattoria (&/ja), negaatiooperaattoria (!/not) jne.
Tässä on joitain esimerkkejä kaappaussuodattimista, joita voit käyttää Wiresharkissa:
| Suodattimet | Kuvaus |
| isäntä 192.168.1.2 | Kaikki liikenne, joka liittyy 192.168.1.2 |
| tcp portti 22 | Kaikki porttiin 22 liittyvä liikenne |
| src 192.168.1.2 | Kaikki liikenne osoitteesta 192.168.1.2 |
Protokollan otsikkokenttiin on mahdollista luoda sieppaussuodattimia. Syntaksi näyttää tältä: proto[offset:size(valinnainen)]=arvo. Tässä proto edustaa protokollaa, jonka haluat suodattaa, offset edustaa arvon sijaintia paketin otsikossa, koko edustaa datan pituutta ja arvo on etsimäsi data.
Näytä suodattimet Wiresharkissa
Toisin kuin sieppaussuodattimet, näyttösuodattimet eivät hylkää mitään paketteja, vaan piilottavat ne katselun aikana. Tämä on hyvä vaihtoehto, koska kun hylkäät paketit, et voi palauttaa niitä.
Näyttösuodattimia käytetään tietyn protokollan olemassaolon tarkistamiseen. Jos esimerkiksi haluat näyttää paketteja, jotka sisältävät tietyn protokollan, voit kirjoittaa protokollan nimen Wiresharkin "Näyttösuodatin" -työkalupalkkiin.
Muut vaihtoehdot
On olemassa useita muita vaihtoehtoja, joita voit käyttää pakettien analysointiin Wiresharkissa tarpeidesi mukaan.
- Wiresharkin "Tilastot"-ikkunasta löydät erilaisia perustyökaluja, joiden avulla voit analysoida paketteja. Voit esimerkiksi käyttää "Keskustelut"-työkalua analysoimaan liikennettä kahden eri IP-osoitteen välillä.
- "Asiantuntijatiedot" -ikkunassa voit analysoida poikkeavuuksia tai epätavallista toimintaa verkossasi.
Suodatus portin mukaan Wiresharkissa
Suodattaminen portin mukaan Wiresharkissa on helppoa suodatinpalkin ansiosta, jonka avulla voit käyttää näyttösuodatinta.
Jos esimerkiksi haluat suodattaa portin 80, kirjoita tämä suodatinpalkkiin: "tcp.port == 80.” Voit myös kirjoittaa "ekv"==" sijaan, koska "eq" tarkoittaa "yhtä".
Voit myös suodattaa useita portteja kerralla. || merkkejä käytetään tässä tapauksessa.
Jos esimerkiksi haluat suodattaa portit 80 ja 443, kirjoita tämä suodatinpalkkiin: "tcp.port == 80 || tcp.port == 443”, tai ”tcp.port eq 80 || tcp.port eq 443.”
Muita usein kysyttyjä kysymyksiä
Kuinka suodatan Wiresharkin IP-osoitteen ja portin perusteella?
On olemassa useita tapoja, joilla voit suodattaa Wiresharkia IP-osoitteen perusteella:
1. Jos olet kiinnostunut tietyn IP-osoitteen sisältävästä paketista, kirjoita tämä suodatinpalkkiin: "ip.adr == x.x.x.x.”
2. Jos olet kiinnostunut tietystä IP-osoitteesta tulevista paketeista, kirjoita tämä suodatinpalkkiin: "ip.src == x.x.x.x.”
3. Jos olet kiinnostunut paketeista, jotka menevät tiettyyn IP-osoitteeseen, kirjoita tämä suodatinpalkkiin: "ip.dst == x.x.x.x.”
Jos haluat käyttää kahta suodatinta, kuten IP-osoitetta ja porttinumeroa, katso seuraava esimerkki: "ip.adr == 192.168.1.199.&&tcp.port eq 443.” Koska "&&" edustavat "ja" -symboleja, kirjoittamalla tämän voit suodattaa hakusi IP-osoitteen (192.168.1.199) ja portin numeron (tcp.port eq 443) mukaan.
Kuinka Wireshark kaappaa porttiliikennettä?
Wireshark kaappaa kaiken verkkoliikenteen sen tapahtuessa. Se kaappaa kaiken porttiliikenteen ja näyttää kaikki porttinumerot tietyissä yhteyksissä.
Jos haluat aloittaa kaappauksen, toimi seuraavasti:
1. Avaa Wireshark.
2. Napauta "Kaappaa".
3. Valitse "Liitännät".
4. Napauta "Aloita".
Jos haluat keskittyä tiettyyn portin numeroon, voit käyttää suodatinpalkkia.
Kun haluat lopettaa kaappauksen, paina 'Ctrl + E.'
Mikä on kaappaussuodatin DHCP-vaihtoehdolle?
Dynamic Host Configuration Protocol (DHCP) -vaihtoehto edustaa eräänlaista verkonhallintaprotokollaa. Sitä käytetään IP-osoitteiden automaattiseen määrittämiseen verkkoon kytketyille laitteille. Kun käytät DHCP-vaihtoehtoa, sinun ei tarvitse määrittää eri laitteita manuaalisesti.
Jos haluat nähdä vain DHCP-paketit Wiresharkissa, kirjoita "bootp" suodatinpalkkiin. Miksi bootp? Koska se edustaa DHCP:n vanhempaa versiota, ja ne molemmat käyttävät samoja porttinumeroita – 67 ja 68.
Miksi minun pitäisi käyttää Wiresharkia?
Wiresharkin käyttämisellä on lukuisia etuja, joista jotkut ovat:
1. Se on ilmainen – voit analysoida verkkoliikennettäsi täysin ilmaiseksi!
2. Sitä voidaan käyttää eri alustoilla – voit käyttää Wiresharkia Windowsissa, Linuxissa, Macissa, Solarisissa jne.
3. Se on yksityiskohtainen – Wireshark tarjoaa syvän analyysin useista protokollista.
4. Se tarjoaa live-dataa – nämä tiedot voidaan kerätä eri lähteistä, kuten Ethernet, Token Ring, FDDI, Bluetooth, USB jne.
5. Sitä käytetään laajalti – Wireshark on suosituin verkkoprotokollaanalysaattori.
Wireshark ei pure!
Nyt olet oppinut lisää Wiresharkista, sen kyvyistä ja suodatusvaihtoehdoista. Jos haluat olla varma, että voit tehdä vianmäärityksen ja tunnistaa minkä tahansa tyyppiset verkko-ongelmat tai tarkastaa verkkoon saapuvat ja sieltä lähtevät tiedot ja pitää sen näin turvassa, sinun kannattaa ehdottomasti kokeilla Wiresharkia.
Oletko koskaan käyttänyt Wiresharkia? Kerro meille siitä alla olevassa kommenttiosassa.