Kuinka suodattaa IP-osoitteen perusteella Wiresharkissa

Verkon järjestelmänvalvojat kohtaavat monenlaisia ​​verkkoongelmia tehdessään työtä. Aina kun on epäilyttävää toimintaa tai tarve arvioida tiettyä verkkosegmenttiä, protokolla-analyytikkotyökalut, kuten Wireshark, voivat olla hyödyllisiä. Yksi erityisen hyödyllinen ominaisuus on verkkopakettien suodattaminen IP-osoitteiden perusteella.

Kuinka suodattaa IP-osoitteen perusteella Wiresharkissa

Jos käytät ensimmäistä kertaa, voi olla hieman haastavaa määrittää vaiheet itse. Onneksi olemme koonneet tämän täydellisen oppaan IP-osoitteen suodattamiseen Wiresharkissa. Voit kävellä pois, kun tiedät sen kahden suodatuskielen eron, opit uusia suodatinsarjoja ja paljon muuta.

Parasta on, että tarvitset apua vain näiden vaiheiden suorittamisessa ensimmäisen kerran. Jokainen seuraava esitys on pala kakkua!

Mikä on Wireshark?

Wireshark on verkkopakettianalysaattori, joka on hallinnut toimialaa jo jonkin aikaa. On ollut hienoa monien samankaltaisten työkalujen, mukaan lukien Microsoft Network Monitorin, hyllyttäminen. Kaksi pääominaisuutta, jotka tekivät Wiresharkista kuuluisan, ovat sen joustavuus ja helppokäyttöisyys.

Verkkopakettianalysaattorit ovat työkaluja, jotka sieppaavat ja analysoivat dataliikennettä mahdollisimman yksityiskohtaisesti tietyissä viestintäkanavissa. Ne toimivat sulautettujen järjestelmien parhaina diagnostiikkatyökaluina.

Wireshark sisältää huippuluokan kyvyn suodattaa paketteja sieppauksen ja analyysin aikana eri monimutkaisuustasoilla. Tämä tekee siitä yhtä kätevän ensikertalaisille kuin verkonvalvonnan ammattilaisille. Wireshark myös nielee ja analysoi liikennettä useista muista protokolla-analysaattoreista, mikä tekee menneen liikenteen tarkastelun yksinkertaiseksi tiettyinä aikoina menneisyydessä.

Ennen Wiresharkia verkon seurantatyökalut olivat erittäin kalliita tai omia. Kaikki muuttui tämän sovelluksen myötä. Ohjelmisto on avoimen lähdekoodin ja tukee kaikkia tärkeimpiä alustoja. Tämä toi Wiresharkille paljon yhteisön tukea, mikä poisti kustannukset esteenä ja teki tilaa monenlaisille koulutusmahdollisuuksille.

Tästä syystä ihmiset saattavat haluta käyttää Wiresharkia:

  • Verkko-ongelmien vianmääritys
  • Turvallisuusongelmien tutkiminen
  • Verkkosovellusten tutkiminen
  • Virheenkorjausprotokollan toteutukset
  • Verkkoprotokollan sisäisistä ominaisuuksista tutustuminen

Wireshark on ladattavissa ilmaiseksi. Jos et vieläkään ole, voit tehdä sen täällä. Lataa vain suoritettava tiedosto ja napsauta tiedostoa asentaaksesi sen.

Wiresharkin käyttöliittymä

Kun olet ladannut ja asentanut Wiresharkin, voit käyttää sitä paikallisesta komentotulkista tai ikkunanhallinnasta. Yksi ensimmäisistä asioista, jotka sinun on tehtävä, on valita verkkoliitäntä tietokoneiden sovittimien verkkoluettelosta.

Voit napsauttaa "Kaappaa" ja sitten "Liitännät" valikosta ja valita sopiva vaihtoehto.

Wireshark-käyttöliittymän pääikkuna koostuu useista osista:

  • Valikko – käytetään toimintojen käynnistämiseen
  • Päätyökalurivi – nopea pääsy usein käyttämiisi kohteisiin valikosta
  • Suodatintyökalupalkki – voit asettaa näyttösuodattimia täällä
  • Pakettiluetteloruutu – kaapattujen pakettien yhteenvedot
  • Tiedot-ruutu – lisätietoja valitusta paketista pakettikaistalta
  • Bytes-ruutu – data pakettiluetteloruudun paketista, korostaen valitun kentän kyseisessä ruudussa
  • Tilapalkki – kaapatut tiedot ja käynnissä olevan ohjelman tilatiedot

Voit hallita pakettiluetteloita ja selata yksityiskohtia kokonaan näppäimistölläsi. Tässä on taulukko, joka näyttää yleiset pikanäppäinkomennot.

Kuinka lisätä suodattimia Wiresharkiin?

"Suodatin"-työkalurivillä voit mukauttaa ja käyttää uusia näyttösuodattimia.

Luodaksesi ja muokataksesi sieppaussuodattimia, siirry kohtaan "Hallitse sieppaussuodattimia" kirjanmerkkivalikosta tai siirry kohtaan "Capture" ja sitten "Capture Filters" päävalikosta.

Voit luoda ja muokata näyttösuodattimia valitsemalla kirjanmerkkivalikosta "Hallinnoi näyttösuodattimia" tai siirtymällä päävalikkoon ja valitsemalla "Analysoi" ja sitten "Näyttösuodattimet".

Näet suodatinsyöttöosion vihreällä taustalla. Tämä on alue, jossa voit kirjoittaa ja muokata näytön suodatinmerkkijonoja. Tässä näkyy myös tällä hetkellä käytössä oleva suodatin. Napsauta vain suodattimen nimeä tai kaksoisnapsauta merkkijonoa muokataksesi sitä.

Kun kirjoitat, järjestelmä tarkistaa suodatinmerkkijonon järjestelmätarkistuksen. Jos syötät virheellisen arvon, tausta muuttuu vihreästä punaiseksi. Paina aina "Käytä"-painiketta tai "Enter"-näppäintä ottaaksesi suodatinmerkkijonon käyttöön.

Voit lisätä uuden suodattimen napsauttamalla "Lisää" -painiketta, joka on musta plusmerkki vaaleanharmaalla taustalla. Toinen tapa lisätä uusi suodatin on napsauttaa hiiren kakkospainikkeella suodatinpainikealuetta. Voit poistaa suodattimen napsauttamalla miinuspainiketta. Miinuspainike näkyy harmaana, jos suodatinta ei ole valittu.

Kuinka suodattaa IP-osoitteen perusteella Wiresharkissa?

Wiresharkin erinomainen ominaisuus on, että sen avulla voit suodattaa paketteja IP-osoitteiden mukaan. Seuraa vain alla olevia ohjeita saadaksesi ohjeet sen tekemiseen:

  1. Aloita napsauttamalla pluspainiketta lisätäksesi uuden näyttösuodattimen.

  2. Suorita seuraava toiminto Suodatin-ruudussa: ip.addr==[IP-osoite] ja paina Enter.

  3. Huomaa, että Packet List Lane suodattaa nyt vain liikenteen, joka menee (kohde) ja (lähde) antamaasi IP-osoitteeseen.

  4. Tyhjennä suodatin napsauttamalla "Tyhjennä" -painiketta suodatintyökalupalkissa.

Lähteen IP

Voit rajoittaa pakettinäkymän niihin, joilla on tietyt lähteen IP-osoitteet, jotka näkyvät kyseisessä suodattimessa. Suorita vain seuraava komento suodatinkentässä ja paina Enter:

ip.src == [IP-osoite]

Kohteen IP

Voit käyttää kohdesuodattimia rajoittaaksesi pakettinäkymän niihin, joiden kohde-IP näkyy suodattimessa.

Komento on seuraava:

ip.dst == [IP-osoite]

Capture Filter vs. Display Filter

Wireshark tukee kahta suodatuskieltä: sieppaussuodattimia ja näyttösuodattimia. Ensin mainittua käytetään suodattamiseen paketteja sieppattaessa. Jälkimmäinen suodattaa näytetyt paketit. Näyttösuodattimilla voit keskittyä sinua kiinnostaviin paketteihin ja piilottaa ne, jotka eivät tällä hetkellä ole tärkeitä. Voit näyttää paketteja useiden tekijöiden perusteella:

  • pöytäkirja
  • Kentällä läsnäolo
  • Kentän arvot
  • Kenttävertailu

Näyttösuodattimet käyttävät loogista operaattorisyntaksia ja kenttiä, jotka kuvaavat suodattavia paketteja. Kun olet luonut muutaman näyttösuodattimen, niiden kirjoittaminen on helppoa. Kaappaussuodattimet ovat hieman vähemmän intuitiivisia, koska ne ovat salaperäisiä.

Tässä on yleiskatsaus kunkin suodattimen ominaisuuksiin ja käyttötarkoituksiin:

Kaappaussuodattimet:

  • Ne asetetaan ennen liikenteen sieppaamista
  • Ei voida muuttaa liikenteen talteenoton aikana
  • Käytetään tietyn liikennetyypin sieppaamiseen

Näyttösuodattimet:

  • Ne vähentävät Wiresharkissa näytettäviä paketteja
  • Voidaan mukauttaa liikenteen talteenoton aikana
  • Käytetään liikenteen piilottamiseen tiettyjen liikennetyyppien arvioimiseksi

Lisätietoja suodatuksesta kuvauksen aikana on tällä sivulla.

Muita usein kysyttyjä kysymyksiä

Kuinka suodatan Wiresharkin URL-osoitteen perusteella?

Voit etsiä Wiresharkissa kaapattuja HTTP-URL-osoitteita käyttämällä seuraavaa suodatinmerkkijonoa:

http sisältää "[URL]. "

Huomaa, että et voi käyttää "sisältää"-operaattoreita atomikentissä (numerot, IP-osoitteet).

Kuinka suodatan Wiresharkin portin numeron mukaan?

Voit käyttää seuraavaa komentoa Wiresharkin suodattamiseen portin numeron mukaan:

Tcp.port eq [portin numero].

Kuinka Wireshark toimii?

Wireshark on verkkopakettien haistelemiseen tarkoitettu työkalu. Se analysoi verkkopaketteja ottamalla Internet-yhteyden ja rekisteröimällä sen läpi kulkevia paketteja. Sen jälkeen se tarjoaa käyttäjille tietoja näistä paketeista, mukaan lukien niiden alkuperä, kohde, sisältö, protokollat, viestit jne.

Going 007 Network Sniffing

Wiresharkin ansiosta verkkoinsinöörien ja järjestelmänvalvojien ei enää tarvitse huolehtia siitä, että he menettävät diagnostiikkatyökaluja olennaisten verkkoongelmien ratkaisemiseksi. Ohjelman helposti saatavilla olevat ja kätevät ominaisuudet tekevät verkon haavoittuvuuksien arvioinnista ja vianetsinnän suorittamisesta paljon yksinkertaisempaa.

Luettuasi artikkelimme sinun pitäisi nyt pystyä erottamaan IP-suodatukseen liittyvän ohjelman eri suodatinvaihtoehdot. Opit myös perusmerkkijonolausekkeet IP-suodatusta varten ja paljon muuta. Toivottavasti tämä auttaa ratkaisemaan mitä tahansa verkko-ongelmia, joita saatat kohdata.

Mitä muita ominaisuuksia käytät usein Wiresharkissa? Mikä tekee Wiresharkin mielestäsi erottuvan kilpailijoista? Jaa ajatuksesi alla olevassa kommenttiosiossa.