Paano Mag-filter ayon sa Port gamit ang Wireshark

Kinakatawan ng Wireshark ang pinaka ginagamit na protocol analyzer sa mundo. Sa pamamagitan ng paggamit nito, maaari mong suriin ang lahat ng nangyayari sa loob ng iyong network, i-troubleshoot ang iba't ibang mga problema, pag-aralan at i-filter ang trapiko ng iyong network gamit ang iba't ibang mga tool, atbp.

Kung gusto mong matuto nang higit pa tungkol sa Wireshark at kung paano mag-filter ayon sa port, siguraduhing patuloy kang magbasa.

Ano ang Eksaktong Pag-filter ng Port?

Ang port filtering ay kumakatawan sa isang paraan ng pag-filter ng mga packet (mga mensahe mula sa iba't ibang network protocol) batay sa kanilang port number. Ang mga port number na ito ay ginagamit para sa TCP at UDP protocol, ang pinakakilalang protocol para sa transmission. Ang port filtering ay kumakatawan sa isang paraan ng proteksyon para sa iyong computer dahil, sa pamamagitan ng port filtering, maaari mong piliing payagan o harangan ang ilang mga port upang maiwasan ang iba't ibang mga operasyon sa loob ng network.

Mayroong isang mahusay na itinatag na sistema ng mga port na ginagamit para sa iba't ibang mga serbisyo sa internet, tulad ng paglilipat ng file, e-mail, atbp. Sa katunayan, mayroong higit sa 65,000 iba't ibang mga port. Umiiral ang mga ito sa mode na "payagan" o "sarado". Maaaring buksan ng ilang mga application sa internet ang mga port na ito, kaya mas nakalantad ang iyong computer sa mga hacker at virus.

Sa pamamagitan ng paggamit ng Wireshark, maaari mong i-filter ang iba't ibang mga packet batay sa kanilang numero ng port. Bakit mo gustong gawin ito? Dahil sa ganoong paraan, maaari mong i-filter ang lahat ng mga packet na hindi mo gusto sa iyong computer para sa iba't ibang mga kadahilanan.

Ano ang Mga Mahalagang Port?

Mayroong 65,535 port. Maaaring hatiin ang mga ito sa tatlong magkakaibang kategorya: ang mga port mula 0 – 1023 ay mga kilalang port, at itinalaga ang mga ito sa mga karaniwang serbisyo at protocol. Pagkatapos, mula 1024 hanggang 49151 ay mga rehistradong port - ang mga ito ay itinalaga ng ICANN sa isang partikular na serbisyo. At ang mga pampublikong port ay mga port mula 49152-65535, maaari silang magamit ng anumang serbisyo. Iba't ibang port ang ginagamit para sa iba't ibang protocol.

Kung gusto mong malaman ang tungkol sa mga pinakakaraniwan, tingnan ang sumusunod na listahan:

Numero ng portPangalan ng serbisyoProtocol
20, 21Protocol ng paglilipat ng file – FTPTCP
22Secure na shell - SSHTCP at UDP
23TelnetTCP
25Simple Mail Transfer ProtocolTCP
53Domain Name System – DNSTCP at UDP
67/68Dynamic na Host Configuration Protocol – DHCPUDP
80HyperText Transfer Protocol – HTTPTCP
110Post Office Protocol – POP3TCP
123Network Time Protocol – NTPUDP
143Internet Message Access Protocol (IMAP4)TCP at UDP
161/162Simple Network Management Protocol –SNMPTCP at UDP
443HTTP na may Secure Sockets Layer – HTTPS (HTTP over SSL/TLS)TCP

Pagsusuri sa Wireshark

Ang proseso ng pagsusuri sa Wireshark ay kumakatawan sa pagsubaybay sa iba't ibang protocol at data sa loob ng isang network.

Bago tayo magsimula sa proseso ng pagsusuri, tiyaking alam mo ang uri ng trapiko na hinahanap mong suriin, at iba't ibang uri ng mga device na naglalabas ng trapiko:

  1. Mayroon ka bang promiscuous mode na sinusuportahan? Kung gagawin mo, papayagan nito ang iyong device na mangolekta ng mga packet na hindi orihinal na inilaan para sa iyong device.
  2. Anong mga device ang mayroon ka sa loob ng iyong network? Mahalagang tandaan na ang iba't ibang uri ng mga device ay magpapadala ng iba't ibang packet.
  3. Anong uri ng trapiko ang gusto mong suriin? Ang uri ng trapiko ay magdedepende sa mga device sa loob ng iyong network.

Ang pag-alam kung paano gumamit ng iba't ibang mga filter ay napakahalaga para sa pagkuha ng nilalayong mga packet. Ang mga filter na ito ay ginagamit bago ang proseso ng packet capturing. Paano sila gumagana? Sa pamamagitan ng pagtatakda ng isang partikular na filter, agad mong aalisin ang trapiko na hindi nakakatugon sa ibinigay na pamantayan.

Sa loob ng Wireshark, ginagamit ang isang syntax na tinatawag na Berkley Packet Filter (BPF) syntax para sa paglikha ng iba't ibang mga filter ng pagkuha. Dahil ito ang syntax na pinakakaraniwang ginagamit sa packet analysis, mahalagang maunawaan kung paano ito gumagana.

Kinukuha ng syntax ng Berkley Packet Filter ang mga filter batay sa iba't ibang expression ng pag-filter. Binubuo ang mga expression na ito ng isa o ilang primitive, at ang primitive ay binubuo ng isang identifier (mga value o pangalan na sinusubukan mong hanapin sa iba't ibang packet), na sinusundan ng isa o ilang qualifier.

Ang mga kwalipikado ay maaaring nahahati sa tatlong magkakaibang uri:

  1. Uri – gamit ang mga qualifier na ito, tinukoy mo kung anong uri ng bagay ang kinakatawan ng identifier. Kasama sa mga uri ng kwalipikasyon ang port, net, at host.
  2. Dir (direksyon) – ginagamit ang mga qualifier na ito upang tukuyin ang direksyon ng paglipat. Sa ganoong paraan, minarkahan ng "src" ang pinagmulan, at minarkahan ng "dst" ang patutunguhan.
  3. Proto (protocol) – na may mga protocol qualifier, maaari mong tukuyin ang partikular na protocol na gusto mong makuha.

Maaari kang gumamit ng kumbinasyon ng iba't ibang qualifier upang ma-filter ang iyong paghahanap. Gayundin, maaari mong gamitin ang mga operator: halimbawa, maaari mong gamitin ang concatenation operator (&/and), negation operator (!/not), atbp.

Narito ang ilang halimbawa ng mga filter ng pagkuha na maaari mong gamitin sa Wireshark:

Mga filterPaglalarawan
host 192.168.1.2Lahat ng trapikong nauugnay sa 192.168.1.2
tcp port 22Lahat ng trapikong nauugnay sa port 22
src 192.168.1.2Lahat ng trapiko na nagmula sa 192.168.1.2

Posibleng lumikha ng mga filter ng pagkuha sa mga field ng header ng protocol. Ang syntax ay ganito ang hitsura: proto[offset:size(optional)]=value. Dito, kinakatawan ng proto ang protocol na gusto mong i-filter, kinakatawan ng offset ang posisyon ng value sa header ng packet, ang laki ay kumakatawan sa haba ng data, at ang value ay ang data na iyong hinahanap.

Ipakita ang Mga Filter sa Wireshark

Hindi tulad ng mga filter ng pag-capture, ang mga filter ng display ay hindi nagtatapon ng anumang mga packet, itinatago lang nila ang mga ito habang tinitingnan. Ito ay isang magandang opsyon dahil sa sandaling itapon mo ang mga packet, hindi mo na mababawi ang mga ito.

Ginagamit ang mga display filter upang suriin ang pagkakaroon ng isang partikular na protocol. Halimbawa, kung gusto mong magpakita ng mga packet na naglalaman ng partikular na protocol, maaari mong i-type ang pangalan ng protocol sa toolbar na "Display filter" ng Wireshark.

Iba pang mga Opsyon

Mayroong iba't ibang mga opsyon na maaari mong gamitin upang pag-aralan ang mga packet sa Wireshark, depende sa iyong mga pangangailangan.

  1. Sa ilalim ng window ng "Mga Istatistika" sa Wireshark, mahahanap mo ang iba't ibang mga pangunahing tool na magagamit mo upang pag-aralan ang mga packet. Halimbawa, maaari mong gamitin ang tool na "Mga Pag-uusap" upang suriin ang trapiko sa pagitan ng dalawang magkaibang IP address.

  2. Sa ilalim ng window ng “Expert Infos,” maaari mong suriin ang mga anomalya o hindi karaniwang pag-uugali sa loob ng iyong network.

Pag-filter ayon sa Port sa Wireshark

Ang pag-filter ayon sa port sa Wireshark ay madali salamat sa filter bar na nagbibigay-daan sa iyong maglapat ng display filter.

Halimbawa, kung gusto mong i-filter ang port 80, i-type ito sa filter bar: “tcp.port == 80.” Ang maaari mo ring gawin ay i-type ang “eq” sa halip na “==”, dahil ang “eq” ay tumutukoy sa “equal.”

Maaari mo ring i-filter ang maraming port nang sabay-sabay. Ang || ang mga palatandaan ay ginagamit sa kasong ito.

Halimbawa, kung gusto mong i-filter ang mga port 80 at 443, i-type ito sa filter bar: “tcp.port == 80 || tcp.port == 443”, o “tcp.port eq 80 || tcp.port eq 443.”

Mga karagdagang FAQ

Paano Ko Salain ang Wireshark ayon sa IP Address at Port?

Mayroong ilang mga paraan kung saan maaari mong i-filter ang Wireshark ayon sa IP address:

1. Kung interesado ka sa isang packet na may partikular na IP address, i-type ito sa filter bar: “ip.adr == x.x.x.x.

2. Kung interesado ka sa mga packet na nagmumula sa isang partikular na IP address, i-type ito sa filter bar: “ip.src == x.x.x.x.

3. Kung interesado ka sa mga packet na papunta sa isang partikular na IP address, i-type ito sa filter bar: “ip.dst == x.x.x.x.

Kung gusto mong maglapat ng dalawang filter, gaya ng IP address at port number, tingnan ang susunod na halimbawa: “ip.adr == 192.168.1.199.&&tcp.port eq 443.” Dahil ang “&&” ay kumakatawan sa mga simbolo para sa “at”, sa pamamagitan ng pagsulat nito, nagagawa mong i-filter ang iyong paghahanap ayon sa IP address (192.168.1.199) at ayon sa port number (tcp.port eq 443).

Paano Kinukuha ng Wireshark ang Trapiko sa Port?

Kinukuha ng Wireshark ang lahat ng trapiko sa network habang nangyayari ito. Makukuha nito ang lahat ng trapiko sa port at ipapakita sa iyo ang lahat ng mga numero ng port sa mga partikular na koneksyon.

Kung gusto mong simulan ang pagkuha, sundin ang mga hakbang na ito:

1. Buksan ang "Wireshark."

2. I-tap ang “Capture.”

3. Piliin ang "Mga Interface."

4. I-tap ang “Start.”

Kung gusto mong tumuon sa isang partikular na numero ng port, maaari mong gamitin ang filter bar.

Kapag gusto mong ihinto ang pagkuha, pindutin ang '' Ctrl + E.''

Ano ang Capture Filter para sa isang DHCP Option?

Ang pagpipiliang Dynamic Host Configuration Protocol (DHCP) ay kumakatawan sa isang uri ng network management protocol. Ginagamit ito para sa awtomatikong pagtatalaga ng mga IP address sa mga device na nakakonekta sa network. Sa pamamagitan ng paggamit ng opsyon sa DHCP, hindi mo kailangang manu-manong i-configure ang iba't ibang device.

Kung gusto mong makita lamang ang mga DHCP packet sa Wireshark, i-type ang "bootp" sa filter bar. Bakit bootp? Dahil kinakatawan nito ang mas lumang bersyon ng DHCP, at pareho silang gumagamit ng parehong mga numero ng port - 67 & 68.

Bakit Ako Dapat Gumamit ng Wireshark?

Ang paggamit ng Wireshark ay may maraming mga pakinabang, ang ilan sa mga ito ay:

1. Ito ay libre - maaari mong suriin ang iyong trapiko sa network nang libre!

2. Magagamit ito para sa iba't ibang platform – maaari mong gamitin ang Wireshark sa Windows, Linux, Mac, Solaris, atbp.

3. Ito ay detalyado - Nag-aalok ang Wireshark ng malalim na pagsusuri ng maraming protocol.

4. Nag-aalok ito ng live na data - ang data na ito ay maaaring ipunin mula sa iba't ibang mapagkukunan tulad ng Ethernet, Token Ring, FDDI, Bluetooth, USB, atbp.

5. Ito ay malawakang ginagamit – Ang Wireshark ay ang pinakasikat na network protocol analyzer.

Hindi Kumakagat ang Wireshark!

Ngayon natutunan mo na ang higit pa tungkol sa Wireshark, mga kakayahan nito, at mga opsyon sa pag-filter. Kung gusto mong makatiyak na maaari mong i-troubleshoot at tukuyin ang anumang uri ng mga isyu sa network o siyasatin ang data na pumapasok at lumalabas sa iyong network, sa gayon ay mapapanatili itong secure, dapat mong subukan ang Wireshark.

Nagamit mo na ba ang Wireshark? Sabihin sa amin ang tungkol dito sa seksyon ng komento sa ibaba.