Nakatagpo ang mga admin ng network ng malawak na hanay ng mga isyu sa network habang ginagawa ang kanilang trabaho. Sa tuwing may kahina-hinalang aksyon o pangangailangang suriin ang isang partikular na segment ng network, maaaring magamit ang mga tool sa protocol analyst gaya ng Wireshark. Ang isang partikular na kapaki-pakinabang na tampok ay ang pag-filter ng mga packet ng network sa pamamagitan ng mga IP address.
Kung ikaw ay isang unang beses na user, maaari mong makita na medyo mahirap i-configure ang mga hakbang para sa paggawa nito nang mag-isa. Sa kabutihang palad, naipon namin ang pinakahuling gabay na ito kung paano mag-filter ng IP sa Wireshark. Aalis ka nang alam mo ang pagkakaiba sa pagitan ng dalawang wika ng pag-filter nito, pag-aaral ng mga bagong string ng filter, at marami pa.
Ang pinakamagandang bagay ay kailangan mo lang ng tulong sa pagsasagawa ng mga hakbang na ito sa unang pagkakataon. Ang bawat susunod na pagganap ay magiging isang piraso ng cake!
Ano ang Wireshark?
Ang Wireshark ay isang network packet analyzer na nangingibabaw sa espasyo ng industriya sa loob ng mahabang panahon. Ito ay naging mahusay hanggang sa punto ng pag-iimbak ng maraming katulad na mga tool, kabilang ang Microsoft Network Monitor. Ang dalawang pangunahing tampok na nagpatanyag sa Wireshark ay ang kakayahang umangkop at kadalian ng paggamit nito.
Ang mga network packet analyzer ay mga tool na kumukuha at nagsusuri ng trapiko ng data sa mas maraming detalye hangga't maaari sa mga partikular na channel ng komunikasyon. Ang mga ito ay nagsisilbing ultimate diagnostic tool para sa mga naka-embed na system.
Ang Wireshark ay may pinakamataas na kakayahang mag-filter ng mga packet sa panahon ng pagkuha at sa pagsusuri na may iba't ibang antas ng pagiging kumplikado. Ginagawa nitong pantay na maginhawa para sa mga first-timer pati na rin para sa mga propesyonal sa pagsubaybay sa network. Ang Wireshark ay nag-ingest at nagsusuri ng trapiko mula sa iba't ibang mga protocol analyzer, na ginagawang diretsong suriin ang nakaraang trapiko sa mga partikular na oras sa nakaraan.
Bago ang Wireshark, ang mga tool sa pagsubaybay sa network ay dating napakamahal o pagmamay-ari. Nagbago ang lahat sa pagdating ng app na ito. Ang software ay open-source at sumusuporta sa lahat ng pangunahing platform. Nagdala ito ng Wireshark ng maraming suporta sa komunidad, na nagbawas sa gastos bilang hadlang at nagbigay ng puwang para sa malawak na hanay ng mga pagkakataon sa pagsasanay.
Narito kung bakit maaaring gustong gamitin ng mga tao ang Wireshark:
- Pag-troubleshoot ng mga problema sa network
- Pagsusuri sa mga problema sa seguridad
- Pagsusuri sa mga aplikasyon ng network
- Pag-debug ng mga pagpapatupad ng protocol
- Pag-aaral tungkol sa network protocol internals
Libre ang pag-download ng Wireshark. Kung sakaling wala ka pa, magagawa mo ito dito. I-download lang ang executable at i-click ang file para i-install ito.
Ang Wireshark User Interface
Pagkatapos i-download at i-install ang Wireshark, maa-access mo ito mula sa iyong lokal na shell o window manager. Isa sa mga unang bagay na kailangan mong gawin ay pumili ng isang interface ng network mula sa listahan ng mga network sa iyong mga adapter ng computer.
Maaari kang mag-click sa "Capture," pagkatapos ay "Mga Interface" mula sa menu, at piliin ang naaangkop na opsyon.
Ang pangunahing window sa interface ng Wireshark ay binubuo ng ilang bahagi:
- Menu – ginagamit upang simulan ang mga aksyon
- Pangunahing toolbar – mabilis na pag-access sa mga item na madalas mong ginagamit mula sa menu
- Filter toolbar – maaari kang magtakda ng mga display filter dito
- Packet list pane – mga nakuhang buod ng packet
- Pane ng mga detalye – higit pang impormasyon tungkol sa napiling packet mula sa packet lane
- Bytes pane – data mula sa packet list pane packet, na nagha-highlight sa napiling field sa pane na iyon
- Statusbar – nakuhang data at patuloy na impormasyon ng estado ng programa
Maaari mong kontrolin ang mga listahan ng packet at ganap na mag-navigate sa mga detalye gamit ang iyong keyboard. Mayroong isang talahanayan na nagpapakita ng mga karaniwang keyboard shortcut na command dito.
Paano Magdagdag ng Mga Filter sa Wireshark?
Ang toolbar na "Filter" ay kung saan maaari kang mag-customize at magpatakbo ng mga bagong display filter.
Upang gumawa at mag-edit ng mga filter ng pagkuha, pumunta sa "Pamahalaan ang Mga Filter ng Pagkuha" mula sa menu ng bookmark o mag-navigate sa "Pagkuha," pagkatapos ay "Pagkuha ng Mga Filter" mula sa pangunahing menu.
Para gumawa at mag-edit ng mga display filter, piliin ang “Manage Display Filters” mula sa bookmark menu o pumunta sa main menu at piliin ang “Analyze,” pagkatapos ay “Display Filters.”
Makakakita ka ng seksyon ng pag-input ng filter na may berdeng background. Ito ang lugar kung saan ka pumapasok at nag-e-edit ng mga string ng display filter. Dito mo rin makikita ang kasalukuyang inilapat na filter. I-click lang ang pangalan ng filter o i-double click ang string para i-edit ito.
Habang nagsusulat ka, gagawa ang system ng system check ng filter string. Kung nagpasok ka ng di-wasto, ang background ay magiging pula mula sa berde. Palaging pindutin ang "Apply" na buton o ang "Enter" key para ilapat ang filter string.
Maaari kang magdagdag ng bagong filter sa pamamagitan ng pag-click sa button na "Magdagdag", na isang itim na plus sign sa isang light-gray na background. Ang isa pang paraan upang magdagdag ng bagong filter ay ang pag-right click sa lugar ng button ng filter. Para mag-alis ng filter, mag-click sa minus button. Magiging grey ang minus button kung walang napiling filter.
Paano Mag-filter ayon sa IP Address sa Wireshark?
Ang isang mahusay na tampok ng Wireshark ay hinahayaan ka nitong i-filter ang mga packet ayon sa mga IP address. Sundin lamang ang mga hakbang sa ibaba para sa mga tagubilin kung paano gawin ito:
- Magsimula sa pamamagitan ng pag-click sa plus button upang magdagdag ng bagong display filter.
- Patakbuhin ang sumusunod na operasyon sa kahon ng Filter: ip.addr==[IP address] at pindutin ang Enter.
- Pansinin na ang Packet List Lane ay sinasala na lamang ngayon ang trapikong papunta sa (destinasyon) at mula sa (pinagmulan) ang IP address na iyong ipinasok.
- Upang i-clear ang filter, mag-click sa pindutang "I-clear" sa toolbar ng Filter.
Pinagmulan ng IP
Maaari mong paghigpitan ang packet view sa mga may partikular na pinagmulang IP address na lumalabas sa filter na iyon. Patakbuhin lamang ang sumusunod na command sa filter box at pindutin ang Enter:
ip.src == [IP address]
IP ng patutunguhan
Maaari kang maglapat ng mga filter ng patutunguhan upang paghigpitan ang packet view sa mga may partikular na patutunguhang IP na ipinapakita sa filter.
Ang utos ay ang mga sumusunod:
ip.dst == [IP address]
Capture Filter kumpara sa Display Filter
Sinusuportahan ng Wireshark ang dalawang wika sa pag-filter: mga filter ng pagkuha at mga filter ng display. Ang dating ay ginagamit para sa pag-filter habang kumukuha ng mga packet. Ang mga huling filter ay nagpakita ng mga packet. Sa mga display filter, maaari kang tumuon sa mga packet na interesado ka at itago ang mga hindi kasalukuyang mahalaga. Maaari kang magpakita ng mga packet batay sa ilang mga kadahilanan:
- Protocol
- presensya sa field
- Mga halaga ng field
- Paghahambing sa larangan
Gumagamit ang mga display filter ng boolean operator syntax at mga field na naglalarawan sa mga packet na iyong sinasala. Sa sandaling lumikha ka ng ilang mga filter ng display, nagiging madali itong isulat. Ang mga filter ng pagkuha ay medyo hindi gaanong intuitive dahil ang mga ito ay misteryoso.
Narito ang isang pangkalahatang-ideya ng mga feature at gamit ng bawat filter:
Kumuha ng mga filter:
- Nakatakda ang mga ito bago simulan ang pagkuha ng trapiko
- Imposibleng baguhin habang kumukuha ng trapiko
- Ginagamit para sa partikular na uri ng trapiko sa pagkuha
Mga filter ng display:
- Binabawasan nila ang mga packet na lumalabas sa Wireshark
- Maaaring i-customize sa panahon ng pagkuha ng trapiko
- Ginagamit upang itago ang trapiko upang masuri ang mga partikular na uri ng trapiko
Para sa higit pang impormasyon sa pag-filter habang kumukuha, bisitahin ang pahinang ito.
Mga karagdagang FAQ
Paano Ko Salain ang Wireshark ayon sa URL?
Maaari kang maghanap ng mga ibinigay na HTTP URL sa pagkuha sa Wireshark sa pamamagitan ng paggamit ng sumusunod na string ng filter:
Ang http ay naglalaman ng "[URL]. “
Tandaan na hindi mo magagamit ang mga operator na "naglalaman" sa mga atomic field (mga numero, mga IP address.)
Paano Ko Salain ang Wireshark ayon sa Numero ng Port?
Maaari mong gamitin ang sumusunod na command upang i-filter ang Wireshark ayon sa numero ng port:
Tcp.port eq [port number].
Paano Gumagana ang Wireshark?
Ang Wireshark ay isang network packet sniffing tool. Sinusuri nito ang mga network packet sa pamamagitan ng pagkuha ng koneksyon sa internet at pagrerehistro ng mga packet na naglalakbay dito. Pagkatapos ay binibigyan nito ang mga gumagamit ng impormasyon sa mga packet na iyon, kabilang ang kanilang pinagmulan, patutunguhan, nilalaman, mga protocol, mga mensahe, atbp.
Pupunta sa 007 sa Network Sniffing
Salamat sa Wireshark, hindi na kailangang mag-alala ang mga network engineer at administrator tungkol sa pagkawala ng mga diagnostic tool para sa mahahalagang isyu sa network. Ang madaling ma-access at maginhawang mga tampok ng programa ay ginagawang mas diretso upang masuri ang mga kahinaan sa network at magsagawa ng pag-troubleshoot.
Pagkatapos basahin ang aming artikulo, dapat mo na ngayong masabi ang pagkakaiba sa pagitan ng iba't ibang opsyon sa filter sa program na nauugnay sa IP filtering. Natutunan mo rin ang mga pangunahing string expression para sa pag-filter sa pamamagitan ng IP at marami pang iba. Sana, makakatulong ito sa paglutas ng anumang mga isyu sa network na maaaring nararanasan mo.
Ano ang iba pang mga tampok na madalas mong ginagamit sa Wireshark? Ano sa palagay mo ang nagpapatingkad sa Wireshark mula sa kumpetisyon? Ibahagi ang iyong mga saloobin sa seksyon ng mga komento sa ibaba.