Wireshark представляет собой самый используемый в мире анализатор протоколов. С его помощью вы можете проверять все, что происходит в вашей сети, устранять различные проблемы, анализировать и фильтровать сетевой трафик с помощью различных инструментов и т. д.
Если вы хотите узнать больше о Wireshark и о том, как фильтровать по порту, продолжайте читать.
Что такое фильтрация портов?
Фильтрация портов представляет собой способ фильтрации пакетов (сообщений от разных сетевых протоколов) на основе их номера порта. Эти номера портов используются для протоколов TCP и UDP, наиболее известных протоколов передачи. Фильтрация портов представляет собой форму защиты вашего компьютера, поскольку с помощью фильтрации портов вы можете разрешить или заблокировать определенные порты, чтобы предотвратить различные операции в сети.
Существует хорошо зарекомендовавшая себя система портов, используемых для различных интернет-сервисов, таких как передача файлов, электронная почта и т. д. На самом деле существует более 65 000 различных портов. Они существуют в разрешенном или закрытом режиме. Некоторые приложения в Интернете могут открывать эти порты, делая ваш компьютер более уязвимым для хакеров и вирусов.
Используя Wireshark, вы можете фильтровать различные пакеты по номеру порта. Почему вы хотите это сделать? Потому что таким образом вы можете отфильтровать все пакеты, которые вам не нужны на вашем компьютере по разным причинам.
WhatsApp для Windows 7
Какие важные порты?
Есть 65 535 портов. Их можно разделить на три разные категории: порты от 0 до 1023 являются общеизвестными портами и назначаются общим службам и протоколам. Затем с 1024 по 49151 прописаны порты — они назначены ICANN конкретному сервису. А общедоступные порты — это порты с 49152 по 65535, они могут использоваться любой службой. Разные порты используются для разных протоколов.
Если вы хотите узнать о наиболее распространенных из них, ознакомьтесь со следующим списком:
Номер порта | Наименование услуги | Протокол |
20, 21 | Протокол передачи файлов — FTP | TCP |
22 | Безопасная оболочка — SSH | TCP и UDP |
23 | Телнет | TCP |
25 | Простой протокол передачи почты | TCP |
53 | Система доменных имен — DNS | TCP и UDP |
67/68 | Протокол динамической конфигурации хоста — DHCP | UDP |
80 | Протокол передачи гипертекста — HTTP | TCP |
110 | Почтовый протокол — POP3 | TCP |
123 | Протокол сетевого времени — NTP | UDP |
143 | Протокол доступа к сообщениям в Интернете (IMAP4) | TCP и UDP |
161/162 | Простой протокол управления сетью – SNMP | TCP и UDP |
443 | HTTP с Secure Sockets Layer — HTTPS (HTTP через SSL/TLS) | TCP |
Анализ в Wireshark
Процесс анализа в Wireshark представляет собой мониторинг различных протоколов и данных внутри сети.
Прежде чем мы начнем процесс анализа, убедитесь, что вы знаете тип трафика, который вы хотите проанализировать, и различные типы устройств, которые излучают трафик:
- Поддерживается ли беспорядочный режим? Если вы это сделаете, это позволит вашему устройству собирать пакеты, которые изначально не предназначены для вашего устройства.
- Какие устройства есть в вашей сети? Важно помнить, что разные типы устройств будут передавать разные пакеты.
- Какой тип трафика вы хотите анализировать? Тип трафика будет зависеть от устройств в вашей сети.
Знание того, как использовать различные фильтры, чрезвычайно важно для перехвата нужных пакетов. Эти фильтры используются перед процессом захвата пакетов. Как они работают? Установив определенный фильтр, вы сразу удаляете трафик, не соответствующий заданным критериям.
В Wireshark для создания различных фильтров захвата используется синтаксис Berkley Packet Filter (BPF). Поскольку именно этот синтаксис чаще всего используется при анализе пакетов, важно понимать, как он работает.
Синтаксис Berkley Packet Filter собирает фильтры на основе различных выражений фильтрации. Эти выражения состоят из одного или нескольких примитивов, а примитивы состоят из идентификатора (значений или имен, которые вы пытаетесь найти в разных пакетах), за которым следует один или несколько квалификаторов.
Квалификаторы можно разделить на три вида:
- Тип — с помощью этих квалификаторов вы указываете, какую вещь представляет идентификатор. Квалификаторы типа включают порт, сеть и хост.
- Dir (направление) – эти квалификаторы используются для указания направления передачи. Таким образом, src отмечает источник, а dst — место назначения.
- Proto (протокол) — с помощью квалификаторов протокола вы можете указать конкретный протокол, который хотите захватить.
Вы можете использовать комбинацию различных квалификаторов, чтобы отфильтровать результаты поиска. Также вы можете использовать операторы: например, вы можете использовать оператор конкатенации (&/and), оператор отрицания (!/not) и т. д.
Вот несколько примеров фильтров захвата, которые вы можете использовать в Wireshark:
Фильтры | Описание |
хост 192.168.1.2 | Весь трафик, связанный с 192.168.1.2 |
TCP-порт 22 | Весь трафик, связанный с портом 22 |
источник 192.168.1.2 | Весь трафик с 192.168.1.2 |
В полях заголовка протокола можно создавать фильтры захвата. Синтаксис выглядит следующим образом: прото[смещение:размер(необязательно)]=значение. Здесь proto представляет протокол, который вы хотите отфильтровать, offset представляет позицию значения в заголовке пакета, size представляет длину данных, а value — это данные, которые вы ищете.
Показать фильтры в Wireshark
В отличие от фильтров захвата, фильтры отображения не отбрасывают пакеты, а просто скрывают их при просмотре. Это хороший вариант, так как после того, как вы отбросите пакеты, вы не сможете их восстановить.
Фильтры отображения используются для проверки наличия определенного протокола. Например, если вы хотите отобразить пакеты, содержащие определенный протокол, вы можете ввести имя протокола на панели инструментов фильтра отображения Wireshark.
Другие варианты
Существуют различные другие параметры, которые вы можете использовать для анализа пакетов в Wireshark, в зависимости от ваших потребностей.
- В окне «Статистика» в Wireshark вы можете найти различные основные инструменты, которые можно использовать для анализа пакетов. Например, вы можете использовать инструмент «Беседы» для анализа трафика между двумя разными IP-адресами.
- В окне Expert Infos вы можете проанализировать аномалии или необычное поведение в вашей сети.
Фильтрация по порту в Wireshark
Фильтрация по порту в Wireshark проста благодаря панели фильтров, которая позволяет применять фильтр отображения.
Например, если вы хотите отфильтровать порт 80, введите в строке фильтра: |_+_|. Вы также можете ввести |_+_| вместо ==, так как eq относится к равному.
Вы также можете фильтровать несколько портов одновременно. || в этом случае используются знаки.
Например, если вы хотите отфильтровать порты 80 и 443, введите в строке фильтра: |_+_| или |_+_|.
Дополнительные часто задаваемые вопросы
Как фильтровать Wireshark по IP-адресу и порту?
Существует несколько способов фильтрации Wireshark по IP-адресу:
1. Если вас интересует пакет с определенным IP-адресом, введите его в строку фильтра: |_+_|
2. Если вас интересуют пакеты, приходящие с определенного IP-адреса, введите это в строку фильтра: |_+_|
3. Если вас интересуют пакеты, идущие на определенный IP-адрес, введите это в строку фильтра: |_+_|
Если вы хотите применить два фильтра, таких как IP-адрес и номер порта, ознакомьтесь со следующим примером: |_+_| Так как && представляют собой символы и, написав это, вы можете отфильтровать результаты поиска по IP-адресу (192.168.1.199) и по номеру порта (tcp.port eq 443).
Как Wireshark перехватывает трафик порта?
Wireshark фиксирует весь сетевой трафик по мере его поступления. Он захватит весь трафик порта и покажет вам все номера портов в определенных соединениях.
Если вы хотите начать захват, выполните следующие действия:
1. Откройте Wireshark.
2. Коснитесь Захват.
3. Выберите Интерфейсы.
4. Нажмите «Пуск».
Если вы хотите сосредоточиться на конкретном номере порта, вы можете использовать панель фильтров.
Если вы хотите остановить захват, нажмите «Ctrl + E».
уведомляет ли мессенджер, когда вы снимаете скриншот
Что такое фильтр захвата для опции DHCP?
Опция Dynamic Host Configuration Protocol (DHCP) представляет собой разновидность протокола управления сетью. Он используется для автоматического назначения IP-адресов устройствам, подключенным к сети. Используя параметр DHCP, вам не нужно вручную настраивать различные устройства.
Если вы хотите видеть только пакеты DHCP в Wireshark, введите bootp в строке фильтра. Почему бутп? Потому что он представляет более старую версию DHCP, и оба они используют одни и те же номера портов — 67 и 68.
Почему я должен использовать Wireshark?
Использование Wireshark имеет множество преимуществ, некоторые из которых:
1. Это бесплатно — вы можете анализировать сетевой трафик совершенно бесплатно!
2. Его можно использовать для разных платформ — вы можете использовать Wireshark на Windows, Linux, Mac, Solaris и т. д.
3. Подробно — Wireshark предлагает глубокий анализ многочисленных протоколов.
4. Он предлагает оперативные данные — эти данные могут быть собраны из различных источников, таких как Ethernet, Token Ring, FDDI, Bluetooth, USB и т. д.
5. Широко используется. Wireshark — самый популярный анализатор сетевых протоколов.
Wireshark не кусается!
Теперь вы узнали больше о Wireshark, его возможностях и параметрах фильтрации. Если вы хотите быть уверены, что можете устранять и выявлять любые проблемы с сетью или проверять данные, входящие и исходящие из вашей сети, тем самым обеспечивая ее безопасность, вам обязательно следует попробовать Wireshark.
Вы когда-нибудь использовали Wireshark? Расскажите нам об этом в разделе комментариев ниже.