Wireshark repræsenterer verdens mest brugte protokolanalysator. Ved at bruge det kan du kontrollere alt, hvad der foregår på dit netværk, fejlfinde forskellige problemer, analysere og filtrere din netværkstrafik ved hjælp af forskellige værktøjer osv.
Hvis du vil lære mere om Wireshark og hvordan du filtrerer efter port, så sørg for at blive ved med at læse.
Hvad er portfiltrering præcist?
Portfiltrering repræsenterer en måde at filtrere pakker (meddelelser fra forskellige netværksprotokoller) på baseret på deres portnummer. Disse portnumre bruges til TCP- og UDP-protokoller, de bedst kendte protokoller til transmission. Portfiltrering repræsenterer en form for beskyttelse af din computer, da du ved portfiltrering kan vælge at tillade eller blokere visse porte for at forhindre forskellige operationer i netværket.
Der er et veletableret system af porte, der bruges til forskellige internettjenester, såsom filoverførsel, e-mail osv. Faktisk er der over 65.000 forskellige porte. De findes i "tillad" eller "lukket" tilstand. Nogle applikationer på internettet kan åbne disse porte og dermed gøre din computer mere udsat for hackere og vira.
Ved at bruge Wireshark kan du filtrere forskellige pakker baseret på deres portnummer. Hvorfor vil du gøre dette? For på den måde kan du filtrere alle de pakker fra, du ikke vil have i din computer af forskellige årsager.
Hvad er de vigtige havne?
Der er 65.535 porte. De kan opdeles i tre forskellige kategorier: Porte fra 0 – 1023 er velkendte porte, og de er tildelt almindelige tjenester og protokoller. Derefter er fra 1024 til 49151 registrerede porte - de tildeles af ICANN til en bestemt tjeneste. Og offentlige havne er havne fra 49152-65535, de kan bruges af enhver tjeneste. Forskellige porte bruges til forskellige protokoller.
Hvis du vil lære mere om de mest almindelige, så tjek følgende liste:
| Portnummer | Tjenestenavn | Protokol |
| 20, 21 | Filoverførselsprotokol – FTP | TCP |
| 22 | Sikker skal – SSH | TCP og UDP |
| 23 | Telnet | TCP |
| 25 | Simple Mail Transfer Protocol | TCP |
| 53 | Domain Name System – DNS | TCP og UDP |
| 67/68 | Dynamic Host Configuration Protocol – DHCP | UDP |
| 80 | HyperText Transfer Protocol – HTTP | TCP |
| 110 | Postkontorprotokol – POP3 | TCP |
| 123 | Network Time Protocol – NTP | UDP |
| 143 | Internet Message Access Protocol (IMAP4) | TCP og UDP |
| 161/162 | Simple Network Management Protocol – SNMP | TCP og UDP |
| 443 | HTTP med Secure Sockets Layer – HTTPS (HTTP over SSL/TLS) | TCP |
Analyse i Wireshark
Analyseprocessen i Wireshark repræsenterer overvågning af forskellige protokoller og data inde i et netværk.
Før vi starter med analyseprocessen, skal du sørge for, at du kender den type trafik, du ønsker at analysere, og forskellige typer enheder, der udsender trafik:
- Har du understøttet promiskuøs tilstand? Hvis du gør det, vil dette give din enhed mulighed for at indsamle pakker, der ikke oprindeligt er beregnet til din enhed.
- Hvilke enheder har du i dit netværk? Det er vigtigt at huske på, at forskellige slags enheder vil transmittere forskellige pakker.
- Hvilken type trafik vil du analysere? Typen af trafik vil afhænge af enhederne i dit netværk.
At vide, hvordan man bruger forskellige filtre er ekstremt vigtigt for at fange de tilsigtede pakker. Disse filtre bruges før processen med pakkefangst. Hvordan fungerer de? Ved at indstille et specifikt filter fjerner du straks den trafik, der ikke opfylder de givne kriterier.
Inden for Wireshark bruges en syntaks kaldet Berkley Packet Filter (BPF) syntaks til at skabe forskellige capture-filtre. Da dette er den syntaks, der oftest bruges i pakkeanalyse, er det vigtigt at forstå, hvordan det fungerer.
Berkley Packet Filter-syntaksen fanger filtre baseret på forskellige filtreringsudtryk. Disse udtryk består af en eller flere primitiver, og primitiver består af en identifikator (værdier eller navne, som du forsøger at finde i forskellige pakker), efterfulgt af en eller flere kvalifikationer.
Kvalifikationer kan opdeles i tre forskellige slags:
- Type – med disse kvalifikationer angiver du, hvilken slags ting identifikatoren repræsenterer. Typekvalifikationer inkluderer port, net og vært.
- Dir (retning) – disse kvalifikationer bruges til at angive en overførselsretning. På den måde markerer "src" kilden, og "dst" markerer destinationen.
- Proto (protokol) – med protokolkvalifikationer kan du angive den specifikke protokol, du gerne vil fange.
Du kan bruge en kombination af forskellige kvalifikationer for at filtrere din søgning fra. Du kan også bruge operatorer: for eksempel kan du bruge sammenkædningsoperatoren (&/and), negationsoperator (!/not) osv.
Her er nogle eksempler på optagelsesfiltre, du kan bruge i Wireshark:
| Filtre | Beskrivelse |
| vært 192.168.1.2 | Al trafik forbundet med 192.168.1.2 |
| tcp port 22 | Al trafik forbundet med port 22 |
| src 192.168.1.2 | Al trafik, der stammer fra 192.168.1.2 |
Det er muligt at oprette opsamlingsfiltre i protokolhovedfelterne. Syntaksen ser sådan ud: proto[offset:størrelse(valgfri)]=værdi. Her repræsenterer proto den protokol, du vil filtrere, offset repræsenterer værdiens position i pakkens overskrift, størrelsen repræsenterer længden af dataene, og værdien er de data, du leder efter.
Vis filtre i Wireshark
I modsætning til optagelsesfiltre kasserer displayfiltre ikke nogen pakker, de skjuler dem blot, mens de ser dem. Dette er en god mulighed, da når du kasserer pakker, vil du ikke være i stand til at gendanne dem.
Displayfiltre bruges til at kontrollere tilstedeværelsen af en bestemt protokol. For eksempel, hvis du gerne vil vise pakker, der indeholder en bestemt protokol, kan du skrive navnet på protokollen i Wiresharks "Display filter" værktøjslinje.
Andre muligheder
Der er forskellige andre muligheder, du kan bruge til at analysere pakker i Wireshark, afhængigt af dine behov.
- Under vinduet "Statistik" i Wireshark kan du finde forskellige grundlæggende værktøjer, du kan bruge til at analysere pakker. For eksempel kan du bruge værktøjet "Samtaler" til at analysere trafikken mellem to forskellige IP-adresser.
- Under vinduet "Ekspertoplysninger" kan du analysere anomalierne eller ualmindelig adfærd i dit netværk.
Filtrering efter port i Wireshark
Filtrering efter port i Wireshark er let takket være filterlinjen, der giver dig mulighed for at anvende et displayfilter.
For eksempel, hvis du vil filtrere port 80, skal du skrive dette i filterlinjen: "tcp.port == 80." Hvad du også kan gøre er at skrive "lign" i stedet for "==", da "eq" refererer til "lige".
Du kan også filtrere flere porte på én gang. Den || tegn bruges i dette tilfælde.
For eksempel, hvis du vil filtrere porte 80 og 443, skal du skrive dette i filterlinjen: "tcp.port == 80 || tcp.port == 443", eller "tcp.port eq 80 || tcp.port eq 443.”
Yderligere ofte stillede spørgsmål
Hvordan filtrerer jeg Wireshark efter IP-adresse og port?
Der er flere måder, hvorpå du kan filtrere Wireshark efter IP-adresse:
1. Hvis du er interesseret i en pakke med en bestemt IP-adresse, skal du indtaste dette i filterlinjen: "ip.adr == x.x.x.x.”
2. Hvis du er interesseret i pakker, der kommer fra en bestemt IP-adresse, skal du indtaste dette i filterlinjen: "ip.src == x.x.x.x.”
3. Hvis du er interesseret i pakker, der går til en bestemt IP-adresse, skal du skrive dette i filterlinjen: "ip.dst == x.x.x.x.”
Hvis du vil anvende to filtre, såsom IP-adresse og portnummer, så tjek det næste eksempel: "ip.adr == 192.168.1.199.&&tcp.port eq 443.” Da “&&” repræsenterer symboler for “og”, ved at skrive dette, er du i stand til at filtrere din søgning efter IP-adresse (192.168.1.199) og efter portnummer (tcp.port eq 443).
Hvordan fanger Wireshark havnetrafik?
Wireshark fanger al netværkstrafikken, mens den sker. Det vil fange al porttrafik og vise dig alle portnumre i de specifikke forbindelser.
Hvis du gerne vil starte optagelsen, skal du følge disse trin:
1. Åbn "Wireshark".
2. Tryk på "Optag".
3. Vælg "Interfaces".
4. Tryk på "Start".
Hvis du vil fokusere på et bestemt portnummer, kan du bruge filterlinjen.
Når du vil stoppe optagelsen, skal du trykke på ''Ctrl + E.''
Hvad er opsamlingsfilteret for en DHCP-mulighed?
Muligheden DHCP (Dynamic Host Configuration Protocol) repræsenterer en slags netværksadministrationsprotokol. Den bruges til automatisk at tildele IP-adresser til enheder, der er tilsluttet netværket. Ved at bruge en DHCP-indstilling behøver du ikke manuelt at konfigurere forskellige enheder.
Hvis du kun vil se DHCP-pakkerne i Wireshark, skal du skrive "bootp" i filterlinjen. Hvorfor bootp? Fordi det repræsenterer den ældre version af DHCP, og de bruger begge de samme portnumre - 67 og 68.
Hvorfor skal jeg bruge Wireshark?
Brug af Wireshark har adskillige fordele, hvoraf nogle er:
1. Det er gratis – du kan analysere din netværkstrafik helt gratis!
2. Det kan bruges til forskellige platforme – du kan bruge Wireshark på Windows, Linux, Mac, Solaris osv.
3. Det er detaljeret - Wireshark tilbyder en dyb analyse af adskillige protokoller.
4. Det tilbyder live data – disse data kan indsamles fra forskellige kilder såsom Ethernet, Token Ring, FDDI, Bluetooth, USB osv.
5. Det er meget brugt - Wireshark er den mest populære netværksprotokolanalysator.
Wireshark bider ikke!
Nu har du lært mere om Wireshark, dets evner og filtreringsmuligheder. Hvis du vil være sikker på, at du kan fejlfinde og identificere enhver form for netværksproblemer eller inspicere de data, der kommer ind og ud af dit netværk, og dermed holde det sikkert, bør du helt sikkert prøve Wireshark.
Har du nogensinde brugt Wireshark? Fortæl os om det i kommentarfeltet nedenfor.