Netværksadministratorer støder på en lang række netværksproblemer, mens de udfører deres arbejde. Når der er en mistænkelig handling eller et behov for at evaluere et bestemt netværkssegment, kan protokolanalytikerværktøjer såsom Wireshark være nyttige. En særlig nyttig funktion er at filtrere netværkspakker efter IP-adresser.
Hvis du er en førstegangsbruger, kan du finde det lidt udfordrende at konfigurere trinene til at gøre det på egen hånd. Heldigvis har vi samlet denne ultimative guide til, hvordan man filtrerer efter IP i Wireshark. Du vil gå væk og kende forskellen mellem de to filtreringssprog, lære nye filterstrenge og meget mere.
Det bedste er, at du kun har brug for hjælp til at udføre disse trin første gang. Hver efterfølgende forestilling vil være et stykke kage!
Hvad er Wireshark?
Wireshark er en netværkspakkeanalysator, der har domineret industriområdet i et stykke tid nu. Det har været fantastisk indtil det punkt, hvor mange lignende værktøjer er blevet lagt på hylden, inklusive Microsoft Network Monitor. De to hovedtræk, der gjorde Wireshark berømt, er dens fleksibilitet og brugervenlighed.
Netværkspakkeanalysatorer er værktøjer, der fanger og analyserer datatrafik så detaljeret som muligt i specifikke kommunikationskanaler. De tjener som ultimative diagnostiske værktøjer til indlejrede systemer.
Wireshark kommer med den førsteklasses evne til at filtrere pakker under optagelse og ved analyse med forskellige kompleksitetsniveauer. Dette gør det lige så bekvemt for nybegyndere såvel som for netværksovervågningsprofessionelle. Wireshark indtager og analyserer også trafik fra forskellige andre protokolanalysatorer, hvilket gør det nemt at gennemgå tidligere trafik på bestemte tidspunkter i fortiden.
Før Wireshark plejede netværkssporingsværktøjer at være meget dyre eller proprietære. Det hele ændrede sig med fremkomsten af denne app. Softwaren er open source og understøtter alle større platforme. Dette bragte Wireshark masser af samfundsstøtte, som tog omkostningerne af som en barriere og gav plads til en bred vifte af træningsmuligheder.
Her er grunden til, at folk måske vil bruge Wireshark:
- Fejlfinding af netværksproblemer
- Undersøgelse af sikkerhedsproblemer
- Undersøgelse af netværksapplikationer
- Debugging protokolimplementeringer
- Lær om internt netværksprotokol
Wireshark er gratis at downloade. Hvis du stadig ikke har gjort det, kan du gøre det her. Du skal bare downloade den eksekverbare fil og klikke på filen for at installere den.
Wireshark-brugergrænsefladen
Efter at have downloadet og installeret Wireshark, kan du få adgang til det fra din lokale shell eller vinduesmanager. En af de første ting, du skal gøre, er at vælge en netværksgrænseflade fra listen over netværk på dine computeradaptere.
Du kan klikke på "Capture" og derefter "Interfaces" fra menuen og vælge den relevante mulighed.
Hovedvinduet i Wireshark-grænsefladen består af flere dele:
- Menu – bruges til at starte handlinger
- Hovedværktøjslinje – hurtig adgang til elementer, du ofte bruger fra menuen
- Filterværktøjslinje – du kan indstille visningsfiltre her
- Pakkelisterude – opsamlede pakkeoversigter
- Detaljerude – flere oplysninger om valgt pakke fra pakkebanen
- Byte-rude – data fra pakkelisteruden, der fremhæver det valgte felt i den rude
- Statuslinje – opsamlede data og igangværende programstatusoplysninger
Du kan styre pakkelisterne og navigere gennem detaljerne helt med dit tastatur. Der er en tabel, der viser almindelige tastaturgenvejskommandoer her.
Sådan tilføjes filtre i Wireshark?
Værktøjslinjen "Filter" er, hvor du kan tilpasse og køre nye visningsfiltre.
For at oprette og redigere optagelsesfiltre skal du gå til "Administrer optagelsesfiltre" fra bogmærkemenuen eller navigere til "Optagelse" og derefter "Optagelsesfiltre" fra hovedmenuen.
For at oprette og redigere skærmfiltre skal du vælge "Administrer skærmfiltre" fra bogmærkemenuen eller gå til hovedmenuen og vælge "Analyser" og derefter "Vis filtre".
Du vil se en filterindtastningssektion med en grøn baggrund. Dette er området, hvor du indtaster og redigerer displayfilterstrenge. Det er også her, du kan se det aktuelt anvendte filter. Du skal blot klikke på filternavnet eller dobbeltklikke på strengen for at redigere den.
Mens du skriver, vil systemet lave et systemtjek af filterstrengen. Hvis du indtaster en ugyldig, skifter baggrunden fra grøn til rød. Tryk altid på knappen "Anvend" eller "Enter"-tasten for at anvende filterstrengen.
Du kan tilføje et nyt filter ved at klikke på knappen "Tilføj", som er et sort plustegn på en lysegrå baggrund. En anden måde at tilføje et nyt filter på er at højreklikke på filterknapområdet. For at fjerne et filter, klik på minusknappen. Minusknappen bliver nedtonet, hvis der ikke er valgt et filter.
Sådan filtreres efter IP-adresse i Wireshark?
En fremragende funktion ved Wireshark er, at den lader dig filtrere pakker efter IP-adresser. Bare følg nedenstående trin for at få instruktioner om, hvordan du gør det:
- Start med at klikke på plusknappen for at tilføje et nyt visningsfilter.
- Kør følgende handling i Filter-boksen: ip.addr==[IP-adresse] og tryk på Enter.
- Bemærk, at Pakkelistebanen nu kun filtrerer den trafik, der går til (destination) og fra (kilde) den IP-adresse, du har indtastet.
- For at rydde filteret skal du klikke på knappen "Ryd" på filterværktøjslinjen.
Kilde IP
Du kan begrænse pakkevisningen til dem med bestemte kilde-IP-adresser, der vises i dette filter. Bare kør følgende kommando i filterboksen og tryk på Enter:
ip.src == [IP-adresse]
Destination IP
Du kan anvende destinationsfiltre for at begrænse pakkevisningen til dem med en specifik destinations-IP, der vises i filteret.
Kommandoen er som følger:
ip.dst == [IP-adresse]
Capture Filter vs. Display Filter
Wireshark understøtter to filtreringssprog: opsamlingsfiltre og visningsfiltre. Førstnævnte bruges til filtrering, mens pakker fanges. Sidstnævnte filtre viste pakker. Med displayfiltre kan du fokusere på pakker, du er interesseret i, og skjule dem, der ikke er vigtige i øjeblikket. Du kan vise pakker baseret på flere faktorer:
- Protokol
- Tilstedeværelse i marken
- Feltværdier
- Feltsammenligning
Displayfiltre bruger en boolsk operatorsyntaks og felter, der beskriver de pakker, du filtrerer. Når du først har oprettet et par displayfiltre, bliver det nemt at skrive dem. Capture-filtre er lidt mindre intuitive, da de er kryptiske.
Her er en oversigt over hvert filters funktioner og anvendelser:
Optagelsesfiltre:
- De indstilles, før de begynder at fange trafik
- Umuligt at ændre under trafikregistrering
- Bruges til specifik trafiktyperegistrering
Vis filtre:
- De reducerer de pakker, der vises i Wireshark
- Kan tilpasses under trafikregistrering
- Bruges til at skjule trafik for at vurdere specifikke trafiktyper
Besøg denne side for at få flere oplysninger om filtrering under optagelse.
Yderligere ofte stillede spørgsmål
Hvordan filtrerer jeg Wireshark efter URL?
Du kan søge efter givne HTTP-URL'er i fangst i Wireshark ved at bruge følgende filterstreng:
http indeholder "[URL]. “
Bemærk, at du ikke kan bruge operatorerne "indeholder" på atomfelter (tal, IP-adresser).
Hvordan filtrerer jeg Wireshark efter portnummer?
Du kan bruge følgende kommando til at filtrere Wireshark efter portnummer:
Tcp.port eq [portnummer].
Hvordan virker Wireshark?
Wireshark er et netværkspakkesniffningsværktøj. Den analyserer netværkspakker ved at tage en internetforbindelse og registrere pakker, der rejser på tværs af den. Det giver derefter brugerne oplysningerne om disse pakker, herunder deres oprindelse, destination, indhold, protokoller, beskeder osv.
Går 007 på netværkssniffing
Takket være Wireshark behøver netværksingeniører og administratorer ikke længere at bekymre sig om at gå glip af diagnostiske værktøjer til væsentlige netværksproblemer. Programmets let tilgængelige og praktiske funktioner gør det meget mere ligetil at vurdere netværkssårbarheder og udføre fejlfinding.
Efter at have læst vores artikel, skulle du nu være i stand til at kende forskel på forskellige filtermuligheder i programmet relateret til IP-filtrering. Du lærte også de grundlæggende strengudtryk til filtrering efter IP og meget mere. Forhåbentlig vil dette hjælpe med at løse de netværksproblemer, du måtte støde på.
Hvilke andre funktioner bruger du ofte i Wireshark? Hvad tror du får Wireshark til at skille sig ud fra konkurrenterne? Del dine tanker i kommentarfeltet nedenfor.