Hvordan filtrere etter IP i Wireshark

Nettverksadministratorer støter på et bredt spekter av nettverksproblemer mens de gjør arbeidet sitt. Når det er en mistenkelig handling eller behov for å evaluere et bestemt nettverkssegment, kan protokollanalytikerverktøy som Wireshark komme godt med. En spesielt nyttig funksjon er å filtrere nettverkspakker etter IP-adresser.

Hvordan filtrere etter IP i Wireshark

Hvis du er en førstegangsbruker, kan det hende du synes det er litt utfordrende å konfigurere trinnene for å gjøre det på egen hånd. Heldigvis har vi satt sammen denne ultimate guiden for hvordan du filtrerer etter IP i Wireshark. Du vil gå bort og vite forskjellen mellom de to filtreringsspråkene, lære nye filterstrenger og mye mer.

Det beste er at du bare trenger hjelp til å utføre disse trinnene første gang. Hver påfølgende forestilling vil være et stykke kake!

Hva er Wireshark?

Wireshark er en nettverkspakkeanalysator som har dominert industriområdet i en stund nå. Det har vært bra opp til punktet med å skrinlegge mange lignende verktøy, inkludert Microsoft Network Monitor. De to hovedtrekkene som gjorde Wireshark berømt, er dens fleksibilitet og brukervennlighet.

Nettverkspakkeanalysatorer er verktøy som fanger opp og analyserer datatrafikk så detaljert som mulig i spesifikke kommunikasjonskanaler. De fungerer som ultimate diagnoseverktøy for innebygde systemer.

Wireshark kommer med den førsteklasses evnen til å filtrere pakker under fangst og ved analyse med forskjellige kompleksitetsnivåer. Dette gjør det like praktisk for nybegynnere så vel som for profesjonelle nettverksovervåking. Wireshark tar også inn og analyserer trafikk fra forskjellige andre protokollanalysatorer, noe som gjør det enkelt å gå gjennom tidligere trafikk til bestemte tider i fortiden.

Før Wireshark pleide nettverkssporingsverktøy å være svært dyre eller proprietære. Det hele endret seg med bruken av denne appen. Programvaren er åpen kildekode og støtter alle større plattformer. Dette ga Wireshark massevis av samfunnsstøtte, som tok av kostnadene som en barriere og ga plass til et bredt spekter av treningsmuligheter.

Her er grunnen til at folk kanskje vil bruke Wireshark:

  • Feilsøking av nettverksproblemer
  • Undersøker sikkerhetsproblemer
  • Undersøke nettverksapplikasjoner
  • Debugging protokollimplementeringer
  • Lær om interne nettverksprotokoller

Wireshark er gratis å laste ned. Hvis du fortsatt ikke har gjort det, kan du gjøre det her. Bare last ned den kjørbare filen og klikk på filen for å installere den.

Wireshark-brukergrensesnittet

Etter å ha lastet ned og installert Wireshark, kan du få tilgang til den fra din lokale shell- eller vindusbehandler. En av de første tingene du må gjøre er å velge et nettverksgrensesnitt fra listen over nettverk på datamaskinadapterne.

Du kan klikke på "Capture" og deretter "Grensesnitt" fra menyen, og velge riktig alternativ.

Hovedvinduet i Wireshark-grensesnittet består av flere deler:

  • Meny – brukes til å starte handlinger
  • Hovedverktøylinje – rask tilgang til elementer du ofte bruker fra menyen
  • Filterverktøylinje – du kan angi visningsfiltre her
  • Pakkelisterute – innhentede pakkesammendrag
  • Detaljpanel – mer informasjon om valgt pakke fra pakkefeltet
  • Byte-rute – data fra pakkeliste-rutepakken, uthever det valgte feltet i den ruten
  • Statuslinje – innsamlede data og pågående programstatusinformasjon

Du kan kontrollere pakkelistene og navigere gjennom detaljer helt med tastaturet. Det er en tabell som viser vanlige hurtigtastkommandoer her.

Hvordan legge til filtre i Wireshark?

"Filter"-verktøylinjen er der du kan tilpasse og kjøre nye visningsfiltre.

For å opprette og redigere fangstfiltre, gå til "Administrer fangstfiltre" fra bokmerkemenyen eller naviger til "Fangst" og deretter "Fangstfiltre" fra hovedmenyen.

For å opprette og redigere visningsfiltre, velg "Administrer visningsfiltre" fra bokmerkemenyen eller gå til hovedmenyen og velg "Analyser" og deretter "Vis filtre."

Du vil se en filterinndataseksjon med grønn bakgrunn. Dette er området der du legger inn og redigerer skjermfilterstrenger. Det er også her du kan se det aktuelle filteret. Bare klikk på filternavnet eller dobbeltklikk på strengen for å redigere den.

Mens du skriver, vil systemet gjøre en systemsjekk av filterstrengen. Hvis du skriver inn en ugyldig, blir bakgrunnen fra grønn til rød. Trykk alltid på "Bruk"-knappen eller "Enter"-tasten for å bruke filterstrengen.

Du kan legge til et nytt filter ved å klikke på "Legg til"-knappen, som er et svart plusstegn på en lysegrå bakgrunn. En annen måte å legge til et nytt filter på er å høyreklikke på filterknappområdet. For å fjerne et filter, klikk på minusknappen. Minusknappen blir nedtonet hvis det ikke er valgt et filter.

Hvordan filtrere etter IP-adresse i Wireshark?

En utmerket funksjon ved Wireshark er at den lar deg filtrere pakker etter IP-adresser. Bare følg trinnene nedenfor for instruksjoner om hvordan du gjør det:

  1. Start med å klikke på plussknappen for å legge til et nytt visningsfilter.

  2. Kjør følgende operasjon i Filter-boksen: ip.addr==[IP-adresse] og trykk Enter.

  3. Legg merke til at Packet List Lane nå kun filtrerer trafikken som går til (destinasjon) og fra (kilde) IP-adressen du skrev inn.

  4. For å tømme filteret, klikk på "Slett"-knappen i filterverktøylinjen.

Kilde IP

Du kan begrense pakkevisningen til de med bestemte kilde-IP-adresser som vises i det filteret. Bare kjør følgende kommando i filterboksen og trykk Enter:

ip.src == [IP-adresse]

Destinasjons-IP

Du kan bruke destinasjonsfiltre for å begrense pakkevisningen til de med en bestemt destinasjons-IP som vises i filteret.

Kommandoen er som følger:

ip.dst == [IP-adresse]

Capture Filter vs. Display Filter

Wireshark støtter to filtreringsspråk: fangstfiltre og visningsfiltre. Førstnevnte brukes til filtrering mens du fanger pakker. Sistnevnte filtre viste pakker. Med visningsfiltre kan du fokusere på pakker du er interessert i og skjule de som ikke er viktige for øyeblikket. Du kan vise pakker basert på flere faktorer:

  • Protokoll
  • Felttilstedeværelse
  • Feltverdier
  • Feltsammenligning

Visningsfiltre bruker en boolsk operatorsyntaks og felt som beskriver pakkene du filtrerer. Når du har opprettet noen få visningsfiltre, blir det enkelt å skrive dem. Fangefiltre er litt mindre intuitive siden de er kryptiske.

Her er en oversikt over hvert filters funksjoner og bruksområder:

Fangefiltre:

  • De settes før de begynner å fange trafikk
  • Umulig å endre under trafikkregistrering
  • Brukes for spesifikk trafikktypefangst

Visningsfiltre:

  • De reduserer pakkene som vises i Wireshark
  • Kan tilpasses under trafikkregistrering
  • Brukes til å skjule trafikk for å vurdere spesifikke trafikktyper

For mer informasjon om filtrering under fangst, besøk denne siden.

Ytterligere vanlige spørsmål

Hvordan filtrerer jeg Wireshark etter URL?

Du kan søke etter gitte HTTP-URLer i fangst i Wireshark ved å bruke følgende filterstreng:

http inneholder "[URL]. "

Merk at du ikke kan bruke "inneholder"-operatorene på atomfelt (tall, IP-adresser.)

Hvordan filtrerer jeg Wireshark etter portnummer?

Du kan bruke følgende kommando for å filtrere Wireshark etter portnummer:

Tcp.port eq [portnummer].

Hvordan fungerer Wireshark?

Wireshark er et nettverkspakkesniffingsverktøy. Den analyserer nettverkspakker ved å ta en internettforbindelse og registrere pakker som reiser over den. Den gir deretter brukerne informasjonen om disse pakkene, inkludert deres opprinnelse, destinasjon, innhold, protokoller, meldinger, etc.

Går 007 på nettverkssniffing

Takket være Wireshark trenger ikke nettverksingeniører og administratorer lenger å bekymre seg for å gå glipp av diagnoseverktøy for viktige nettverksproblemer. Programmets lett tilgjengelige og praktiske funksjoner gjør det mye enklere å vurdere nettverkssårbarheter og utføre feilsøking.

Etter å ha lest artikkelen vår, skal du nå kunne se forskjellen mellom ulike filteralternativer i programmet relatert til IP-filtrering. Du lærte også de grunnleggende strenguttrykkene for filtrering etter IP og mye mer. Forhåpentligvis vil dette bidra til å løse nettverksproblemer du måtte støte på.

Hvilke andre funksjoner bruker du ofte i Wireshark? Hva tror du gjør at Wireshark skiller seg ut fra konkurrentene? Del dine tanker i kommentarfeltet nedenfor.