„Wireshark“ yra labiausiai naudojamas protokolų analizatorius pasaulyje. Naudodami jį galite patikrinti viską, kas vyksta jūsų tinkle, šalinti įvairias problemas, analizuoti ir filtruoti tinklo srautą naudodami įvairius įrankius ir kt.
Jei norite sužinoti daugiau apie „Wireshark“ ir kaip filtruoti pagal prievadą, skaitykite toliau.
Kas tiksliai yra prievadų filtravimas?
Prievadų filtravimas yra būdas filtruoti paketus (pranešimus iš skirtingų tinklo protokolų) pagal jų prievado numerį. Šie prievadų numeriai naudojami TCP ir UDP protokolams, geriausiai žinomiems perdavimo protokolams. Prievadų filtravimas yra jūsų kompiuterio apsaugos forma, nes naudodami prievadų filtravimą galite pasirinkti leisti arba blokuoti tam tikrus prievadus, kad tinkle būtų išvengta skirtingų operacijų.
Yra nusistovėjusi prievadų sistema, naudojama įvairioms interneto paslaugoms, tokioms kaip failų perdavimas, el. paštas ir kt. Tiesą sakant, yra daugiau nei 65 000 skirtingų prievadų. Jie egzistuoja „leisti“ arba „uždaryta“ režimu. Kai kurios internete esančios programos gali atidaryti šiuos prievadus, todėl jūsų kompiuteris bus labiau apsaugotas nuo įsilaužėlių ir virusų.
Naudodami Wireshark galite filtruoti skirtingus paketus pagal jų prievado numerį. Kodėl norėtum tai padaryti? Nes tokiu būdu galite išfiltruoti visus paketus, kurių nenorite savo kompiuteryje dėl įvairių priežasčių.
Kokie yra svarbūs prievadai?
Yra 65 535 prievadai. Juos galima suskirstyti į tris skirtingas kategorijas: prievadai nuo 0 iki 1023 yra gerai žinomi prievadai ir priskiriami bendroms paslaugoms ir protokolams. Tada nuo 1024 iki 49151 yra registruoti prievadai – juos ICANN priskiria konkrečiai paslaugai. O viešieji prievadai yra prievadai nuo 49152-65535, jais gali naudotis bet kuri tarnyba. Skirtingiems protokolams naudojami skirtingi prievadai.
Jei norite sužinoti apie dažniausiai pasitaikančias, peržiūrėkite šį sąrašą:
| Prievado numeris | Paslaugos pavadinimas | protokolas |
| 20, 21 | Failų perdavimo protokolas – FTP | TCP |
| 22 | Saugus apvalkalas – SSH | TCP ir UDP |
| 23 | Telnet | TCP |
| 25 | Paprastas pašto siuntimo protokolas | TCP |
| 53 | Domeno vardų sistema – DNS | TCP ir UDP |
| 67/68 | Dinaminis pagrindinio kompiuterio konfigūravimo protokolas – DHCP | UDP |
| 80 | Hiperteksto perdavimo protokolas – HTTP | TCP |
| 110 | Pašto protokolas – POP3 | TCP |
| 123 | Tinklo laiko protokolas – NTP | UDP |
| 143 | Interneto pranešimų prieigos protokolas (IMAP4) | TCP ir UDP |
| 161/162 | Paprastas tinklo valdymo protokolas – SNMP | TCP ir UDP |
| 443 | HTTP su Secure Sockets Layer – HTTPS (HTTP per SSL/TLS) | TCP |
„Wireshark“ analizė
„Wireshark“ analizės procesas reiškia skirtingų protokolų ir duomenų stebėjimą tinkle.
Prieš pradėdami nuo analizės proceso, įsitikinkite, kad žinote srauto, kurį norite analizuoti, tipą ir įvairių tipų įrenginius, kurie skleidžia srautą:
- Ar palaikote neteisėtą režimą? Jei tai padarysite, jūsų įrenginys galės rinkti paketus, kurie iš pradžių nebuvo skirti jūsų įrenginiui.
- Kokius įrenginius turite savo tinkle? Svarbu nepamiršti, kad skirtingų tipų įrenginiai perduos skirtingus paketus.
- Kokio tipo srautą norite analizuoti? Srauto tipas priklausys nuo jūsų tinkle esančių įrenginių.
Norint užfiksuoti numatytus paketus, labai svarbu žinoti, kaip naudoti skirtingus filtrus. Šie filtrai naudojami prieš paketų fiksavimo procesą. Kaip jie veikia? Nustatę konkretų filtrą, iš karto pašalinate srautą, kuris neatitinka nurodytų kriterijų.
„Wireshark“ sintaksė, vadinama „Berkley Packet Filter“ (BPF) sintaksė, naudojama skirtingiems fiksavimo filtrams kurti. Kadangi tai sintaksė, kuri dažniausiai naudojama paketų analizėje, svarbu suprasti, kaip ji veikia.
„Berkley Packet Filter“ sintaksė užfiksuoja filtrus pagal skirtingas filtravimo išraiškas. Šios išraiškos susideda iš vieno ar kelių primityvų, o primityvus sudaro identifikatorius (reikšmės arba pavadinimai, kuriuos bandote rasti skirtinguose paketuose), po kurių seka vienas ar keli kvalifikatoriai.
Kvalifikatorius galima suskirstyti į tris skirtingus tipus:
- Tipas – su šiais kvalifikatoriais nurodote, kokį dalyką žymi identifikatorius. Tipo kvalifikatoriai apima prievadą, tinklą ir pagrindinį kompiuterį.
- Dir (kryptis) – šie kvalifikatoriai naudojami norint nurodyti perdavimo kryptį. Tokiu būdu „src“ žymi šaltinį, o „dst“ – paskirties vietą.
- Protokolas (protokolas) – su protokolo kvalifikatoriais galite nurodyti konkretų protokolą, kurį norite užfiksuoti.
Norėdami filtruoti paiešką, galite naudoti skirtingų kvalifikatorių derinį. Taip pat galite naudoti operatorius: pavyzdžiui, galite naudoti sujungimo operatorių (&/ir), neigimo operatorių (!/not) ir kt.
Štai keletas fiksavimo filtrų, kuriuos galite naudoti Wireshark, pavyzdžiai:
| Filtrai | apibūdinimas |
| šeimininkas 192.168.1.2 | Visas srautas, susijęs su 192.168.1.2 |
| tcp prievadas 22 | Visas srautas, susijęs su 22 prievadu |
| src 192.168.1.2 | Visas eismas, kilęs iš 192.168.1.2 |
Protokolo antraštės laukuose galima sukurti fiksavimo filtrus. Sintaksė atrodo taip: proto[offset:size(neprivaloma)]=value. Čia proto reiškia protokolą, kurį norite filtruoti, poslinkis reiškia vertės padėtį paketo antraštėje, dydis reiškia duomenų ilgį, o reikšmė yra duomenys, kurių ieškote.
„Wireshark“ ekrano filtrai
Skirtingai nei fiksavimo filtrai, ekrano filtrai neišmeta jokių paketų, jie tiesiog paslepia juos peržiūrėdami. Tai geras pasirinkimas, nes išmetę paketus negalėsite jų atkurti.
Ekrano filtrai naudojami patikrinti, ar yra tam tikras protokolas. Pavyzdžiui, jei norite rodyti paketus, kuriuose yra tam tikras protokolas, Wireshark įrankių juostoje „Rodymo filtras“ galite įvesti protokolo pavadinimą.
Kitos parinktys
Yra įvairių kitų parinkčių, kurias galite naudoti analizuodami paketus Wireshark, atsižvelgiant į jūsų poreikius.
- „Wireshark“ lange „Statistika“ galite rasti įvairių pagrindinių įrankių, kuriuos galite naudoti paketams analizuoti. Pavyzdžiui, galite naudoti įrankį „Pokalbiai“, kad analizuotumėte srautą tarp dviejų skirtingų IP adresų.
- Lange „Ekspertų informacija“ galite analizuoti anomalijas arba neįprastą elgesį jūsų tinkle.
Filtravimas pagal prievadą Wireshark
Filtruoti pagal prievadą „Wireshark“ lengva, nes filtro juosta leidžia pritaikyti ekrano filtrą.
Pavyzdžiui, jei norite filtruoti 80 prievadą, filtro juostoje įveskite: „tcp.port == 80. Ką taip pat galite padaryti, tai įveskite „ekv“ vietoj „==“, nes „eq“ reiškia „lygus“.
Taip pat galite filtruoti kelis prievadus vienu metu. || šiuo atveju naudojami ženklai.
Pavyzdžiui, jei norite filtruoti 80 ir 443 prievadus, filtro juostoje įveskite: „tcp.port == 80 || tcp.port == 443“ arba „tcp.port eq 80 || tcp.port eq 443.”
Papildomi DUK
Kaip filtruoti „Wireshark“ pagal IP adresą ir prievadą?
Yra keli būdai, kuriais galite filtruoti „Wireshark“ pagal IP adresą:
1. Jei jus domina paketas su konkrečiu IP adresu, filtro juostoje įveskite: „ip.adr == x.x.x.x.”
2. Jei jus domina paketai, gaunami iš konkretaus IP adreso, filtro juostoje įveskite: „ip.src == x.x.x.x.”
3. Jei jus domina paketai, siunčiami tam tikru IP adresu, filtro juostoje įveskite: „ip.dst == x.x.x.x.”
Jei norite taikyti du filtrus, pvz., IP adresą ir prievado numerį, peržiūrėkite kitą pavyzdį:ip.adr == 192.168.1.199.&&&tcp.port eq 443.” Kadangi „&&“ reiškia „ir“ simbolius, tai rašydami galite filtruoti paiešką pagal IP adresą (192.168.1.199) ir prievado numerį (tcp.port eq 443).
Kaip „Wireshark“ fiksuoja uosto srautą?
„Wireshark“ užfiksuoja visą tinklo srautą, kai tai vyksta. Jis užfiksuos visą prievado srautą ir parodys visus prievadų numerius konkrečiose jungtyse.
Jei norite pradėti fiksuoti, atlikite šiuos veiksmus:
1. Atidarykite „Wireshark“.
2. Bakstelėkite „Užfiksuoti“.
3. Pasirinkite „Sąsajos“.
4. Bakstelėkite „Pradėti“.
Jei norite sutelkti dėmesį į konkretų prievado numerį, galite naudoti filtro juostą.
Jei norite sustabdyti fiksavimą, paspauskite „Ctrl + E“.
Kas yra DHCP parinkties fiksavimo filtras?
Dinaminio pagrindinio kompiuterio konfigūravimo protokolo (DHCP) parinktis yra tinklo valdymo protokolo rūšis. Jis naudojamas automatiškai priskirti IP adresus įrenginiams, prijungtiems prie tinklo. Naudojant DHCP parinktį, jums nereikia rankiniu būdu konfigūruoti įvairių įrenginių.
Jei Wireshark norite matyti tik DHCP paketus, filtro juostoje įveskite „bootp“. Kodėl bootp? Kadangi tai yra senesnė DHCP versija, ir jie abu naudoja tuos pačius prievadų numerius – 67 ir 68.
Kodėl turėčiau naudoti „Wireshark“?
Wireshark naudojimas turi daug privalumų, iš kurių kai kurie yra:
1. Tai nemokama – galite visiškai nemokamai analizuoti tinklo srautą!
2. Jis gali būti naudojamas skirtingoms platformoms – galite naudoti Wireshark Windows, Linux, Mac, Solaris ir kt.
3. Tai išsami – Wireshark siūlo išsamią daugelio protokolų analizę.
4. Ji siūlo tiesioginius duomenis – šiuos duomenis galima rinkti iš įvairių šaltinių, tokių kaip Ethernet, Token Ring, FDDI, Bluetooth, USB ir kt.
5. Jis plačiai naudojamas – Wireshark yra populiariausias tinklo protokolų analizatorius.
Wireshark nekanda!
Dabar sužinojote daugiau apie Wireshark, jo galimybes ir filtravimo parinktis. Jei norite būti tikri, kad galite pašalinti triktis ir nustatyti bet kokio tipo tinklo problemas arba patikrinti duomenis, gaunamus ir išeinančius iš tinklo, taip užtikrinant jų saugumą, tikrai turėtumėte išbandyti Wireshark.
Ar kada nors naudojote Wireshark? Papasakokite mums apie tai toliau pateiktame komentarų skyriuje.