Wireshark: klasik za analizu mrežnih paketa. Wireshark filteri: odvajanje žita od kukolja Pcap filter za otkrivanje skeniranja Netbios porta

Wireshark je moćan mrežni analizator koji se može koristiti za analizu prometa koji prolazi kroz mrežno sučelje vašeg računala. Možda će vam trebati za otkrivanje i rješavanje problema s mrežom, otklanjanje pogrešaka u vašim web aplikacijama, mrežnim programima ili web stranicama. Wireshark vam omogućuje potpuni pregled sadržaja paketa na svim razinama, tako da možete bolje razumjeti kako mreža radi na niskoj razini.

Svi paketi se snimaju u stvarnom vremenu i daju u formatu koji je jednostavan za čitanje. Program podržava vrlo moćan sustav filtriranja, isticanje boja i druge značajke koje će vam pomoći da pronađete prave pakete. U ovom vodiču ćemo pogledati kako koristiti Wireshark za analizu prometa. Nedavno su programeri počeli raditi na drugoj grani programa Wireshark 2.0, u njega su napravljene mnoge promjene i poboljšanja, posebno za sučelje. To je ono što ćemo koristiti u ovom članku.

Prije nego što prijeđete na razmatranje načina analize prometa, morate detaljnije razmotriti koje značajke program podržava, s kojim protokolima može raditi i što može učiniti. Evo glavnih značajki programa:

  • Hvatanje paketa u stvarnom vremenu sa žičnih ili bilo koje druge vrste mrežnih sučelja, kao i čitanje iz datoteke;
  • Podržana su sljedeća sučelja za snimanje: Ethernet, IEEE 802.11, PPP i lokalna virtualna sučelja;
  • Paketi se mogu filtrirati na temelju mnogih parametara pomoću filtara;
  • Svi poznati protokoli istaknuti su na popisu različitim bojama, na primjer TCP, HTTP, FTP, DNS, ICMP i tako dalje;
  • Podrška za snimanje prometa VoIP poziva;
  • Dešifriranje HTTPS prometa podržano je ako je certifikat dostupan;
  • Dešifriranje WEP i WPA prometa bežičnih mreža ključem i rukovanjem;
  • Prikaz statistike opterećenja mreže;
  • Pregledajte sadržaj paketa za sve mrežne slojeve;
  • Prikazuje vrijeme slanja i primanja paketa.

Program ima mnoge druge značajke, ali ovo su glavne koje bi vas mogle zanimati.

Kako koristiti Wireshark

Pretpostavljam da već imate instaliran program, ali ako niste, možete ga instalirati iz službenih repozitorija. Da biste to učinili, upišite naredbu u Ubuntu:

sudo apt instalirajte wireshark

Nakon instalacije, program možete pronaći u glavnom izborniku distribucije. Morate pokrenuti Wireshark s pravima superkorisnika jer inače neće moći analizirati mrežne pakete. To se može učiniti iz glavnog izbornika ili putem terminala pomoću naredbe za KDE:

I za Gnome/Unity:

Glavni prozor programa podijeljen je u tri dijela: prvi stupac sadrži popis mrežnih sučelja dostupnih za analizu, drugi - opcije za otvaranje datoteka, a treći - pomoć.

Analiza mrežnog prometa

Za početak analize odaberite mrežno sučelje, na primjer eth0, i kliknite gumb Početak.

Nakon toga će se otvoriti sljedeći prozor, već s nizom paketa koji prolaze kroz sučelje. Ovaj prozor je također podijeljen u nekoliko dijelova:

  • Gornji dio- to su izbornici i ploče s raznim gumbima;
  • Popis paketa- tada se prikazuje tok mrežnih paketa koje ćete analizirati;
  • Sadržaj paketa- ispod je sadržaj odabranog paketa, podijeljen je u kategorije ovisno o razini transporta;
  • Prava izvedba- na samom dnu prikazan je sadržaj paketa u stvarnom obliku, kao iu HEX obliku.

Možete kliknuti na bilo koji paket da analizirate njegov sadržaj:

Ovdje vidimo DNS paket zahtjeva za dobivanje IP adrese stranice, u samom zahtjevu se šalje domena, a u paketu odgovora dobivamo svoje pitanje kao i odgovor.

Za praktičniji pregled, možete otvoriti paket u novom prozoru duplim klikom na unos:

Wireshark filteri

Ručno pregledavanje paketa kako biste pronašli one koje trebate vrlo je nezgodno, osobito s aktivnom niti. Stoga je za ovaj zadatak bolje koristiti filtre. Ispod izbornika postoji posebna linija za unos filtera. Možete kliknuti Izraz za otvaranje dizajnera filtera, ali ima ih mnogo, pa ćemo pogledati najosnovnije:

  • ip.dst- ciljna IP adresa;
  • ip.src- IP adresa pošiljatelja;
  • ip.adresa- IP pošiljatelja ili primatelja;
  • ip.proto- protokol;
  • tcp.dstport- odredišna luka;
  • tcp.srcport- luka pošiljatelja;
  • ip.ttl- TTL filter, određuje mrežnu udaljenost;
  • http.request_uri- tražena adresa stranice.

Da biste odredili odnos između polja i vrijednosti u filtru, možete koristiti sljedeće operatore:

  • == - jednako;
  • != - nejednak;
  • < - manje;
  • > - više;
  • <= - manje ili jednako;
  • >= - više ili jednako;
  • šibice- ustaljeni izraz;
  • sadrži- sadrži.

Za kombiniranje više izraza možete koristiti:

  • && - oba izraza moraju biti istinita za paket;
  • || - jedan od izraza može biti istinit.

Pogledajmo sada pobliže nekoliko filtara koristeći primjere i pokušajmo razumjeti sve znakove odnosa.

Prvo, filtrirajmo sve pakete poslane na 194.67.215.. Unesite niz u polje filtera i kliknite primijeniti. Radi praktičnosti, filtri Wiresharka mogu se spremiti pomoću gumba Uštedjeti:

ip.dst == 194.67.215.125

A kako biste primili ne samo poslane pakete, već i one primljene kao odgovor od ovog čvora, možete kombinirati dva uvjeta:

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

Također možemo odabrati prenesene velike datoteke:

http.content_length > 5000

Filtriranjem Content-Type možemo odabrati sve slike koje su učitane; Analizirajmo Wireshark promet, pakete koji sadrže riječ image:

http.content_type sadrži sliku

Da biste očistili filtar, možete pritisnuti gumb Čisto. Događa se da ne znate uvijek sve podatke potrebne za filtriranje, već samo želite istražiti mrežu. Možete dodati bilo koje polje paketa kao stupac i vidjeti njegov sadržaj u općem prozoru za svaki paket.

Na primjer, želim prikazati TTL (vrijeme života) paketa kao stupac. Da biste to učinili, otvorite podatke o paketu, pronađite ovo polje u odjeljku IP. Zatim pozovite kontekstni izbornik i odaberite opciju Primijeni kao stupac:

Na isti način možete kreirati filtar na temelju bilo kojeg željenog polja. Odaberite ga i otvorite kontekstni izbornik, a zatim kliknite Primijeni kao filtar ili Pripremite kao filter, zatim odaberite Odabran za prikaz samo odabranih vrijednosti, ili Nije odabrano da biste ih uklonili:

Navedeno polje i njegova vrijednost će se primijeniti ili, u drugom slučaju, umetnuti u polje filtera:

Na ovaj način filtru možete dodati polje bilo kojeg paketa ili stupca. Postoji i ova opcija u kontekstnom izborniku. Za filtriranje protokola možete koristiti jednostavnije uvjete. Na primjer, analizirajmo promet Wiresharka za HTTP i DNS protokole:

Još jedna zanimljiva značajka programa je korištenje Wiresharka za praćenje određene sesije između korisničkog računala i poslužitelja. Da biste to učinili, otvorite kontekstni izbornik za paket i odaberite Pratite TCP tok.

Zatim će se otvoriti prozor u kojem ćete pronaći sve podatke koji se prenose između poslužitelja i klijenta:

Dijagnosticiranje problema s Wiresharkom

Možda se pitate kako koristiti Wireshark 2.0 za otkrivanje problema na vašoj mreži. Da biste to učinili, u donjem lijevom kutu prozora nalazi se okrugli gumb, kada kliknete na njega, otvara se prozor Alati Expet. U njemu Wireshark prikuplja sve poruke o pogreškama i probleme s mrežom:

Prozor je podijeljen na kartice kao što su greške, upozorenja, obavijesti, razgovori. Program može filtrirati i pronaći mnoge mrežne probleme, a ovdje ih možete vrlo brzo vidjeti. Wireshark filteri su također podržani ovdje.

Wireshark analiza prometa

Vrlo lako možete razumjeti što su korisnici preuzimali i koje su datoteke gledali ako veza nije bila šifrirana. Program vrlo dobro radi izdvajanje sadržaja.

Da biste to učinili, prvo trebate zaustaviti snimanje prometa pomoću crvenog kvadrata na ploči. Zatim otvorite izbornik Datoteka -> Izvoz objekata -> HTTP:

Najčešća pitanja korisnika pri radu s programom WireShark su filteri za snimanje prometa. Danas ćemo pogledati njihove osnovne primjere i pokazati vam kako ih ispravno konfigurirati!

U procesu analize problema s performansama mreže ili aplikacija, ako vaša tvrtka nema instaliran centralizirani sustav za praćenje performansi aplikacija, tada ćete za analizu problema od slojeva 4 do 7 OSI mrežnog modela morati koristiti analizator protokola (tzv. njuškalo).

Ukoliko nemate komercijalno rješenje s ugrađenim alatima za automatsku analizu ili ekspertni sustav, onda bi možda najispravniji način bio ovaj:

    preuzmite i instalirajte na svoje prijenosno računalo jedan od najboljih besplatnih analizatora protokola, WireShark (http://www.wireshark.org/download.html);

    upoznajte se s njegovim sučeljem;

    proučiti stog protokola i njihovu strukturu;

    naučiti raditi s filtrima za hvatanje prometa;

    naučiti kako raditi s filtrima za analizu prometa.

U ovom ćemo se članku usredotočiti na pretposljednju točku - kako postaviti filtre za hvatanje prometa u WireSharku.

Primjeri postavljanja WireShark filtera za hvatanje prometa

Nakon odabira sučelja možemo nastaviti sa snimanjem prometa u modu all-in-a-row, ali to nije preporučljivo, jer je npr. kod 50% opterećenja gigabitnog sučelja potrebno samo nekoliko milisekundi da prenijeti 100 000 paketa. Stoga je važno razumjeti koji problem rješavamo. Tada ćemo barem već imati ili adresu (IP ili MAC) korisnika ili aplikaciju na koju se žali ili poslužitelj kojem pristupa.

Dakle, najjednostavniji filter u Wiresharku je IP adresa uređaja (host) i ovaj filter izgleda ovako:

Ako je problem globalniji i moramo uhvatiti promet iz zasebne podmreže bez obzira na smjer prijenosa, tada koristimo filtar:

    net 192.168.0.0/24 ili net 192.168.0.0 maska ​​255.255.255.0

Prilikom snimanja prometa iz podmreže, filtar će izgledati ovako:

    src net 192.168.0.0/24 ili src net 192.168.0.0 maska ​​255.255.255.0

A ako za analizu trebate vidjeti samo dolazni promet na našu podmrežu, tada bilo koji od filtara:

    dst net 192.168.0.0/24

    dst net 192.168.0.0 maska ​​255.255.255.0

Ako se korisnik žali da ne može otvoriti stranice u pregledniku, problem može biti u DNS poslužitelju (port 53) ili u HTTP protokolu (port 80), tada hvatamo promet pomoću filtera “port”:

Ako odlučimo uhvatiti sav promet za određeni poslužitelj bez uzimanja u obzir HTTP-a i FTP-a, tada se filtar konfigurira pomoću bilo kojeg od ova dva primjera:

    host 192.168.0.1 a ne (port 21 ili port 80)

    host 192.168.0.1, a ne port 21 i ne port 80

Ako želimo vidjeti sav promet na portu, osim DNS, FTP, ARP prometa, onda će logika biti slična:

    port nije dns niti 21 niti arp

Prilikom hvatanja prometa iz aplikacija koje koriste dinamičke priključke iz određenog raspona, filtar će izgledati teško ako je verzija Libcapa niža od 0.9.1:

    (tcp > 1500 i tcp< 1550) or (tcp >1500 i tcp< 1550)

ako su verzije kasnije, filtar će biti manje prijeteći i razumljiv:

    tcp portrange 1501-1549

Za snimanje Ethernet okvira tipa EAPOL (EAP protokol za prijenos poruka u standardu 802.1x naziva se EAPOL (EAP enkapsulacija preko LAN-a)):

    ether proto 0x888e

Za referencu, ovdje je popis vrsta Ethernet okvira za određene protokole:

Ethertype (heksadecimalni)

Protokol

0x0000 - 0x05DC

IEEE 802.3 duljina

0x0101 - 0x01FF

IP, internetski protokol

ARP, protokol za rješavanje adresa.

Frame Relay ARP

Raw Frame Relay

DRARP, dinamički RARP. RARP, Reverse Address Resolution Protocol.

Novell Netware IPX

EtherTalk (AppleTalk preko Etherneta)

IBM SNA usluge preko Etherneta

AARP, AppleTalk protokol za rješavanje adresa.

EAPS, Ethernet automatsko zaštitno prebacivanje.

IPX, internetska razmjena paketa.

SNMP, jednostavni protokol za upravljanje mrežom.

IPv6, internetski protokol verzija 6.

PPP, protokol od točke do točke.

GSMP, General Switch Management Protocol.

MPLS, Multi-Protocol Label Switching (unicast).

MPLS, Multi-Protocol Label Switching (multicast).

PPPoE, PPP preko Etherneta (faza otkrivanja).

PPPoE, PPP preko Etherneta (PPP faza sesije).

LWAPP, protokol lagane pristupne točke.

LLDP, Protokol otkrivanja sloja veze.

EAPOL, EAP preko LAN-a.

Povratna petlja (protokol testiranja konfiguracije)

VLAN Tag Identifikator protokola

VLAN Tag Identifikator protokola

Ako trebate uhvatiti promet određenog IP protokola, možete koristiti filtar:

    ip proto tcp - hvatanje TCP prometa

    ip proto udp - uhvati UDP promet

Najkraći filtar koristi se za hvatanje IP prometa:

Za hvatanje samo jednosmjernog prometa pri analizi odlaznog i dolaznog prometa na mrežni uređaj koristi se filtar u sljedećem formatu:

    nije emitirano i nije multicast

Jednostavni filtri o kojima smo govorili mogu se kombinirati pomoću jednostavnih simbola:

    Negacija: ! Iline

    Udruga: && ilii

    Alternacija: IIiliili

Primjer: za hvatanje prometa od ili prema uređaju s adresom 10.10.10.10, ali ne i iz mreže 192.168.0.0, filtar se dobiva kombiniranjem s negacijom:

    host 10.10.10.10 && !net 192.168

Filtri temeljeni na offset bajtovima su najmoćniji i znatno olakšavaju život, ali da biste ih koristili morate znati protokol i položaj polja koja tražite u paketu. Sljedeći uzorci filtara uhvatit će pakete s određenom vrijednošću polja u zaglavljima ili sadržaju. Postavljanje je jednostavno:

Pomičemo se za osam bajtova u IP paketu i hvatamo promet s TTL vrijednošću 1

Hvatamo sve TCP pakete s adresom izvorišnog porta 80. To je ekvivalentno filtru src porta 80.

Za referencu, ovdje je offset bajt za najzanimljivija polja u paketu:

Polje u paketu

Duljina u bajtovima

filtar

Dužina IP zaglavlja

Duljina IP paketa

Izvor IP adrese

Odredište IP adrese

IP fragmentacija

zastavica = 3 i pomak = 13

ip & 0x2000 = 0x2000 ili ip & 0x1fff !=0x0000

TCP odredišni port

Duljina TCP zaglavlja

Kako bismo objedinili primljene informacije, izgradit ćemo filtar za hvatanje prometa s HTTP GET zahtjevom. HTTP protokol koristi port 80, TCP transportni protokol. Heksadecimalna vrijednost riječi GET izgledat će kao 0x47455420. Primjer filtera koji ćemo dobiti:

    port 80 i tcp[((tcp & 0xf0 >>2):4]=0x47455420

U ovom smo materijalu pogledali kako postaviti i koristiti najjednostavnije osnovne filtre za hvatanje prometa pomoću analizatora protokola Wireshark.

Pa, nadam se da su prethodne lekcije dobro prošle. nastavit ću dalje. Pretpostavimo da smo uhvatili hrpu paketa, sada moramo pronaći određene podatke među skupom.

Podsjećam vas da možete preuzeti Wireshark

Prije svega, otvorimo primjer prometa (ili uhvatimo naše pakete). Usput, ovdje je biblioteka prometnih primjera, koju možete sigurno preuzeti za proučavanje: http://wiki.wireshark.org/SampleCaptures

Usput, ima i primjera prometa sa zaraženih računala, tragova trojanaca i drugih nedaća. + Također imam zbirku prometnih datoteka, ako ste zainteresirani, postavit ću ih u arhivu, ne teže puno. Usput, možete sami zaraziti svoje računalo nekom vrstom infekcije (virtualni stroj) i uhvatiti promet, mislim da je ovo vrlo zanimljivo. A ako ste uhvatili virus na pravom automobilu, obratite se profesionalcima: računalna pomoć Kijev. Pa idemo dalje.

Dakle, preuzeo sam primjer http prometa, prvi na popisu:

Otvorite prozor za pretraživanje i pogledajte:


Ovo je način na koji se paketi traže pomoću određenih podataka.

E, sad da pričamo o ljepoticama, odnosno raskarskoj.

Kako biste otvorili čarobnjaka za bojanje, odaberite View->Coloring Rules iz izbornika

Otvorit će se sljedeći prozor:


Dodajte novi element pomoću gumba NOVO:


Na primjer, sada ću stvoriti pravilo isticanja:

DNS protokol Naziv odgovora sadrži “google”, upisujem ga u filtar: dns.resp.name , odabirem “contains” (sadrži) i specificiram vrijednost “google”. Primijenim pravilo, napravim plavu pozadinu i crni font.


Naše je pravilo istaknuto podvučenom linijom.

Ponekad se prilikom korištenja interneta javljaju situacije u kojima dolazi do curenja prometa ili neočekivane potrošnje resursa sustava. Za brzu analizu i otkrivanje izvora problema koriste se posebni mrežni alati. O jednom od njih, WireSharku, bit će riječi u članku.

opće informacije

Prije korištenja WireSharka, morate se upoznati s njegovim opsegom, funkcionalnošću i mogućnostima. Ukratko: program vam omogućuje snimanje paketa u stvarnom vremenu u žičanim i bežičnim mrežnim vezama. Koristi se u Ethernetu, IEEE 802.11, PPP i sličnim protokolima. Također možete koristiti VoIP presretanje prometa poziva.

Program se distribuira pod GNU GPL licencom, što znači da je besplatan i otvorenog koda. Možete ga pokrenuti na mnogim Linux distribucijama, MacOS-u, a postoji i verzija za Windows operativni sustav.

Kako koristiti WireShark?

Prvo, prvo biste ga trebali instalirati na sustav. Budući da je jedna od najčešće korištenih Linux distribucija Ubuntu, svi primjeri će biti prikazani u njoj.

Za instalaciju samo upišite naredbu u konzolu:

sudo apt-get instalirajte wireshark

Nakon toga program će se pojaviti u glavnom izborniku. Možete ga pokrenuti od tamo. Ali bolje je to učiniti s terminala, jer su joj potrebna prava superkorisnika. To se može učiniti ovako:

Izgled

Program ima prikladno grafičko sučelje. Korisnik će vidjeti prijateljski prozor podijeljen u 3 dijela. Prvi se izravno odnosi na snimanje, drugi se odnosi na otvaranje datoteka i uzoraka, a treći je pomoć i podrška.

Blok Capture sadrži popis mrežnih sučelja dostupnih za snimanje. Kada odaberete, na primjer, eth0 i kliknete gumb Start, započet će proces presretanja.

Prozor s presretnutim podacima također je logično podijeljen u nekoliko dijelova. Na vrhu se nalazi upravljačka ploča s raznim elementima. Nakon toga je popis paketa. Predstavljen je u obliku tablice. Ovdje možete vidjeti redni broj paketa, vrijeme kada je presretnut, adresu slanja i primanja. Također možete ukloniti podatke o korištenim protokolima, duljini i drugim korisnim informacijama.

Ispod popisa nalazi se prozor sa sadržajem tehničkih podataka odabranog paketa. A još niže je prikaz u heksadecimalnom obliku.

Svaki pogled može se proširiti u veći prozor radi lakšeg čitanja podataka.

Primjena filtara

Dok program radi, deseci ili čak stotine paketa uvijek će proći ispred korisnika. Njihovo ručno uklanjanje je prilično teško i dugotrajno. Stoga službene upute WireSharka preporučuju korištenje filtara.

Za njih postoji posebno polje u prozoru programa - Filter. Za precizniju konfiguraciju filtra postoji gumb Expression.

Ali u većini slučajeva dovoljan je standardni skup filtara:

  • ip.dst — odredišna IP adresa paketa;
  • ip.src — adresa pošiljatelja;
  • ip.addr - bilo koji ip;
  • ip.proto - protokol.

Korištenje filtara u WireSharku - upute

Da biste isprobali kako program radi s filterima, morate unijeti određenu naredbu. Na primjer, takav skup - ip.dst == 172.217.23.131 - prikazat će sve leteće pakete Google web stranici. Da biste vidjeli sav promet - i dolazni i odlazni - možete kombinirati dvije formule - ip.dst == 172.217.23.131 || ip.src == 172.217.23.131. Tako se pokazalo da se koriste dva uvjeta u jednom retku odjednom.

Možete koristiti druge uvjete, na primjer ip.ttl< 10. Данная команда выведет все пакеты с длительностью жизни меньше 10. Чтобы выбрать данные по их размеру, можно применить такой подход — http.content_length > 5000.

Dodatne mogućnosti

Radi praktičnosti, WireShark ima način brzog odabira parametara paketa kao polja za analizu. Na primjer, u polju s tehničkim podacima možete desnom tipkom miša kliknuti na željeni objekt i odabrati Primijeni kao stupac. Što znači prenijeti ga na terensko područje kao kolonu.

Slično, možete odabrati bilo koji parametar kao filtar. Da biste to učinili, u kontekstnom izborniku postoji stavka Primijeni kao filtar.

Odvojena sjednica

WireShark možete koristiti kao monitor između dva mrežna čvora, na primjer, korisnika i poslužitelja. Da biste to učinili, odaberite paket koji vas zanima, pozovite kontekstni izbornik i kliknite Prati TCP stream. Novi prozor će prikazati cijeli dnevnik razmjene između dva čvora.

Dijagnostika

WireShark ima poseban alat za analizu mrežnih problema. Zove se Stručni alati. Možete ga pronaći u donjem lijevom kutu, u obliku okrugle ikone. Klikom na njega otvorit će se novi prozor s nekoliko kartica - Pogreške, Upozorenja i druge. Uz njihovu pomoć možete analizirati u kojim čvorovima dolazi do kvarova, paketi ne stižu i otkriti druge probleme s mrežom.

Glasovni promet

Kao što je već spomenuto, WireShark također može presresti glasovni promet. Cijeli izbornik Telefonije posvećen je tome. Ovo se može koristiti za pronalaženje problema u VoIP-u i njihovo brzo popravljanje.

Stavka VoIP pozivi u izborniku Telefonija omogućit će vam pregled završenih poziva i njihovo slušanje.

Izvoz objekata

Ovo je vjerojatno najzanimljivija funkcionalnost programa. Omogućuje korištenje WireSharka kao presretača datoteka koje se prenose preko mreže. Da biste to učinili, trebate zaustaviti proces presretanja i izvesti HTTP objekte u izbornik Datoteka. Prozor koji se otvori prikazat će popis svih datoteka prenesenih tijekom sesije, koje se mogu spremiti na prikladno mjesto.

Konačno

Nažalost, bit će teško pronaći trenutnu verziju WireSharka na ruskom na Internetu. Najpristupačniji i najčešće korišten je na engleskom jeziku.

Isto vrijedi i za detaljne upute za WireShark na ruskom. Službeni programer je predstavljen na engleskom jeziku. Na mreži postoji mnogo kratkih, kratkih vodiča za WireShark za početnike.

Međutim, za one koji već dugo rade u IT području, razumijevanje programa neće predstavljati posebne poteškoće. A velike mogućnosti i bogata funkcionalnost uljepšat će sve poteškoće u učenju.

Vrijedno je napomenuti da u nekim zemljama korištenje njuškala poput WireSharka može biti protuzakonito.

Dok otklanjate pogreške određenog problema, ponekad ćete možda morati analizirati promet protokola koji izlazi i dolazi na vaš stroj. Wireshark je jedan od najboljih alata koji se koristi u tu svrhu. U ovom ćemo članku naučiti kako koristiti filtar prikaza analizatora mrežnog protokola Wireshark.

1. Preuzmite i instalirajte Wireshark

Nakon preuzimanja izvršne datoteke, samo kliknite na nju da biste instalirali Wireshark.

2. Odaberite sučelje i pokrenite snimanje

Nakon što ste otvorili wireshark, prvo morate odabrati određeno mrežno sučelje vašeg stroja. U većini slučajeva stroj je spojen na samo jedno mrežno sučelje, ali u slučaju da ih je više, odaberite sučelje na kojem želite pratiti promet.

Na izborniku kliknite na 'Snimanje -> Sučelja', što će prikazati sljedeći zaslon:

3. Izvorni IP filtar

Izvorni filtar može se primijeniti da ograniči prikaz paketa u wiresharku samo na one pakete koji imaju izvorni IP kao što je navedeno u filtru. Filtar primijenjen u donjem primjeru je:

Ip.src == 192.168.1.1

4. Odredišni IP filtar

Odredišni filtar može se primijeniti da ograniči prikaz paketa u wiresharku samo na one pakete koji imaju odredišnu IP adresu kako je navedeno u filtru. Na primjer:

Ip.dst == 192.168.1.1

5. Filtriraj po protokolu

Vrlo je jednostavno primijeniti filtar za određeni protokol. Samo napišite naziv tog protokola u karticu filtera i pritisnite enter. U donjem primjeru pokušali smo filtrirati rezultate za http protokol pomoću ovog filtra:

6. Korištenje uvjeta ILI u filtru

Ovaj filter pomaže u filtriranju paketa koji odgovaraju jednom ili drugom uvjetu.

Pretpostavimo da se može pojaviti zahtjev da se vide paketi koji imaju protokol 'http' ili 'arp'. U tom slučaju ne možete primijeniti zasebne filtre. Dakle, postoji izraz filtra '||' koji ILI dva uvjeta za prikaz paketa koji odgovaraju jednom ili oba uvjeta. U donjem primjeru pokušali smo filtrirati http ili arp pakete pomoću ovog filtra:

Http||arp

7. Primjena uvjeta I u filtru

Ovaj filtar pomaže u filtriranju paketa koji točno odgovaraju višestrukim uvjetima.

Pretpostavimo da postoji zahtjev za filtriranjem samo onih paketa koji su HTTP paketi i imaju izvorni IP kao '192.168.1.4'. Koristite ovaj filter:

Http&&ip.src==192.168.1.4

8. Filtrirajte prema broju priključka

To se može učiniti korištenjem filtra 'tcp.port eq'. Na primjer:

TCP.port eq 80

9. Spajanje paketa koji sadrže određenu sekvencu

Sintaksa filtra koja se ovdje koristi je: "sadrži".

Tcp sadrži 01:01:04

10. Odbijte pakete na temelju izvora ili odredišta

Ovdje je filtar ‘ip.src != ’ ili ‘ip.dst != ’.

Ip.dst != 192.168.1.1

Ako ste uživali u ovom članku, možda će vam se svidjeti i...