Το Wireshark αντιπροσωπεύει τον πιο χρησιμοποιούμενο αναλυτή πρωτοκόλλου στον κόσμο. Χρησιμοποιώντας το, μπορείτε να ελέγξετε όλα όσα συμβαίνουν στο δίκτυό σας, να αντιμετωπίσετε διάφορα προβλήματα, να αναλύσετε και να φιλτράρετε την κυκλοφορία του δικτύου σας χρησιμοποιώντας διάφορα εργαλεία κ.λπ.
Εάν θέλετε να μάθετε περισσότερα σχετικά με το Wireshark και τον τρόπο φιλτραρίσματος ανά θύρα, φροντίστε να συνεχίσετε να διαβάζετε.
Τι ακριβώς είναι το φιλτράρισμα θυρών;
Το φιλτράρισμα θυρών αντιπροσωπεύει έναν τρόπο φιλτραρίσματος πακέτων (μηνυμάτων από διαφορετικά πρωτόκολλα δικτύου) με βάση τον αριθμό θύρας τους. Αυτοί οι αριθμοί θύρας χρησιμοποιούνται για πρωτόκολλα TCP και UDP, τα πιο γνωστά πρωτόκολλα μετάδοσης. Το φιλτράρισμα θύρας αντιπροσωπεύει μια μορφή προστασίας για τον υπολογιστή σας, καθώς, με το φιλτράρισμα θύρας, μπορείτε να επιλέξετε να επιτρέψετε ή να αποκλείσετε ορισμένες θύρες για να αποτρέψετε διαφορετικές λειτουργίες εντός του δικτύου.
Υπάρχει ένα καθιερωμένο σύστημα θυρών που χρησιμοποιούνται για διαφορετικές υπηρεσίες διαδικτύου, όπως μεταφορά αρχείων, e-mail κ.λπ. Στην πραγματικότητα, υπάρχουν πάνω από 65.000 διαφορετικές θύρες. Υπάρχουν σε λειτουργία "επιτρέπω" ή "κλειστό". Ορισμένες εφαρμογές στο διαδίκτυο μπορούν να ανοίξουν αυτές τις θύρες, κάνοντας έτσι τον υπολογιστή σας πιο εκτεθειμένο σε χάκερ και ιούς.
Χρησιμοποιώντας το Wireshark, μπορείτε να φιλτράρετε διαφορετικά πακέτα με βάση τον αριθμό θύρας τους. Γιατί θα θέλατε να το κάνετε αυτό; Επειδή με αυτόν τον τρόπο, μπορείτε να φιλτράρετε όλα τα πακέτα που δεν θέλετε στον υπολογιστή σας για διαφορετικούς λόγους.
Ποια είναι τα σημαντικά λιμάνια;
Υπάρχουν 65.535 θύρες. Μπορούν να χωριστούν σε τρεις διαφορετικές κατηγορίες: οι θύρες από 0 έως 1023 είναι γνωστές θύρες και αντιστοιχίζονται σε κοινές υπηρεσίες και πρωτόκολλα. Στη συνέχεια, από το 1024 έως το 49151 είναι καταχωρημένες θύρες – εκχωρούνται από το ICANN σε μια συγκεκριμένη υπηρεσία. Και οι δημόσιες θύρες είναι θύρες από 49152-65535, μπορούν να χρησιμοποιηθούν από οποιαδήποτε υπηρεσία. Για διαφορετικά πρωτόκολλα χρησιμοποιούνται διαφορετικές θύρες.
Αν θέλετε να μάθετε για τα πιο συνηθισμένα, δείτε την παρακάτω λίστα:
| Αριθμός θύρας | Ονομα Υπηρεσίας | Πρωτόκολλο |
| 20, 21 | Πρωτόκολλο μεταφοράς αρχείων – FTP | TCP |
| 22 | Ασφαλές κέλυφος – SSH | TCP και UDP |
| 23 | Telnet | TCP |
| 25 | Απλό πρωτόκολλο μεταφοράς αλληλογραφίας | TCP |
| 53 | Σύστημα ονομάτων τομέα – DNS | TCP και UDP |
| 67/68 | Πρωτόκολλο διαμόρφωσης δυναμικού κεντρικού υπολογιστή – DHCP | UDP |
| 80 | Πρωτόκολλο μεταφοράς υπερκειμένου – HTTP | TCP |
| 110 | Πρωτόκολλο Ταχυδρομείου – POP3 | TCP |
| 123 | Network Time Protocol – NTP | UDP |
| 143 | Πρωτόκολλο πρόσβασης μηνυμάτων Διαδικτύου (IMAP4) | TCP και UDP |
| 161/162 | Απλό πρωτόκολλο διαχείρισης δικτύου – SNMP | TCP και UDP |
| 443 | HTTP με στρώμα ασφαλών υποδοχών – HTTPS (HTTP μέσω SSL/TLS) | TCP |
Ανάλυση στο Wireshark
Η διαδικασία ανάλυσης στο Wireshark αντιπροσωπεύει την παρακολούθηση διαφορετικών πρωτοκόλλων και δεδομένων μέσα σε ένα δίκτυο.
Πριν ξεκινήσουμε τη διαδικασία ανάλυσης, βεβαιωθείτε ότι γνωρίζετε τον τύπο της επισκεψιμότητας που θέλετε να αναλύσετε και τους διάφορους τύπους συσκευών που εκπέμπουν κίνηση:
- Έχετε υποστηρίξει την ακατάλληλη λειτουργία; Εάν το κάνετε, αυτό θα επιτρέψει στη συσκευή σας να συλλέγει πακέτα που δεν προορίζονταν αρχικά για τη συσκευή σας.
- Τι συσκευές έχετε μέσα στο δίκτυό σας; Είναι σημαντικό να έχετε κατά νου ότι διαφορετικά είδη συσκευών θα μεταδώσουν διαφορετικά πακέτα.
- Τι τύπο επισκεψιμότητας θέλετε να αναλύσετε; Ο τύπος της κίνησης θα εξαρτηθεί από τις συσκευές στο δίκτυό σας.
Η γνώση του τρόπου χρήσης διαφορετικών φίλτρων είναι εξαιρετικά σημαντική για τη λήψη των προβλεπόμενων πακέτων. Αυτά τα φίλτρα χρησιμοποιούνται πριν από τη διαδικασία σύλληψης πακέτων. Πώς λειτουργούν; Ορίζοντας ένα συγκεκριμένο φίλτρο, αφαιρείτε αμέσως την επισκεψιμότητα που δεν πληροί τα δεδομένα.
Μέσα στο Wireshark, μια σύνταξη που ονομάζεται σύνταξη φίλτρου πακέτων Berkley (BPF) χρησιμοποιείται για τη δημιουργία διαφορετικών φίλτρων λήψης. Δεδομένου ότι αυτή είναι η σύνταξη που χρησιμοποιείται πιο συχνά στην ανάλυση πακέτων, είναι σημαντικό να κατανοήσουμε πώς λειτουργεί.
Η σύνταξη του φίλτρου πακέτου Berkley καταγράφει φίλτρα που βασίζονται σε διαφορετικές εκφράσεις φιλτραρίσματος. Αυτές οι εκφράσεις αποτελούνται από ένα ή περισσότερα πρωτόγονα και τα πρωτόγονα αποτελούνται από ένα αναγνωριστικό (τιμές ή ονόματα που προσπαθείτε να βρείτε σε διαφορετικά πακέτα), ακολουθούμενα από έναν ή περισσότερους προσδιοριστές.
Τα προκριματικά μπορούν να χωριστούν σε τρία διαφορετικά είδη:
- Τύπος – με αυτούς τους χαρακτηριστικούς, προσδιορίζετε τι είδους αντιπροσωπεύει το αναγνωριστικό. Τα κριτήρια τύπου περιλαμβάνουν τη θύρα, το δίκτυο και τον κεντρικό υπολογιστή.
- Διεύθυνση (κατεύθυνση) – αυτά τα προκριματικά χρησιμοποιούνται για να καθορίσουν μια κατεύθυνση μεταφοράς. Με αυτόν τον τρόπο, το "src" επισημαίνει την πηγή και το "dst" τον προορισμό.
- Πρωτόκολλο (πρωτόκολλο) – με χαρακτηριστικούς πρωτοκόλλου, μπορείτε να καθορίσετε το συγκεκριμένο πρωτόκολλο που θέλετε να καταγράψετε.
Μπορείτε να χρησιμοποιήσετε έναν συνδυασμό διαφορετικών χαρακτηριστικών για να φιλτράρετε την αναζήτησή σας. Επίσης, μπορείτε να χρησιμοποιήσετε τελεστές: για παράδειγμα, μπορείτε να χρησιμοποιήσετε τον τελεστή συνένωσης (&/and), τελεστή άρνησης (!/not) κ.λπ.
Ακολουθούν ορισμένα παραδείγματα φίλτρων λήψης που μπορείτε να χρησιμοποιήσετε στο Wireshark:
| Φίλτρα | Περιγραφή |
| υποδοχής 192.168.1.2 | Όλη η κίνηση που σχετίζεται με το 192.168.1.2 |
| Θύρα tcp 22 | Όλη η κίνηση που σχετίζεται με τη θύρα 22 |
| src 192.168.1.2 | Όλη η κίνηση προέρχεται από 192.168.1.2 |
Είναι δυνατή η δημιουργία φίλτρων λήψης στα πεδία κεφαλίδας πρωτοκόλλου. Η σύνταξη μοιάζει με αυτό: proto[offset:size(optional)]=value. Εδώ, το proto αντιπροσωπεύει το πρωτόκολλο που θέλετε να φιλτράρετε, η μετατόπιση αντιπροσωπεύει τη θέση της τιμής στην κεφαλίδα του πακέτου, το μέγεθος αντιπροσωπεύει το μήκος των δεδομένων και η τιμή είναι τα δεδομένα που αναζητάτε.
Εμφάνιση φίλτρων στο Wireshark
Σε αντίθεση με τα φίλτρα λήψης, τα φίλτρα οθόνης δεν απορρίπτουν κανένα πακέτο, απλώς τα κρύβουν κατά την προβολή. Αυτή είναι μια καλή επιλογή, καθώς μόλις απορρίψετε πακέτα, δεν θα μπορείτε να τα ανακτήσετε.
Τα φίλτρα οθόνης χρησιμοποιούνται για τον έλεγχο της παρουσίας ενός συγκεκριμένου πρωτοκόλλου. Για παράδειγμα, εάν θέλετε να εμφανίσετε πακέτα που περιέχουν ένα συγκεκριμένο πρωτόκολλο, μπορείτε να πληκτρολογήσετε το όνομα του πρωτοκόλλου στη γραμμή εργαλείων "Φίλτρο οθόνης" του Wireshark.
Αλλες επιλογές
Υπάρχουν διάφορες άλλες επιλογές που μπορείτε να χρησιμοποιήσετε για να αναλύσετε πακέτα στο Wireshark, ανάλογα με τις ανάγκες σας.
- Κάτω από το παράθυρο "Στατιστικά στοιχεία" στο Wireshark, μπορείτε να βρείτε διάφορα βασικά εργαλεία που μπορείτε να χρησιμοποιήσετε για την ανάλυση πακέτων. Για παράδειγμα, μπορείτε να χρησιμοποιήσετε το εργαλείο "Συνομιλίες" για να αναλύσετε την κίνηση μεταξύ δύο διαφορετικών διευθύνσεων IP.
- Κάτω από το παράθυρο "Πληροφορίες ειδικών", μπορείτε να αναλύσετε τις ανωμαλίες ή την ασυνήθιστη συμπεριφορά στο δίκτυό σας.
Φιλτράρισμα κατά θύρα στο Wireshark
Το φιλτράρισμα ανά θύρα στο Wireshark είναι εύκολο χάρη στη γραμμή φίλτρου που σας επιτρέπει να εφαρμόσετε ένα φίλτρο οθόνης.
Για παράδειγμα, εάν θέλετε να φιλτράρετε τη θύρα 80, πληκτρολογήστε αυτό στη γραμμή φίλτρου:tcp.port == 80.» Αυτό που μπορείτε επίσης να κάνετε είναι να πληκτρολογήσετε "εξ" αντί για "==", αφού το "eq" αναφέρεται στο "ίσο".
Μπορείτε επίσης να φιλτράρετε πολλές θύρες ταυτόχρονα. Το || σήματα χρησιμοποιούνται σε αυτή την περίπτωση.
Για παράδειγμα, εάν θέλετε να φιλτράρετε τις θύρες 80 και 443, πληκτρολογήστε αυτό στη γραμμή φίλτρου:tcp.port == 80 || tcp.port == 443", ή "tcp.port eq 80 || tcp.port eq 443.”
Πρόσθετες συχνές ερωτήσεις
Πώς φιλτράρω το Wireshark κατά διεύθυνση IP και θύρα;
Υπάρχουν διάφοροι τρόποι με τους οποίους μπορείτε να φιλτράρετε το Wireshark κατά διεύθυνση IP:
1. Εάν ενδιαφέρεστε για ένα πακέτο με μια συγκεκριμένη διεύθυνση IP, πληκτρολογήστε αυτό στη γραμμή φίλτρου:ip.adr == x.x.x.x.”
2. Εάν ενδιαφέρεστε για πακέτα που προέρχονται από μια συγκεκριμένη διεύθυνση IP, πληκτρολογήστε αυτό στη γραμμή φίλτρου:ip.src == x.x.x.x.”
3. Εάν σας ενδιαφέρει τα πακέτα να πηγαίνουν σε μια συγκεκριμένη διεύθυνση IP, πληκτρολογήστε αυτό στη γραμμή φίλτρου:ip.dst == x.x.x.x.”
Εάν θέλετε να εφαρμόσετε δύο φίλτρα, όπως τη διεύθυνση IP και τον αριθμό θύρας, δείτε το επόμενο παράδειγμα:ip.adr == 192.168.1.199.&&tcp.port eq 443.Δεδομένου ότι το "&&" αντιπροσωπεύει σύμβολα για το "και", γράφοντας αυτό, μπορείτε να φιλτράρετε την αναζήτησή σας κατά διεύθυνση IP (192.168.1.199) και κατά αριθμό θύρας (tcp.port eq 443).
Πώς καταγράφει το Wireshark την κυκλοφορία των λιμένων;
Το Wireshark καταγράφει όλη την κίνηση του δικτύου όπως συμβαίνει. Θα καταγράψει όλη την κίνηση των λιμένων και θα σας δείξει όλους τους αριθμούς θυρών στις συγκεκριμένες συνδέσεις.
Εάν θέλετε να ξεκινήσετε τη λήψη, ακολουθήστε τα παρακάτω βήματα:
1. Ανοίξτε το "Wireshark".
2. Πατήστε «Λήψη».
3. Επιλέξτε "Interfaces".
4. Πατήστε "Έναρξη".
Εάν θέλετε να εστιάσετε σε έναν συγκεκριμένο αριθμό θύρας, μπορείτε να χρησιμοποιήσετε τη γραμμή φίλτρου.
Όταν θέλετε να σταματήσετε τη λήψη, πατήστε "Ctrl + E".
Τι είναι το φίλτρο λήψης για μια επιλογή DHCP;
Η επιλογή Dynamic Host Configuration Protocol (DHCP) αντιπροσωπεύει ένα είδος πρωτοκόλλου διαχείρισης δικτύου. Χρησιμοποιείται για την αυτόματη εκχώρηση διευθύνσεων IP σε συσκευές που είναι συνδεδεμένες στο δίκτυο. Χρησιμοποιώντας μια επιλογή DHCP, δεν χρειάζεται να διαμορφώσετε με μη αυτόματο τρόπο διάφορες συσκευές.
Εάν θέλετε να βλέπετε μόνο τα πακέτα DHCP στο Wireshark, πληκτρολογήστε "bootp" στη γραμμή φίλτρου. Γιατί bootp; Επειδή αντιπροσωπεύει την παλαιότερη έκδοση του DHCP και χρησιμοποιούν και οι δύο τους ίδιους αριθμούς θύρας – 67 & 68.
Γιατί πρέπει να χρησιμοποιήσω το Wireshark;
Η χρήση του Wireshark έχει πολλά πλεονεκτήματα, μερικά από τα οποία είναι:
1. Είναι δωρεάν – μπορείτε να αναλύσετε την κυκλοφορία του δικτύου σας εντελώς δωρεάν!
2. Μπορεί να χρησιμοποιηθεί για διαφορετικές πλατφόρμες – μπορείτε να χρησιμοποιήσετε το Wireshark σε Windows, Linux, Mac, Solaris κ.λπ.
3. Είναι λεπτομερές – Το Wireshark προσφέρει μια βαθιά ανάλυση πολλών πρωτοκόλλων.
4. Προσφέρει ζωντανά δεδομένα – αυτά τα δεδομένα μπορούν να συλλεχθούν από διάφορες πηγές όπως Ethernet, Token Ring, FDDI, Bluetooth, USB κ.λπ.
5. Χρησιμοποιείται ευρέως – Το Wireshark είναι ο πιο δημοφιλής αναλυτής πρωτοκόλλου δικτύου.
Το Wireshark δεν δαγκώνει!
Τώρα έχετε μάθει περισσότερα για το Wireshark, τις ικανότητές του και τις επιλογές φιλτραρίσματος. Εάν θέλετε να είστε σίγουροι ότι μπορείτε να αντιμετωπίσετε και να εντοπίσετε οποιοδήποτε είδος προβλημάτων δικτύου ή να επιθεωρήσετε τα δεδομένα που εισέρχονται και εξέρχονται από το δίκτυό σας, διατηρώντας έτσι ασφαλή, θα πρέπει οπωσδήποτε να δοκιμάσετε το Wireshark.
Έχετε χρησιμοποιήσει ποτέ το Wireshark; Πείτε μας για αυτό στην ενότητα σχολίων παρακάτω.