Wireshark representa l'analitzador de protocols més utilitzat del món. En utilitzar-lo, podeu comprovar tot el que passa a la vostra xarxa, resoldre problemes diferents, analitzar i filtrar el trànsit de la vostra xarxa mitjançant diverses eines, etc.
Si voleu obtenir més informació sobre Wireshark i com filtrar per port, assegureu-vos de seguir llegint.
Què és exactament el filtratge de ports?
El filtratge de ports representa una manera de filtrar paquets (missatges de diferents protocols de xarxa) en funció del seu número de port. Aquests números de port s'utilitzen per als protocols TCP i UDP, els protocols de transmissió més coneguts. El filtratge de ports representa una forma de protecció per al vostre ordinador ja que, mitjançant el filtratge de ports, podeu optar per permetre o bloquejar determinats ports per evitar diferents operacions dins de la xarxa.
Hi ha un sistema de ports ben establert que s'utilitza per a diferents serveis d'Internet, com ara transferència de fitxers, correu electrònic, etc. De fet, hi ha més de 65.000 ports diferents. Existeixen en mode "permetre" o "tancat". Algunes aplicacions a Internet poden obrir aquests ports, fent que el vostre ordinador estigui més exposat als pirates informàtics i als virus.
Mitjançant l'ús de Wireshark, podeu filtrar diferents paquets en funció del seu número de port. Per què voldríeu fer això? Perquè d'aquesta manera, podeu filtrar tots els paquets que no vulgueu al vostre ordinador per diferents motius.
Quins són els ports importants?
Hi ha 65.535 ports. Es poden dividir en tres categories diferents: els ports de 0 a 1023 són ports coneguts i estan assignats a serveis i protocols comuns. Aleshores, del 1024 al 49151 es troben els ports registrats: ICANN els assigna a un servei específic. I els ports públics són ports del 49152-65535, poden ser utilitzats per qualsevol servei. S'utilitzen diferents ports per a diferents protocols.
Si voleu conèixer els més comuns, consulteu la llista següent:
| Número de port | Nom del servei | Protocol |
| 20, 21 | Protocol de transferència de fitxers - FTP | TCP |
| 22 | Shell segur - SSH | TCP i UDP |
| 23 | Telnet | TCP |
| 25 | Protocol simple de transferència de correu | TCP |
| 53 | Sistema de noms de domini - DNS | TCP i UDP |
| 67/68 | Protocol de configuració dinàmica de l'amfitrió: DHCP | UDP |
| 80 | Protocol de transferència d'hipertext: HTTP | TCP |
| 110 | Protocol d'oficina de correus – POP3 | TCP |
| 123 | Protocol de temps de xarxa - NTP | UDP |
| 143 | Protocol d'accés a missatges d'Internet (IMAP4) | TCP i UDP |
| 161/162 | Protocol simple de gestió de xarxa: SNMP | TCP i UDP |
| 443 | HTTP amb Secure Sockets Layer: HTTPS (HTTP sobre SSL/TLS) | TCP |
Anàlisi en Wireshark
El procés d'anàlisi a Wireshark representa el seguiment de diferents protocols i dades dins d'una xarxa.
Abans de començar amb el procés d'anàlisi, assegureu-vos de conèixer el tipus de trànsit que voleu analitzar i els diferents tipus de dispositius que emeten trànsit:
- Teniu suport el mode promiscu? Si ho feu, això permetrà que el vostre dispositiu reculli paquets que no estan destinats originalment al vostre dispositiu.
- Quins dispositius tens a la teva xarxa? És important tenir en compte que diferents tipus de dispositius transmetran paquets diferents.
- Quin tipus de trànsit voleu analitzar? El tipus de trànsit dependrà dels dispositius de la vostra xarxa.
Saber com utilitzar diferents filtres és extremadament important per capturar els paquets previstos. Aquests filtres s'utilitzen abans del procés de captura de paquets. Com funcionen? En establir un filtre específic, elimineu immediatament el trànsit que no compleix els criteris indicats.
Dins de Wireshark, s'utilitza una sintaxi anomenada Berkley Packet Filter (BPF) per crear diferents filtres de captura. Com que aquesta és la sintaxi que s'utilitza més habitualment en l'anàlisi de paquets, és important entendre com funciona.
La sintaxi del filtre de paquets de Berkley captura filtres basats en diferents expressions de filtratge. Aquestes expressions consisteixen en una o diverses primitives, i les primitives consisteixen en un identificador (valors o noms que esteu intentant trobar dins de diferents paquets), seguit d'un o diversos qualificadors.
Els qualificatius es poden dividir en tres tipus diferents:
- Tipus: amb aquests qualificadors, especifiqueu quin tipus de cosa representa l'identificador. Els qualificadors de tipus inclouen port, xarxa i host.
- Dir (direcció): aquests qualificadors s'utilitzen per especificar una direcció de transferència. D'aquesta manera, "src" marca la font, i "dst" marca la destinació.
- Protocol (protocol): amb qualificadors de protocol, podeu especificar el protocol específic que voleu capturar.
Podeu utilitzar una combinació de qualificadors diferents per filtrar la vostra cerca. A més, podeu utilitzar operadors: per exemple, podeu utilitzar l'operador de concatenació (&/i), l'operador de negació (!/not), etc.
Aquests són alguns exemples de filtres de captura que podeu utilitzar a Wireshark:
| Filtres | Descripció |
| host 192.168.1.2 | Tot el trànsit associat a 192.168.1.2 |
| port tcp 22 | Tot el trànsit associat al port 22 |
| src 192.168.1.2 | Tot el trànsit procedent de 192.168.1.2 |
És possible crear filtres de captura als camps de la capçalera del protocol. La sintaxi té aquest aspecte: proto[offset:size(opcional)]=value. Aquí, proto representa el protocol que voleu filtrar, l'offset representa la posició del valor a la capçalera del paquet, la mida representa la longitud de les dades i el valor són les dades que busqueu.
Mostra els filtres a Wireshark
A diferència dels filtres de captura, els filtres de visualització no descarten cap paquet, simplement els amaguen mentre es visualitzen. Aquesta és una bona opció ja que un cop descarteu els paquets, no podreu recuperar-los.
Els filtres de visualització s'utilitzen per comprovar la presència d'un determinat protocol. Per exemple, si voleu mostrar paquets que contenen un protocol concret, podeu escriure el nom del protocol a la barra d'eines "Mostra el filtre" de Wireshark.
Altres Opcions
Hi ha diverses altres opcions que podeu utilitzar per analitzar paquets a Wireshark, depenent de les vostres necessitats.
- A la finestra "Estadístiques" de Wireshark, podeu trobar diferents eines bàsiques que podeu utilitzar per analitzar paquets. Per exemple, podeu utilitzar l'eina "Converses" per analitzar el trànsit entre dues adreces IP diferents.
- A la finestra "Informació experta", podeu analitzar les anomalies o el comportament poc habitual a la vostra xarxa.
Filtrat per port a Wireshark
Filtrar per port a Wireshark és fàcil gràcies a la barra de filtres que us permet aplicar un filtre de visualització.
Per exemple, si voleu filtrar el port 80, escriviu això a la barra de filtres: "tcp.port == 80.” El que també pots fer és escriure "eq” en lloc de “==”, ja que “eq” es refereix a “igual”.
També podeu filtrar diversos ports alhora. El || s'utilitzen signes en aquest cas.
Per exemple, si voleu filtrar els ports 80 i 443, escriviu això a la barra de filtres: "tcp.port == 80 || tcp.port == 443”, o “tcp.port eq 80 || tcp.port eq 443.”
Preguntes freqüents addicionals
Com puc filtrar Wireshark per adreça IP i port?
Hi ha diverses maneres en què podeu filtrar Wireshark per adreça IP:
1. Si esteu interessats en un paquet amb una adreça IP concreta, escriviu això a la barra de filtres: “ip.adr == x.x.x.x.”
2. Si esteu interessats en paquets procedents d'una adreça IP concreta, escriviu això a la barra de filtres: "ip.src == x.x.x.x.”
3. Si us interessa que els paquets van a una adreça IP concreta, escriviu això a la barra de filtres: “ip.dst == x.x.x.x.”
Si voleu aplicar dos filtres, com ara l'adreça IP i el número de port, consulteu el següent exemple: "ip.adr == 192.168.1.199.&&tcp.port eq 443.Com que “&&” representen símbols de “i”, escrivint això, podeu filtrar la vostra cerca per adreça IP (192.168.1.199) i per número de port (tcp.port eq 443).
Com captura Wireshark el trànsit del port?
Wireshark captura tot el trànsit de la xarxa tal com passa. Capturarà tot el trànsit del port i us mostrarà tots els números de port a les connexions específiques.
Si voleu iniciar la captura, seguiu aquests passos:
1. Obriu "Wireshark".
2. Toqueu "Captura".
3. Seleccioneu "Interfícies".
4. Toqueu "Inici".
Si voleu centrar-vos en un número de port específic, podeu utilitzar la barra de filtres.
Quan vulgueu aturar la captura, premeu "Ctrl + E".
Què és el filtre de captura per a una opció DHCP?
L'opció Dynamic Host Configuration Protocol (DHCP) representa una mena de protocol de gestió de xarxa. S'utilitza per assignar automàticament adreces IP als dispositius connectats a la xarxa. En utilitzar una opció DHCP, no cal que configureu manualment diversos dispositius.
Si voleu veure només els paquets DHCP a Wireshark, escriviu "bootp" a la barra de filtres. Per què bootp? Perquè representa la versió anterior de DHCP i tots dos utilitzen els mateixos números de port: 67 i 68.
Per què hauria d'utilitzar Wireshark?
L'ús de Wireshark té nombrosos avantatges, alguns dels quals són:
1. És gratuït: podeu analitzar el trànsit de la vostra xarxa totalment gratis!
2. Es pot utilitzar per a diferents plataformes: podeu utilitzar Wireshark a Windows, Linux, Mac, Solaris, etc.
3. És detallat: Wireshark ofereix una anàlisi profunda de nombrosos protocols.
4. Ofereix dades en directe: aquestes dades es poden recopilar de diverses fonts com Ethernet, Token Ring, FDDI, Bluetooth, USB, etc.
5. És molt utilitzat: Wireshark és l'analitzador de protocols de xarxa més popular.
Wireshark no mossega!
Ara heu après més sobre Wireshark, les seves habilitats i les opcions de filtratge. Si voleu assegurar-vos que podeu solucionar i identificar qualsevol tipus de problema de xarxa o inspeccionar les dades que entren i surten de la vostra xarxa, mantenint-les segures, hauríeu de provar Wireshark.
Has fet servir mai Wireshark? Explica'ns-ho a la secció de comentaris a continuació.