Com filtrar per IP a Wireshark

Els administradors de xarxa es troben amb una àmplia gamma de problemes de xarxa mentre fan la seva feina. Sempre que hi hagi una acció sospitosa o la necessitat d'avaluar un segment de xarxa concret, les eines d'analistes de protocols com Wireshark poden ser útils. Una característica especialment útil és filtrar els paquets de xarxa per adreces IP.

Com filtrar per IP a Wireshark

Si sou el primer usuari, és possible que us resulti una mica difícil configurar els passos per fer-ho pel vostre compte. Afortunadament, hem reunit aquesta guia definitiva sobre com filtrar per IP a Wireshark. Aniràs coneixent la diferència entre els seus dos idiomes de filtratge, aprenent noves cadenes de filtre i molt més.

El millor és que només necessitareu ajuda per realitzar aquests passos la primera vegada. Cada actuació següent serà un tros de pastís!

Què és Wireshark?

Wireshark és un analitzador de paquets de xarxa que domina l'espai de la indústria des de fa força temps. Ha estat fantàstic fins al punt d'aportar moltes eines similars, inclòs el Microsoft Network Monitor. Les dues característiques principals que van fer famós Wireshark són la seva flexibilitat i facilitat d'ús.

Els analitzadors de paquets de xarxa són eines que capturen i analitzen el trànsit de dades amb el màxim de detall possible en canals de comunicació específics. Serveixen com a eines de diagnòstic definitives per als sistemes integrats.

Wireshark té la capacitat de filtrar paquets durant la captura i després de l'anàlisi amb diferents nivells de complexitat. Això fa que sigui igual de convenient tant per als primers com per als professionals del monitoratge de la xarxa. Wireshark també ingereix i analitza el trànsit de diversos altres analitzadors de protocols, de manera que és senzill revisar el trànsit passat en moments concrets del passat.

Abans de Wireshark, les eines de seguiment de la xarxa solien ser molt cares o pròpies. Tot això va canviar amb l'aparició d'aquesta aplicació. El programari és de codi obert i és compatible amb totes les plataformes principals. Això va portar a Wireshark molt de suport de la comunitat, que va treure el cost com a barrera i va fer espai per a una àmplia gamma d'oportunitats de formació.

Aquest és el motiu pel qual la gent vol utilitzar Wireshark:

  • Resolució de problemes de xarxa
  • Estudi dels problemes de seguretat
  • Examen d'aplicacions de xarxa
  • Implementació de protocols de depuració
  • Aprendre sobre els protocols de xarxa interns

Wireshark es pot descarregar gratuïtament. En cas que encara no ho hagis fet, pots fer-ho aquí. Només cal que baixeu l'executable i feu clic al fitxer per instal·lar-lo.

La interfície d'usuari de Wireshark

Després de descarregar i instal·lar Wireshark, podeu accedir-hi des del vostre shell local o gestor de finestres. Una de les primeres coses que heu de fer és triar una interfície de xarxa de la llista de xarxes dels adaptadors de l'ordinador.

Podeu fer clic a "Captura" i després a "Interfícies" al menú i triar l'opció adequada.

La finestra principal de la interfície de Wireshark consta de diverses parts:

  • Menú: s'utilitza per iniciar accions
  • Barra d'eines principal: accés ràpid als elements que utilitzeu sovint des del menú
  • Barra d'eines Filtre: aquí podeu configurar filtres de visualització
  • Panell de llista de paquets: resums de paquets capturats
  • Panell de detalls: més informació sobre el paquet seleccionat del carril de paquets
  • Panell de bytes: dades del paquet del panell de la llista de paquets, destacant el camp escollit en aquest panell
  • Barra d'estat: dades capturades i informació de l'estat del programa en curs

Podeu controlar les llistes de paquets i navegar pels detalls completament amb el vostre teclat. Aquí hi ha una taula que mostra les ordres de drecera habituals del teclat.

Com afegir filtres a Wireshark?

La barra d'eines "Filtre" és on podeu personalitzar i executar nous filtres de visualització.

Per crear i editar filtres de captura, aneu a "Gestiona els filtres de captura" al menú d'adreces d'interès o navegueu a "Captura" i després a "Filtres de captura" al menú principal.

Per crear i editar filtres de visualització, seleccioneu "Gestiona els filtres de visualització" al menú d'adreces d'interès o aneu al menú principal i seleccioneu "Analitzar", després "Filtres de visualització".

Veureu una secció d'entrada de filtre amb un fons verd. Aquesta és l'àrea on introduïu i editeu les cadenes de filtre de visualització. També és on podeu veure el filtre aplicat actualment. Simplement feu clic al nom del filtre o feu doble clic a la cadena per editar-lo.

Mentre escriviu, el sistema farà una comprovació del sistema de la cadena de filtre. Si n'introduïu una no vàlida, el fons passa de verd a vermell. Premeu sempre el botó "Aplica" o la tecla "Enter" per aplicar la cadena de filtre.

Podeu afegir un filtre nou fent clic al botó "Afegeix", que és un signe més negre sobre un fons gris clar. Una altra manera d'afegir un filtre nou és fer clic amb el botó dret a l'àrea del botó del filtre. Per eliminar un filtre, feu clic al botó menys. El botó menys es mostrarà en gris si no hi ha cap filtre seleccionat.

Com filtrar per adreça IP a Wireshark?

Una característica excel·lent de Wireshark és que us permet filtrar paquets per adreces IP. Només cal que seguiu els passos següents per obtenir instruccions sobre com fer-ho:

  1. Comenceu fent clic al botó més per afegir un filtre de visualització nou.

  2. Executeu l'operació següent al quadre Filtre: ip.addr==[adreça IP] i premeu Enter.

  3. Tingueu en compte que el carril de la llista de paquets ara només filtra el trànsit que va a (destinació) i des de (font) l'adreça IP que heu introduït.

  4. Per esborrar el filtre, feu clic al botó "Esborra" a la barra d'eines Filtre.

IP font

Podeu restringir la visualització de paquets a aquells amb adreces IP d'origen concretes que apareixen en aquest filtre. Només cal que executeu l'ordre següent al quadre de filtre i premeu Enter:

ip.src == [adreça IP]

IP de destinació

Podeu aplicar filtres de destinació per restringir la visualització de paquets a aquells amb una IP de destinació específica que es mostra al filtre.

La comanda és la següent:

ip.dst == [adreça IP]

Filtre de captura vs. filtre de visualització

Wireshark admet dos idiomes de filtratge: filtres de captura i filtres de visualització. El primer s'utilitza per filtrar durant la captura de paquets. Aquests últims filtres mostren paquets. Amb els filtres de visualització, podeu centrar-vos en els paquets que us interessen i amagar els que no són importants actualment. Podeu mostrar paquets en funció de diversos factors:

  • Protocol
  • Presència de camp
  • Valors de camp
  • Comparació de camps

Els filtres de visualització utilitzen una sintaxi d'operador booleà i camps que descriuen els paquets que esteu filtrant. Un cop creeu uns quants filtres de visualització, és fàcil escriure'ls. Els filtres de captura són una mica menys intuïtius, ja que són críptics.

Aquí teniu una visió general de les característiques i els usos de cada filtre:

Filtres de captura:

  • Es configuren abans de començar a captar trànsit
  • Impossible de canviar durant la captura de trànsit
  • S'utilitza per a la captura de tipus de trànsit específic

Filtres de visualització:

  • Redueixen els paquets que es mostren a Wireshark
  • Es pot personalitzar durant la captura de trànsit
  • S'utilitza per amagar el trànsit per avaluar tipus de trànsit específics

Per obtenir més informació sobre el filtratge durant la captura, visiteu aquesta pàgina.

Preguntes freqüents addicionals

Com puc filtrar Wireshark per URL?

Podeu cercar URL HTTP donats a la captura a Wireshark utilitzant la cadena de filtre següent:

http conté "[URL]. “

Tingueu en compte que no podeu utilitzar els operadors "conté" als camps atòmics (nombres, adreces IP).

Com puc filtrar Wireshark pel número de port?

Podeu utilitzar l'ordre següent per filtrar Wireshark pel número de port:

Tcp.port eq [número de port].

Com funciona Wireshark?

Wireshark és una eina per detectar paquets de xarxa. Analitza paquets de xarxa prenent una connexió a Internet i registrant els paquets que hi viatgen. A continuació, proporciona als usuaris la informació sobre aquests paquets, inclòs el seu origen, destinació, contingut, protocols, missatges, etc.

Anem al 007 a Network Sniffing

Gràcies a Wireshark, els enginyers i administradors de xarxa ja no s'han de preocupar de perdre's les eines de diagnòstic per a problemes essencials de xarxa. Les funcions fàcils i convenients del programa fan que sigui molt més senzill avaluar les vulnerabilitats de la xarxa i resoldre problemes.

Després de llegir el nostre article, ara hauríeu de saber la diferència entre les diferents opcions de filtre del programa relacionades amb el filtratge d'IP. També heu après les expressions bàsiques de cadena per filtrar per IP i molt més. Amb sort, això us ajudarà a resoldre qualsevol problema de xarxa que us pugueu trobar.

Quines altres funcions utilitzeu sovint a Wireshark? Què creus que fa que Wireshark destaqui de la competència? Comparteix els teus pensaments a la secció de comentaris a continuació.