Hur man filtrerar efter port med Wireshark

Wireshark representerar världens mest använda protokollanalysator. Genom att använda det kan du kontrollera allt som händer i ditt nätverk, felsöka olika problem, analysera och filtrera din nätverkstrafik med hjälp av olika verktyg, etc.

Om du vill lära dig mer om Wireshark och hur du filtrerar efter port, se till att du fortsätter läsa.

Exakt vad är portfiltrering?

Portfiltrering representerar ett sätt att filtrera paket (meddelanden från olika nätverksprotokoll) baserat på deras portnummer. Dessa portnummer används för TCP- och UDP-protokoll, de mest kända protokollen för överföring. Portfiltrering representerar en form av skydd för din dator eftersom du genom portfiltrering kan välja att tillåta eller blockera vissa portar för att förhindra olika operationer inom nätverket.

Det finns ett väletablerat system av portar som används för olika internettjänster, som filöverföring, e-post etc. Det finns faktiskt över 65 000 olika portar. De finns i "tillåt" eller "stängt" läge. Vissa applikationer på internet kan öppna dessa portar, vilket gör din dator mer utsatt för hackare och virus.

Genom att använda Wireshark kan du filtrera olika paket baserat på deras portnummer. Varför skulle du vilja göra det här? För på det sättet kan du filtrera bort alla paket du inte vill ha i din dator av olika anledningar.

Vilka är de viktiga hamnarna?

Det finns 65 535 portar. De kan delas in i tre olika kategorier: portar från 0 – 1023 är välkända portar och de är tilldelade vanliga tjänster och protokoll. Sedan är från 1024 till 49151 registrerade portar – de tilldelas av ICANN till en specifik tjänst. Och offentliga hamnar är hamnar från 49152-65535, de kan användas av alla tjänster. Olika portar används för olika protokoll.

Om du vill lära dig mer om de vanligaste, kolla in följande lista:

PortnummerService namnProtokoll
20, 21Filöverföringsprotokoll – FTPTCP
22Säkert skal – SSHTCP och UDP
23TelnetTCP
25Simple Mail Transfer ProtocolTCP
53Domännamnssystem – DNSTCP och UDP
67/68Dynamic Host Configuration Protocol – DHCPUDP
80HyperText Transfer Protocol – HTTPTCP
110Post Office Protocol – POP3TCP
123Network Time Protocol – NTPUDP
143Internet Message Access Protocol (IMAP4)TCP och UDP
161/162Enkelt nätverkshanteringsprotokoll – SNMPTCP och UDP
443HTTP med Secure Sockets Layer – HTTPS (HTTP över SSL/TLS)TCP

Analys i Wireshark

Analysprocessen i Wireshark representerar övervakning av olika protokoll och data i ett nätverk.

Innan vi börjar med analysprocessen, se till att du vet vilken typ av trafik du vill analysera och olika typer av enheter som avger trafik:

  1. Har du stöd för promiskuöst läge? Om du gör det kommer detta att tillåta din enhet att samla in paket som inte ursprungligen är avsedda för din enhet.
  2. Vilka enheter har du i ditt nätverk? Det är viktigt att komma ihåg att olika typer av enheter sänder olika paket.
  3. Vilken typ av trafik vill du analysera? Typen av trafik beror på enheterna i ditt nätverk.

Att veta hur man använder olika filter är extremt viktigt för att fånga de avsedda paketen. Dessa filter används före processen för paketfångning. Hur fungerar de? Genom att sätta ett specifikt filter tar du omedelbart bort den trafik som inte uppfyller de givna kriterierna.

Inom Wireshark används en syntax som kallas Berkley Packet Filter (BPF) syntax för att skapa olika fångstfilter. Eftersom detta är den syntax som oftast används i paketanalys, är det viktigt att förstå hur det fungerar.

Berkley Packet Filter-syntax fångar filter baserade på olika filtreringsuttryck. Dessa uttryck består av en eller flera primitiver, och primitiver består av en identifierare (värden eller namn som du försöker hitta inom olika paket), följt av en eller flera kvalificerare.

Kvalificerade kan delas in i tre olika typer:

  1. Typ – med dessa kvalificerare anger du vilken typ av sak identifieraren representerar. Typkvalificerare inkluderar port, net och host.
  2. Dir (riktning) – dessa kvalificeringar används för att ange en överföringsriktning. På det sättet markerar "src" källan och "dst" markerar destinationen.
  3. Proto (protokoll) – med protokollkvalificerare kan du ange det specifika protokoll du vill fånga.

Du kan använda en kombination av olika kvalificeringar för att filtrera bort din sökning. Du kan också använda operatorer: till exempel kan du använda sammanlänkningsoperatorn (&/and), negationsoperator (!/not), etc.

Här är några exempel på fångstfilter du kan använda i Wireshark:

FilterBeskrivning
värd 192.168.1.2All trafik i samband med 192.168.1.2
tcp port 22All trafik associerad med port 22
src 192.168.1.2All trafik med ursprung från 192.168.1.2

Det är möjligt att skapa fångstfilter i protokollhuvudfälten. Syntaxen ser ut så här: proto[offset:storlek(valfritt)]=värde. Här representerar proto protokollet du vill filtrera, offset representerar positionen för värdet i paketets rubrik, storleken representerar längden på datan och värdet är den data du letar efter.

Visa filter i Wireshark

Till skillnad från fångstfilter kasserar inte visningsfilter några paket, de gömmer dem helt enkelt medan de tittar. Detta är ett bra alternativ eftersom när du väl kasserar paket kommer du inte att kunna återställa dem.

Visningsfilter används för att kontrollera förekomsten av ett visst protokoll. Om du till exempel vill visa paket som innehåller ett visst protokoll kan du skriva in namnet på protokollet i Wiresharks verktygsfält "Visningsfilter".

Andra alternativ

Det finns flera andra alternativ du kan använda för att analysera paket i Wireshark, beroende på dina behov.

  1. Under fönstret "Statistik" i Wireshark kan du hitta olika grundläggande verktyg du kan använda för att analysera paket. Du kan till exempel använda verktyget "Konversationer" för att analysera trafiken mellan två olika IP-adresser.

  2. Under fönstret "Expertinfo" kan du analysera anomalierna eller ovanliga beteenden inom ditt nätverk.

Filtrering efter port i Wireshark

Filtrering efter port i Wireshark är enkelt tack vare filterfältet som låter dig använda ett visningsfilter.

Om du till exempel vill filtrera port 80, skriv detta i filterfältet: "tcp.port == 80.” Vad du också kan göra är att skriva "ekv" istället för "==", eftersom "eq" syftar på "lika".

Du kan också filtrera flera portar samtidigt. Den || tecken används i detta fall.

Om du till exempel vill filtrera portarna 80 och 443, skriv detta i filterfältet: "tcp.port == 80 || tcp.port == 443", eller "tcp.port eq 80 || tcp.port eq 443.”

Ytterligare vanliga frågor

Hur filtrerar jag Wireshark efter IP-adress och port?

Det finns flera sätt på vilka du kan filtrera Wireshark efter IP-adress:

1. Om du är intresserad av ett paket med en viss IP-adress, skriv detta i filterfältet: "ip.adr == x.x.x.x.

2. Om du är intresserad av paket som kommer från en viss IP-adress, skriv detta i filterfältet: "ip.src == x.x.x.x.

3. Om du är intresserad av paket som går till en viss IP-adress, skriv detta i filterfältet: "ip.dst == x.x.x.x.

Om du vill använda två filter, som IP-adress och portnummer, kolla in nästa exempel: "ip.adr == 192.168.1.199.&&tcp.port eq 443.Eftersom "&&" representerar symboler för "och", genom att skriva detta, kan du filtrera din sökning efter IP-adress (192.168.1.199) och efter portnummer (tcp.port eq 443).

Hur fångar Wireshark hamntrafik?

Wireshark fångar upp all nätverkstrafik när den händer. Den kommer att fånga all porttrafik och visa dig alla portnummer i de specifika anslutningarna.

Om du vill starta inspelningen, följ dessa steg:

1. Öppna "Wireshark".

2. Tryck på "Fånga."

3. Välj "Gränssnitt".

4. Tryck på "Start".

Om du vill fokusera på ett specifikt portnummer kan du använda filterfältet.

När du vill stoppa infångningen, tryck ''Ctrl + E.''

Vad är infångningsfiltret för ett DHCP-alternativ?

Alternativet Dynamic Host Configuration Protocol (DHCP) representerar ett slags nätverkshanteringsprotokoll. Den används för att automatiskt tilldela IP-adresser till enheter som är anslutna till nätverket. Genom att använda ett DHCP-alternativ behöver du inte konfigurera olika enheter manuellt.

Om du bara vill se DHCP-paketen i Wireshark, skriv "bootp" i filterfältet. Varför bootp? Eftersom det representerar den äldre versionen av DHCP, och de båda använder samma portnummer – 67 och 68.

Varför ska jag använda Wireshark?

Att använda Wireshark har många fördelar, varav några är:

1. Det är gratis – du kan analysera din nätverkstrafik helt gratis!

2. Den kan användas för olika plattformar – du kan använda Wireshark på Windows, Linux, Mac, Solaris, etc.

3. Det är detaljerat – Wireshark erbjuder en djup analys av många protokoll.

4. Den erbjuder livedata – denna data kan samlas in från olika källor som Ethernet, Token Ring, FDDI, Bluetooth, USB, etc.

5. Det används ofta – Wireshark är den mest populära analysatorn för nätverksprotokoll.

Wireshark biter inte!

Nu har du lärt dig mer om Wireshark, dess förmågor och filtreringsalternativ. Om du vill vara säker på att du kan felsöka och identifiera alla typer av nätverksproblem eller inspektera data som kommer in och ut ur ditt nätverk och på så sätt hålla det säkert, bör du definitivt prova Wireshark.

Har du någonsin använt Wireshark? Berätta för oss om det i kommentarsfältet nedan.