Hur man filtrerar efter IP i Wireshark

Nätverksadministratörer stöter på ett brett utbud av nätverksproblem när de utför sitt arbete. Närhelst det finns en misstänkt åtgärd eller ett behov av att utvärdera ett visst nätverkssegment, kan protokollanalytikerverktyg som Wireshark komma till nytta. En särskilt användbar funktion är att filtrera nätverkspaket efter IP-adresser.

Hur man filtrerar efter IP i Wireshark

Om du är en förstagångsanvändare kan du tycka att det är lite utmanande att konfigurera stegen för att göra det på egen hand. Lyckligtvis har vi satt ihop den här ultimata guiden om hur man filtrerar efter IP i Wireshark. Du kommer att gå därifrån och känna skillnaden mellan dess två filtreringsspråk, lära dig nya filtersträngar och mycket mer.

Det bästa är att du bara behöver hjälp med att utföra dessa steg första gången. Varje efterföljande föreställning kommer att vara en piece of cake!

Vad är Wireshark?

Wireshark är en nätverkspaketanalysator som dominerar branschen under ett bra tag nu. Det har varit bra fram till den grad att många liknande verktyg hyllas, inklusive Microsoft Network Monitor. De två huvudfunktionerna som gjorde Wireshark känd är dess flexibilitet och användarvänlighet.

Nätverkspaketanalysatorer är verktyg som fångar och analyserar datatrafik så detaljerat som möjligt i specifika kommunikationskanaler. De fungerar som ultimata diagnostiska verktyg för inbyggda system.

Wireshark kommer med den förstklassiga förmågan att filtrera paket under infångning och vid analys med olika komplexitetsnivåer. Detta gör det lika bekvämt för nybörjare som för proffs inom nätverksövervakning. Wireshark tar också in och analyserar trafik från olika andra protokollanalysatorer, vilket gör det enkelt att granska tidigare trafik vid specifika tidpunkter i det förflutna.

Innan Wireshark var verktyg för nätverksspårning förr mycket dyra eller proprietära. Allt förändrades med tillkomsten av denna app. Mjukvaran är öppen källkod och stöder alla större plattformar. Detta gav Wireshark massor av gemenskapsstöd, vilket tog bort kostnaden som en barriär och gav plats för ett brett utbud av utbildningsmöjligheter.

Här är varför folk kanske vill använda Wireshark:

  • Felsökning av nätverksproblem
  • Undersöker säkerhetsproblem
  • Undersöker nätverksapplikationer
  • Felsökning av protokollimplementeringar
  • Lär dig om internt nätverksprotokoll

Wireshark är gratis att ladda ner. Om du fortfarande inte har gjort det kan du göra det här. Ladda bara ner den körbara filen och klicka på filen för att installera den.

Användargränssnittet för Wireshark

Efter att ha laddat ner och installerat Wireshark kan du komma åt det från ditt lokala skal eller fönsterhanterare. En av de första sakerna du måste göra är att välja ett nätverksgränssnitt från listan över nätverk på dina datoradaptrar.

Du kan klicka på "Fånga" och sedan "Gränssnitt" från menyn och välja lämpligt alternativ.

Huvudfönstret i Wireshark-gränssnittet består av flera delar:

  • Meny – används för att starta åtgärder
  • Huvudverktygsfält – snabb åtkomst till objekt som du ofta använder från menyn
  • Filterverktygsfält – du kan ställa in visningsfilter här
  • Paketlistpanel – infångade paketsammanfattningar
  • Informationspanel – mer information om valt paket från paketfilen
  • Byte-ruta – data från paketlistans ruta som markerar det valda fältet i den panelen
  • Statusfält – fångad data och pågående programstatusinformation

Du kan styra paketlistorna och navigera genom detaljer helt och hållet med ditt tangentbord. Det finns en tabell som visar vanliga kortkommandon här.

Hur lägger man till filter i Wireshark?

Verktygsfältet "Filter" är där du kan anpassa och köra nya visningsfilter.

För att skapa och redigera infångningsfilter, gå till "Hantera infångningsfilter" från bokmärkesmenyn eller navigera till "Fånga" och sedan "Fångstfilter" från huvudmenyn.

För att skapa och redigera visningsfilter, välj "Hantera visningsfilter" från bokmärkesmenyn eller gå till huvudmenyn och välj "Analysera" och sedan "Visa filter".

Du kommer att se en filterinmatningssektion med grön bakgrund. Det här är området där du anger och redigerar skärmfiltersträngar. Det är också här du kan se det aktuella filtret. Klicka bara på filternamnet eller dubbelklicka på strängen för att redigera den.

När du skriver kommer systemet att göra en systemkontroll av filtersträngen. Om du anger en ogiltig blir bakgrunden från grön till röd. Tryck alltid på knappen "Apply" eller "Enter" för att tillämpa filtersträngen.

Du kan lägga till ett nytt filter genom att klicka på knappen "Lägg till", som är ett svart plustecken på en ljusgrå bakgrund. Ett annat sätt att lägga till ett nytt filter är att högerklicka på filterknappsområdet. För att ta bort ett filter, klicka på minusknappen. Minusknappen kommer att vara nedtonad om det inte finns något filter valt.

Hur filtrerar jag efter IP-adress i Wireshark?

En utmärkt funktion hos Wireshark är att den låter dig filtrera paket efter IP-adresser. Följ bara stegen nedan för instruktioner om hur du gör det:

  1. Börja med att klicka på plusknappen för att lägga till ett nytt visningsfilter.

  2. Kör följande operation i filterrutan: ip.addr==[IP-adress] och tryck på Enter.

  3. Observera att Packet List Lane nu bara filtrerar trafiken som går till (destination) och från (källa) IP-adressen du angav.

  4. För att rensa filtret, klicka på knappen "Rensa" i verktygsfältet Filter.

Källa IP

Du kan begränsa paketvyn till de med särskilda käll-IP-adresser som visas i det filtret. Kör bara följande kommando i filterrutan och tryck på Enter:

ip.src == [IP-adress]

Destinations-IP

Du kan använda destinationsfilter för att begränsa paketvyn till de med en specifik destinations-IP som visas i filtret.

Kommandot är som följer:

ip.dst == [IP-adress]

Capture Filter vs. Display Filter

Wireshark stöder två filtreringsspråk: fånga filter och display filter. Den förstnämnda används för att filtrera samtidigt som paket hämtas. De senare filtren visade paket. Med visningsfilter kan du fokusera på paket du är intresserad av och dölja de som för närvarande inte är viktiga. Du kan visa paket baserat på flera faktorer:

  • Protokoll
  • Fältnärvaro
  • Fältvärden
  • Fältjämförelse

Visningsfilter använder en boolesk operatorsyntax och fält som beskriver paketen du filtrerar. När du väl har skapat några visningsfilter blir det lätt att skriva dem. Infångningsfilter är lite mindre intuitiva eftersom de är kryptiska.

Här är en översikt över varje filters funktioner och användningsområden:

Fånga filter:

  • De ställs in innan de börjar fånga trafik
  • Omöjligt att ändra under trafikupptagning
  • Används för att fånga in specifik trafiktyp

Visa filter:

  • De minskar antalet paket som visas i Wireshark
  • Kan anpassas under trafikfångst
  • Används för att dölja trafik för att bedöma specifika trafiktyper

Besök den här sidan för mer information om filtrering vid inspelning.

Ytterligare vanliga frågor

Hur filtrerar jag Wireshark efter URL?

Du kan söka efter givna HTTP-webbadresser i infångning i Wireshark genom att använda följande filtersträng:

http innehåller "[URL]. "

Observera att du inte kan använda operatorerna "innehåller" på atomfält (nummer, IP-adresser.)

Hur filtrerar jag Wireshark efter portnummer?

Du kan använda följande kommando för att filtrera Wireshark efter portnummer:

Tcp.port eq [portnummer].

Hur fungerar Wireshark?

Wireshark är ett verktyg för att sniffa nätverkspaket. Den analyserar nätverkspaket genom att ta en internetanslutning och registrera paket som reser över den. Det ger sedan användarna information om dessa paket, inklusive deras ursprung, destination, innehåll, protokoll, meddelanden, etc.

Går 007 på nätverkssniffning

Tack vare Wireshark behöver nätverksingenjörer och administratörer inte längre oroa sig för att missa diagnostiska verktyg för viktiga nätverksproblem. Programmets lättillgängliga och bekväma funktioner gör det mycket enklare att bedöma nätverkssårbarheter och utföra felsökning.

Efter att ha läst vår artikel bör du nu kunna se skillnaden mellan olika filteralternativ i programmet relaterade till IP-filtrering. Du lärde dig också de grundläggande stränguttrycken för filtrering efter IP och mycket mer. Förhoppningsvis kommer detta att hjälpa dig att lösa alla nätverksproblem du kan stöta på.

Vilka andra funktioner använder du ofta i Wireshark? Vad tror du får Wireshark att sticka ut från konkurrenterna? Dela dina tankar i kommentarsfältet nedan.