Wireshark representerar världens mest använda protokollanalysator. Genom att använda det kan du kontrollera allt som händer i ditt nätverk, felsöka olika problem, analysera och filtrera din nätverkstrafik med hjälp av olika verktyg, etc.
Om du vill lära dig mer om Wireshark och hur du filtrerar efter port, se till att du fortsätter läsa.
Exakt vad är portfiltrering?
Portfiltrering representerar ett sätt att filtrera paket (meddelanden från olika nätverksprotokoll) baserat på deras portnummer. Dessa portnummer används för TCP- och UDP-protokoll, de mest kända protokollen för överföring. Portfiltrering representerar en form av skydd för din dator eftersom du genom portfiltrering kan välja att tillåta eller blockera vissa portar för att förhindra olika operationer inom nätverket.
Det finns ett väletablerat system av portar som används för olika internettjänster, som filöverföring, e-post etc. Det finns faktiskt över 65 000 olika portar. De finns i tillåtet eller stängt läge. Vissa applikationer på internet kan öppna dessa portar, vilket gör din dator mer utsatt för hackare och virus.
Genom att använda Wireshark kan du filtrera olika paket baserat på deras portnummer. Varför skulle du vilja göra det här? För på det sättet kan du filtrera bort alla paket du inte vill ha i din dator av olika anledningar.
Vilka är de viktiga hamnarna?
Det finns 65 535 portar. De kan delas in i tre olika kategorier: portar från 0 – 1023 är välkända portar och de är tilldelade vanliga tjänster och protokoll. Sedan är från 1024 till 49151 registrerade portar – de tilldelas av ICANN till en specifik tjänst. Och offentliga hamnar är hamnar från 49152-65535, de kan användas av alla tjänster. Olika portar används för olika protokoll.
Om du vill lära dig mer om de vanligaste, kolla in följande lista:
| Portnummer | Service namn | Protokoll |
| 20, 21 | Filöverföringsprotokoll – FTP | TCP |
| 22 | Säkert skal – SSH | TCP och UDP |
| 23 | Telnet | TCP |
| 25 | Simple Mail Transfer Protocol | TCP |
| 53 | Domännamnssystem – DNS | TCP och UDP |
| 67/68 | Dynamic Host Configuration Protocol – DHCP | UDP |
| 80 | HyperText Transfer Protocol – HTTP | TCP |
| 110 | Post Office Protocol – POP3 | TCP |
| 123 | Network Time Protocol – NTP | UDP |
| 143 | Internet Message Access Protocol (IMAP4) | TCP och UDP |
| 161/162 | Enkelt nätverkshanteringsprotokoll – SNMP | TCP och UDP |
| 443 | HTTP med Secure Sockets Layer – HTTPS (HTTP över SSL/TLS) | TCP |
Analys i Wireshark
Analysprocessen i Wireshark representerar övervakning av olika protokoll och data i ett nätverk.
Innan vi börjar med analysprocessen, se till att du vet vilken typ av trafik du vill analysera och olika typer av enheter som avger trafik:
- Har du stöd för promiskuöst läge? Om du gör det kommer detta att tillåta din enhet att samla in paket som inte ursprungligen är avsedda för din enhet.
- Vilka enheter har du i ditt nätverk? Det är viktigt att komma ihåg att olika typer av enheter sänder olika paket.
- Vilken typ av trafik vill du analysera? Typen av trafik beror på enheterna i ditt nätverk.
Att veta hur man använder olika filter är extremt viktigt för att fånga de avsedda paketen. Dessa filter används före processen för paketfångning. Hur fungerar de? Genom att sätta ett specifikt filter tar du omedelbart bort den trafik som inte uppfyller de givna kriterierna.
hur ser jag min Facebook-profil som någon annan
Inom Wireshark används en syntax som kallas Berkley Packet Filter (BPF) syntax för att skapa olika fångstfilter. Eftersom detta är den syntax som oftast används i paketanalys, är det viktigt att förstå hur det fungerar.
Berkley Packet Filter-syntax fångar filter baserade på olika filtreringsuttryck. Dessa uttryck består av en eller flera primitiver, och primitiver består av en identifierare (värden eller namn som du försöker hitta inom olika paket), följt av en eller flera kvalificerare.
Kvalificerade kan delas in i tre olika typer:
- Typ – med dessa kvalificerare anger du vilken typ av sak identifieraren representerar. Typkvalificerare inkluderar port, net och host.
- Dir (riktning) – dessa kvalificeringar används för att ange en överföringsriktning. På det sättet markerar src källan och dst markerar destinationen.
- Proto (protokoll) – med protokollkvalificerare kan du ange det specifika protokoll du vill fånga.
Du kan använda en kombination av olika kvalificeringar för att filtrera bort din sökning. Du kan också använda operatorer: till exempel kan du använda sammanlänkningsoperatorn (&/and), negationsoperator (!/not), etc.
Här är några exempel på fångstfilter du kan använda i Wireshark:
| Filter | Beskrivning |
| värd 192.168.1.2 | All trafik i samband med 192.168.1.2 |
| tcp port 22 | All trafik associerad med port 22 |
| src 192.168.1.2 | All trafik med ursprung från 192.168.1.2 |
Det är möjligt att skapa fångstfilter i protokollhuvudfälten. Syntaxen ser ut så här: proto[offset:storlek(valfritt)]=värde. Här representerar proto protokollet du vill filtrera, offset representerar positionen för värdet i paketets rubrik, storleken representerar längden på datan och värdet är den data du letar efter.
Visa filter i Wireshark
Till skillnad från fångstfilter kasserar inte visningsfilter några paket, de gömmer dem helt enkelt medan de tittar. Detta är ett bra alternativ eftersom när du väl kasserar paket kommer du inte att kunna återställa dem.
Visningsfilter används för att kontrollera förekomsten av ett visst protokoll. Om du till exempel vill visa paket som innehåller ett visst protokoll kan du skriva in namnet på protokollet i Wiresharks verktygsfält för Displayfilter.
Andra alternativ
Det finns flera andra alternativ du kan använda för att analysera paket i Wireshark, beroende på dina behov.
- Under statistikfönstret i Wireshark kan du hitta olika grundläggande verktyg du kan använda för att analysera paket. Du kan till exempel använda verktyget Conversations för att analysera trafiken mellan två olika IP-adresser.
- Under fönstret Expertinformation kan du analysera avvikelserna eller ovanliga beteendet i ditt nätverk.
Filtrering efter port i Wireshark
Filtrering efter port i Wireshark är enkelt tack vare filterfältet som låter dig använda ett visningsfilter.
Till exempel, om du vill filtrera port 80, skriv detta i filterfältet: |_+_|. Vad du också kan göra är att skriva |_+_| istället för ==, eftersom ekv hänvisar till lika.
Du kan också filtrera flera portar samtidigt. Den || tecken används i detta fall.
Om du till exempel vill filtrera portarna 80 och 443, skriv detta i filterfältet: |_+_|, eller |_+_|.
Ytterligare vanliga frågor
Hur filtrerar jag Wireshark efter IP-adress och port?
Det finns flera sätt på vilka du kan filtrera Wireshark efter IP-adress:
1. Om du är intresserad av ett paket med en viss IP-adress, skriv detta i filterfältet: |_+_|
2. Om du är intresserad av paket som kommer från en viss IP-adress, skriv detta i filterfältet: |_+_|
Windows 10 avloggningsgenväg
3. Om du är intresserad av att paket går till en viss IP-adress, skriv detta i filterfältet: |_+_|
Om du vill använda två filter, som IP-adress och portnummer, kolla in nästa exempel: |_+_| Eftersom && representerar symboler för och, genom att skriva detta, kan du filtrera din sökning efter IP-adress (192.168.1.199) och efter portnummer (tcp.port eq 443).
Hur fångar Wireshark hamntrafik?
Wireshark fångar upp all nätverkstrafik när den händer. Den kommer att fånga all porttrafik och visa dig alla portnummer i de specifika anslutningarna.
Om du vill starta inspelningen, följ dessa steg:
1. Öppna Wireshark.
2. Tryck på Fånga.
3. Välj Gränssnitt.
4. Tryck på Start.
hur man gör en Windows-bärbar dator till en Chromebook
Om du vill fokusera på ett specifikt portnummer kan du använda filterfältet.
När du vill stoppa infångningen, tryck ''Ctrl + E.''
Vad är infångningsfiltret för ett DHCP-alternativ?
Alternativet Dynamic Host Configuration Protocol (DHCP) representerar ett slags nätverkshanteringsprotokoll. Den används för att automatiskt tilldela IP-adresser till enheter som är anslutna till nätverket. Genom att använda ett DHCP-alternativ behöver du inte konfigurera olika enheter manuellt.
Om du bara vill se DHCP-paketen i Wireshark, skriv bootp i filterfältet. Varför bootp? Eftersom det representerar den äldre versionen av DHCP, och de båda använder samma portnummer – 67 och 68.
Varför ska jag använda Wireshark?
Att använda Wireshark har många fördelar, varav några är:
1. Det är gratis – du kan analysera din nätverkstrafik helt gratis!
2. Den kan användas för olika plattformar – du kan använda Wireshark på Windows, Linux, Mac, Solaris, etc.
3. Det är detaljerat – Wireshark erbjuder en djup analys av många protokoll.
4. Den erbjuder livedata – denna data kan samlas in från olika källor som Ethernet, Token Ring, FDDI, Bluetooth, USB, etc.
5. Det används flitigt – Wireshark är den mest populära analysatorn för nätverksprotokoll.
Wireshark biter inte!
Nu har du lärt dig mer om Wireshark, dess förmågor och filtreringsalternativ. Om du vill vara säker på att du kan felsöka och identifiera alla typer av nätverksproblem eller inspektera data som kommer in och ut ur ditt nätverk och på så sätt hålla det säkert, bör du definitivt prova Wireshark.
Har du någonsin använt Wireshark? Berätta om det i kommentarsfältet nedan.