Wireshark vertegenwoordigt 's werelds meest gebruikte protocolanalysator. Door het te gebruiken, kunt u alles controleren wat er binnen uw netwerk gebeurt, verschillende problemen oplossen, uw netwerkverkeer analyseren en filteren met behulp van verschillende tools, enz.
Als je meer wilt weten over Wireshark en hoe je op poort kunt filteren, lees dan verder.
Wat is poortfiltering precies?
Poortfiltering vertegenwoordigt een manier om pakketten (berichten van verschillende netwerkprotocollen) te filteren op basis van hun poortnummer. Deze poortnummers worden gebruikt voor TCP- en UDP-protocollen, de bekendste protocollen voor verzending. Poortfiltering vertegenwoordigt een vorm van bescherming voor uw computer, aangezien u door poortfiltering ervoor kunt kiezen bepaalde poorten toe te staan of te blokkeren om verschillende bewerkingen binnen het netwerk te voorkomen.
Er is een goed ingeburgerd systeem van poorten die worden gebruikt voor verschillende internetdiensten, zoals bestandsoverdracht, e-mail, enz. In feite zijn er meer dan 65.000 verschillende poorten. Ze bestaan in de modus "toestaan" of "gesloten". Sommige toepassingen op internet kunnen deze poorten openen, waardoor uw computer meer wordt blootgesteld aan hackers en virussen.
Door Wireshark te gebruiken, kunt u verschillende pakketten filteren op basis van hun poortnummer. Waarom zou je dit willen doen? Omdat u op die manier alle pakketten kunt filteren die u om verschillende redenen niet op uw computer wilt hebben.
Wat zijn de belangrijke poorten?
Er zijn 65.535 poorten. Ze kunnen worden onderverdeeld in drie verschillende categorieën: poorten van 0 - 1023 zijn bekende poorten en ze zijn toegewezen aan algemene services en protocollen. Vervolgens zijn van 1024 tot 49151 geregistreerde poorten - ze worden door ICANN toegewezen aan een specifieke service. En openbare poorten zijn poorten van 49152-65535, ze kunnen door elke service worden gebruikt. Er worden verschillende poorten gebruikt voor verschillende protocollen.
Als je meer wilt weten over de meest voorkomende, bekijk dan de volgende lijst:
| Poortnummer | Servicenaam | Protocol |
| 20, 21 | Protocol voor bestandsoverdracht – FTP | TCP |
| 22 | Veilige shell - SSH | TCP en UDP |
| 23 | Telnet | TCP |
| 25 | Eenvoudig e-mailoverdrachtprotocol | TCP |
| 53 | Domeinnaamsysteem – DNS | TCP en UDP |
| 67/68 | Dynamic Host Configuration Protocol – DHCP | UDP |
| 80 | HyperText Transfer Protocol – HTTP | TCP |
| 110 | Postkantoorprotocol – POP3 | TCP |
| 123 | Netwerktijdprotocol – NTP | UDP |
| 143 | Internet Message Access Protocol (IMAP4) | TCP en UDP |
| 161/162 | Eenvoudig netwerkbeheerprotocol –SNMP | TCP en UDP |
| 443 | HTTP met Secure Sockets Layer – HTTPS (HTTP over SSL/TLS) | TCP |
Analyse in Wireshark
Het analyseproces in Wireshark staat voor het monitoren van verschillende protocollen en gegevens binnen een netwerk.
Voordat we beginnen met het analyseproces, moet u ervoor zorgen dat u het type verkeer weet dat u wilt analyseren en de verschillende soorten apparaten die verkeer uitzenden:
- Heeft u promiscue modus ondersteund? Als u dit doet, kan uw apparaat pakketten verzamelen die oorspronkelijk niet voor uw apparaat zijn bedoeld.
- Welke apparaten heb je in je netwerk? Het is belangrijk om in gedachten te houden dat verschillende soorten apparaten verschillende pakketten zullen verzenden.
- Welk type verkeer wilt u analyseren? Het type verkeer is afhankelijk van de apparaten in uw netwerk.
Weten hoe verschillende filters moeten worden gebruikt, is uiterst belangrijk voor het vastleggen van de beoogde pakketten. Deze filters worden gebruikt vóór het proces van het vastleggen van pakketten. Hoe werken ze? Door een specifiek filter in te stellen, verwijder je direct het verkeer dat niet aan de opgegeven criteria voldoet.
Binnen Wireshark wordt een syntaxis genaamd Berkley Packet Filter (BPF)-syntaxis gebruikt voor het maken van verschillende capture-filters. Aangezien dit de syntaxis is die het meest wordt gebruikt bij pakketanalyse, is het belangrijk om te begrijpen hoe het werkt.
De syntaxis van Berkley Packet Filter legt filters vast op basis van verschillende filterexpressies. Deze expressies bestaan uit een of meerdere primitieven, en primitieven bestaan uit een identifier (waarden of namen die je probeert te vinden in verschillende pakketten), gevolgd door een of meerdere qualifiers.
Kwalificaties kunnen worden onderverdeeld in drie verschillende soorten:
- Type - met deze kwalificaties specificeert u wat voor soort ding de identifier vertegenwoordigt. Typekwalificaties omvatten poort, net en host.
- Dir (richting) – deze kwalificaties worden gebruikt om een overdrachtsrichting te specificeren. Op die manier markeert "src" de bron en "dst" de bestemming.
- Proto (protocol) - met protocolkwalificaties kunt u het specifieke protocol specificeren dat u wilt vastleggen.
U kunt een combinatie van verschillende kwalificaties gebruiken om uw zoekopdracht uit te filteren. U kunt ook operators gebruiken: u kunt bijvoorbeeld de concatenatie-operator (&/and), negatie-operator (!/not), etc. gebruiken.
Hier zijn enkele voorbeelden van opnamefilters die u in Wireshark kunt gebruiken:
| Filters | Beschrijving |
| host 192.168.1.2 | Al het verkeer geassocieerd met 192.168.1.2 |
| tcp-poort 22 | Al het verkeer dat is gekoppeld aan poort 22 |
| src 192.168.1.2 | Al het verkeer afkomstig van 192.168.1.2 |
Het is mogelijk om capture-filters te maken in de protocolheadervelden. De syntaxis ziet er als volgt uit: proto[offset:size(optioneel)]=value. Hier vertegenwoordigt proto het protocol dat u wilt filteren, offset vertegenwoordigt de positie van de waarde in de kop van het pakket, de grootte vertegenwoordigt de lengte van de gegevens en waarde is de gegevens waarnaar u op zoek bent.
Filters weergeven in Wireshark
In tegenstelling tot opnamefilters, verwijderen weergavefilters geen pakketten, ze verbergen ze gewoon tijdens het bekijken. Dit is een goede optie, want als je eenmaal pakketten hebt weggegooid, kun je ze niet meer herstellen.
Displayfilters worden gebruikt om te controleren op de aanwezigheid van een bepaald protocol. Als u bijvoorbeeld pakketten wilt weergeven die een bepaald protocol bevatten, kunt u de naam van het protocol typen in de werkbalk "Display filter" van Wireshark.
Andere opties
Er zijn verschillende andere opties die u kunt gebruiken om pakketten in Wireshark te analyseren, afhankelijk van uw behoeften.
- Onder het venster "Statistieken" in Wireshark vindt u verschillende basishulpmiddelen die u kunt gebruiken om pakketten te analyseren. U kunt bijvoorbeeld de tool "Conversaties" gebruiken om het verkeer tussen twee verschillende IP-adressen te analyseren.
- In het venster "Expertinfo" kunt u de afwijkingen of ongebruikelijk gedrag binnen uw netwerk analyseren.
Filteren op poort in Wireshark
Filteren op poort in Wireshark is eenvoudig dankzij de filterbalk waarmee u een weergavefilter kunt toepassen.
Als u bijvoorbeeld poort 80 wilt filteren, typt u dit in de filterbalk: "tcp.poort == 80.” Wat je ook kunt doen, is typen "gelijk aan” in plaats van “==”, aangezien “eq” verwijst naar “gelijk”.
U kunt ook meerdere poorten tegelijk filteren. De || In dit geval worden tekens gebruikt.
Als u bijvoorbeeld poorten 80 en 443 wilt filteren, typt u dit in de filterbalk: "tcp.poort == 80 || tcp.poort == 443", of "tcp.port eq 80 || tcp.poort eq 443.”
Aanvullende veelgestelde vragen
Hoe filter ik Wireshark op IP-adres en poort?
Er zijn verschillende manieren waarop u Wireshark kunt filteren op IP-adres:
1. Als u geïnteresseerd bent in een pakket met een bepaald IP-adres, typt u dit in de filterbalk: "ip.adr == x.x.x.x.”
2. Als u geïnteresseerd bent in pakketten die van een bepaald IP-adres komen, typt u dit in de filterbalk: “ip.src == x.x.x.x.”
3. Als u geïnteresseerd bent in pakketten die naar een bepaald IP-adres gaan, typt u dit in de filterbalk: "ip.dst == x.x.x.x.”
Als je twee filters wilt toepassen, zoals IP-adres en poortnummer, bekijk dan het volgende voorbeeld: “ip.adr == 192.168.1.199.&&tcp.port eq 443.Aangezien "&&" symbolen voor "en" vertegenwoordigen, kunt u door dit te schrijven uw zoekopdracht filteren op IP-adres (192.168.1.199) en op poortnummer (tcp.port eq 443).
Hoe legt Wireshark poortverkeer vast?
Wireshark legt al het netwerkverkeer vast terwijl het gebeurt. Het zal al het poortverkeer vastleggen en u alle poortnummers in de specifieke verbindingen laten zien.
Als u de opname wilt starten, volgt u deze stappen:
1. Open "Wireshark".
2. Tik op "Vastleggen".
3. Selecteer "Interfaces".
4. Tik op "Start".
Als u zich op een specifiek poortnummer wilt concentreren, kunt u de filterbalk gebruiken.
Als u het vastleggen wilt stoppen, drukt u op '' Ctrl + E. ''
Wat is het opnamefilter voor een DHCP-optie?
De optie Dynamic Host Configuration Protocol (DHCP) vertegenwoordigt een soort netwerkbeheerprotocol. Het wordt gebruikt voor het automatisch toewijzen van IP-adressen aan apparaten die op het netwerk zijn aangesloten. Door een DHCP-optie te gebruiken, hoeft u verschillende apparaten niet handmatig te configureren.
Als u alleen de DHCP-pakketten in Wireshark wilt zien, typt u "bootp" in de filterbalk. Waarom boot? Omdat het de oudere versie van DHCP vertegenwoordigt en beide dezelfde poortnummers gebruiken - 67 en 68.
Waarom zou ik Wireshark gebruiken?
Het gebruik van Wireshark heeft tal van voordelen, waaronder:
1. Het is gratis - u kunt uw netwerkverkeer volledig gratis analyseren!
2. Het kan voor verschillende platforms worden gebruikt - u kunt Wireshark gebruiken op Windows, Linux, Mac, Solaris, enz.
3. Het is gedetailleerd - Wireshark biedt een diepgaande analyse van talrijke protocollen.
4. Het biedt live gegevens - deze gegevens kunnen worden verzameld uit verschillende bronnen zoals Ethernet, Token Ring, FDDI, Bluetooth, USB, enz.
5. Het wordt veel gebruikt - Wireshark is de meest populaire netwerkprotocolanalysator.
Wireshark bijt niet!
Nu heb je meer geleerd over Wireshark, de mogelijkheden en filteropties. Als u er zeker van wilt zijn dat u elk type netwerkproblemen kunt oplossen en identificeren of de gegevens die in en uit uw netwerk komen kunt inspecteren, zodat u het veilig kunt houden, moet u Wireshark zeker proberen.
Heb je ooit Wireshark gebruikt? Vertel ons erover in de commentaarsectie hieronder.