Hoe te filteren op IP in Wireshark

Netwerkbeheerders komen tijdens hun werk een breed scala aan netwerkproblemen tegen. Wanneer er een verdachte actie is of een bepaald netwerksegment moet worden geëvalueerd, kunnen hulpprogramma's voor protocolanalisten zoals Wireshark van pas komen. Een bijzonder handige functie is het filteren van netwerkpakketten op IP-adressen.

Hoe te filteren op IP in Wireshark

Als u voor het eerst een gebruiker bent, vindt u het misschien een beetje een uitdaging om de stappen hiervoor zelf te configureren. Gelukkig hebben we deze ultieme gids samengesteld voor het filteren op IP in Wireshark. U loopt weg en kent het verschil tussen de twee filtertalen, leert nieuwe filterreeksen en nog veel meer.

Het beste is dat je alleen de eerste keer hulp nodig hebt bij het uitvoeren van deze stappen. Elk volgend optreden wordt een fluitje van een cent!

Wat is Wireshark?

Wireshark is een netwerkpakketanalysator die al geruime tijd de industrie domineert. Het was geweldig tot het punt dat veel vergelijkbare tools, waaronder de Microsoft Network Monitor, op de plank kwamen. De twee belangrijkste kenmerken die Wireshark beroemd hebben gemaakt, zijn de flexibiliteit en het gebruiksgemak.

Netwerkpakketanalysers zijn tools die dataverkeer in specifieke communicatiekanalen zo gedetailleerd mogelijk vastleggen en analyseren. Ze dienen als ultieme diagnostische hulpmiddelen voor embedded systemen.

Wireshark wordt geleverd met de eersteklas mogelijkheid om pakketten te filteren tijdens het vastleggen en bij analyse met verschillende complexiteitsniveaus. Dit maakt het even handig voor beginners als voor professionals op het gebied van netwerkbewaking. Wireshark neemt ook verkeer op van verschillende andere protocolanalysatoren en analyseert het, waardoor het eenvoudig is om eerder verkeer op specifieke tijden in het verleden te bekijken.

Vóór Wireshark waren netwerktrackingtools erg duur of eigendom. Dat veranderde allemaal met de komst van deze app. De software is open-source en ondersteunt alle grote platforms. Dit leverde Wireshark veel steun van de gemeenschap op, wat de kosten als een barrière deed afnemen en ruimte maakte voor een breed scala aan trainingsmogelijkheden.

Dit is waarom mensen Wireshark misschien willen gebruiken:

  • Netwerkproblemen oplossen
  • Beveiligingsproblemen onderzoeken
  • Netwerktoepassingen onderzoeken
  • Debuggen van protocolimplementaties
  • Leren over interne netwerkprotocollen

Wireshark is gratis te downloaden. Als je dat nog niet hebt gedaan, kun je dat hier doen. Download het uitvoerbare bestand en klik op het bestand om het te installeren.

De Wireshark-gebruikersinterface

Na het downloaden en installeren van Wireshark, kunt u het openen vanuit uw lokale shell- of windowmanager. Een van de eerste dingen die u moet doen, is een netwerkinterface kiezen uit de lijst met netwerken op uw computeradapters.

U kunt in het menu op "Capture" en vervolgens op "Interfaces" klikken en de juiste optie kiezen.

Het hoofdvenster in de Wireshark-interface bestaat uit verschillende delen:

  • Menu – gebruikt om acties te starten
  • Hoofdwerkbalk – snelle toegang tot items die u vaak gebruikt vanuit het menu
  • Filterwerkbalk – u kunt hier weergavefilters instellen
  • Deelvenster Pakketlijst - samenvattingen van vastgelegde pakketten
  • Detailvenster - meer informatie over het geselecteerde pakket uit de pakketbaan
  • Bytes-paneel – gegevens uit het pakket van het pakketlijstpaneel, waarbij het gekozen veld in dat paneel wordt gemarkeerd
  • Statusbalk - vastgelegde gegevens en lopende programmastatusinformatie

U kunt de pakketlijsten beheren en volledig met uw toetsenbord door details navigeren. Er is hier een tabel met veelvoorkomende sneltoetsopdrachten.

Hoe filters toevoegen in Wireshark?

In de werkbalk "Filter" kunt u nieuwe weergavefilters aanpassen en uitvoeren.

Om opnamefilters te maken en te bewerken, ga je naar “Opnamefilters beheren” in het bladwijzermenu of navigeer je naar “Opname” en vervolgens “Opnamefilters” in het hoofdmenu.

Als u weergavefilters wilt maken en bewerken, selecteert u 'Beheer weergavefilters' in het bladwijzermenu of gaat u naar het hoofdmenu en selecteert u 'Analyseren' en vervolgens 'Weergavefilters'.

U ziet een filterinvoergedeelte met een groene achtergrond. Dit is het gebied waar u tekenreeksen voor weergavefilters invoert en bewerkt. Hier kunt u ook het momenteel toegepaste filter zien. Klik eenvoudig op de filternaam of dubbelklik op de tekenreeks om deze te bewerken.

Terwijl u schrijft, voert het systeem een ​​systeemcontrole uit van de filterreeks. Als u een ongeldige invoert, verandert de achtergrond van groen in rood. Druk altijd op de knop "Toepassen" of de "Enter"-toets om de filterreeks toe te passen.

U kunt een nieuw filter toevoegen door op de knop "Toevoegen" te klikken, dit is een zwart plusteken op een lichtgrijze achtergrond. Een andere manier om een ​​nieuw filter toe te voegen, is door met de rechtermuisknop op het gebied met de filterknop te klikken. Om een ​​filter te verwijderen, klik op de min-knop. De min-knop wordt grijs weergegeven als er geen filter is geselecteerd.

Hoe te filteren op IP-adres in Wireshark?

Een uitstekende eigenschap van Wireshark is dat je pakketten kunt filteren op IP-adressen. Volg gewoon de onderstaande stappen voor instructies over hoe u dit moet doen:

  1. Begin door op de plusknop te klikken om een ​​nieuw weergavefilter toe te voegen.

  2. Voer de volgende bewerking uit in het vak Filter: ip.addr==[IP-adres] en druk op Enter.

  3. Merk op dat de Packet List Lane nu alleen het verkeer filtert dat naar (bestemming) en van (bron) het IP-adres gaat dat je hebt ingevoerd.

  4. Om het filter te wissen, klikt u op de knop "Wissen" in de werkbalk Filter.

Bron IP

U kunt de pakketweergave beperken tot die met bepaalde bron-IP-adressen die in dat filter verschijnen. Voer gewoon de volgende opdracht uit in het filtervak ​​en druk op Enter:

ip.src == [IP-adres]

Destination IP

U kunt bestemmingsfilters toepassen om de pakketweergave te beperken tot die met een specifiek bestemmings-IP dat in het filter wordt weergegeven.

De opdracht is als volgt:

ip.dst == [IP-adres]

Opnamefilter versus weergavefilter

Wireshark ondersteunt twee filtertalen: opnamefilters en weergavefilters. De eerste wordt gebruikt voor het filteren tijdens het vastleggen van pakketten. De laatste filters weergegeven pakketten. Met weergavefilters kunt u zich concentreren op pakketten waarin u geïnteresseerd bent en de pakketten die momenteel niet belangrijk zijn, verbergen. U kunt pakketten weergeven op basis van verschillende factoren:

  • Protocol
  • Aanwezigheid in het veld
  • Veldwaarden
  • Veldvergelijking

Weergavefilters gebruiken een booleaanse operatorsyntaxis en velden die de pakketten beschrijven die u filtert. Nadat u een paar weergavefilters hebt gemaakt, wordt het gemakkelijk om ze te schrijven. Opnamefilters zijn iets minder intuïtief omdat ze cryptisch zijn.

Hier is een overzicht van de functies en het gebruik van elk filter:

Opnamefilters:

  • Ze worden ingesteld voordat het verkeer wordt geregistreerd
  • Onmogelijk om te wijzigen tijdens het vastleggen van verkeer
  • Gebruikt voor het vastleggen van specifiek verkeerstype

Weergavefilters:

  • Ze verminderen de pakketten die worden weergegeven in Wireshark
  • Kan worden aangepast tijdens het vastleggen van verkeer
  • Wordt gebruikt om verkeer te verbergen om specifieke verkeerstypen te beoordelen

Bezoek deze pagina voor meer informatie over filteren tijdens het vastleggen.

Aanvullende veelgestelde vragen

Hoe filter ik Wireshark op URL?

U kunt zoeken naar bepaalde HTTP-URL's die zijn vastgelegd in Wireshark met behulp van de volgende filterreeks:

http bevat “[URL]. “

Merk op dat u de operatoren "bevat" niet kunt gebruiken op atomaire velden (getallen, IP-adressen.)

Hoe filter ik Wireshark op poortnummer?

U kunt de volgende opdracht gebruiken om Wireshark op poortnummer te filteren:

Tcp.port eq [poortnummer].

Hoe werkt Wireshark?

Wireshark is een tool voor het snuiven van netwerkpakketten. Het analyseert netwerkpakketten door een internetverbinding te nemen en pakketten te registreren die eroverheen reizen. Het geeft de gebruikers vervolgens de informatie over die pakketten, inclusief hun oorsprong, bestemming, inhoud, protocollen, berichten, enz.

Gaan 007 op netwerksnuiven

Dankzij Wireshark hoeven netwerkingenieurs en beheerders zich geen zorgen meer te maken dat ze diagnostische tools voor essentiële netwerkproblemen mislopen. De gemakkelijk toegankelijke en handige functies van het programma maken het veel eenvoudiger om netwerkkwetsbaarheden te beoordelen en probleemoplossing uit te voeren.

Na het lezen van ons artikel zou je nu het verschil moeten kunnen zien tussen verschillende filteropties in het programma met betrekking tot IP-filtering. Je hebt ook de basistekenreeksexpressies geleerd voor filteren op IP en nog veel meer. Hopelijk helpt dit bij het oplossen van alle netwerkproblemen die u mogelijk tegenkomt.

Welke andere functies gebruik je vaak in Wireshark? Wat denk je dat Wireshark onderscheidt van de concurrentie? Deel uw mening in de opmerkingen hieronder.