Cách lọc theo IP trong Wireshark

Quản trị viên mạng gặp phải nhiều sự cố mạng khi thực hiện công việc của họ. Bất cứ khi nào có hành động đáng ngờ hoặc cần đánh giá một phân đoạn mạng cụ thể, các công cụ phân tích giao thức như Wireshark có thể hữu ích. Một tính năng đặc biệt hữu ích là lọc các gói mạng theo địa chỉ IP.

Cách lọc theo IP trong Wireshark

Nếu là người dùng lần đầu, bạn có thể thấy hơi khó khăn khi tự định cấu hình các bước để làm như vậy. May mắn thay, chúng tôi đã tổng hợp hướng dẫn cuối cùng này về cách lọc theo IP trong Wireshark. Bạn sẽ biết được sự khác biệt giữa hai ngôn ngữ lọc, học các chuỗi bộ lọc mới và hơn thế nữa.

Điều tốt nhất là bạn sẽ chỉ cần hỗ trợ trong việc thực hiện các bước này trong lần đầu tiên. Mỗi màn trình diễn sau đây sẽ là một miếng bánh!

Wireshark là gì?

Wireshark là một trình phân tích gói mạng thống trị không gian ngành trong một thời gian khá dài. Thật tuyệt vời cho đến thời điểm có nhiều công cụ tương tự, bao gồm Microsoft Network Monitor. Hai tính năng chính làm nên sự nổi tiếng của Wireshark là tính linh hoạt và dễ sử dụng.

Máy phân tích gói mạng là công cụ nắm bắt và phân tích lưu lượng dữ liệu càng chi tiết càng tốt trong các kênh truyền thông cụ thể. Chúng đóng vai trò là công cụ chẩn đoán cuối cùng cho các hệ thống nhúng.

Wireshark đi kèm với khả năng lọc gói tin hàng đầu trong quá trình chụp và phân tích với các mức độ phức tạp khác nhau. Điều này làm cho nó thuận tiện như nhau cho những người lần đầu tiên cũng như cho các chuyên gia giám sát mạng. Wireshark cũng nhập và phân tích lưu lượng truy cập từ nhiều trình phân tích giao thức khác nhau, giúp bạn dễ dàng xem lại lưu lượng truy cập trong quá khứ tại các thời điểm cụ thể trong quá khứ.

Trước Wireshark, các công cụ theo dõi mạng từng rất đắt tiền hoặc thuộc sở hữu độc quyền. Tất cả đã thay đổi với sự ra đời của ứng dụng này. Phần mềm là mã nguồn mở và hỗ trợ tất cả các nền tảng chính. Điều này đã mang lại cho Wireshark rất nhiều sự hỗ trợ của cộng đồng, giúp loại bỏ chi phí như một rào cản và tạo ra nhiều cơ hội đào tạo.

Đây là lý do tại sao mọi người có thể muốn sử dụng Wireshark:

  • Khắc phục sự cố mạng
  • Kiểm tra các vấn đề bảo mật
  • Kiểm tra các ứng dụng mạng
  • Gỡ lỗi triển khai giao thức
  • Tìm hiểu về nội bộ giao thức mạng

Wireshark được tải xuống miễn phí. Trong trường hợp bạn vẫn chưa thực hiện được, bạn có thể làm như vậy tại đây. Chỉ cần tải xuống tệp thực thi và nhấp vào tệp để cài đặt nó.

Giao diện người dùng Wireshark

Sau khi tải xuống và cài đặt Wireshark, bạn có thể truy cập nó từ trình quản lý cửa sổ hoặc trình bao cục bộ của mình. Một trong những điều đầu tiên bạn phải làm là chọn một giao diện mạng trong danh sách các mạng trên bộ điều hợp máy tính của bạn.

Bạn có thể nhấp vào “Chụp”, sau đó nhấp vào “Giao diện” từ menu và chọn tùy chọn thích hợp.

Cửa sổ chính trong giao diện Wireshark bao gồm một số phần:

  • Menu - được sử dụng để bắt đầu các hành động
  • Thanh công cụ chính - truy cập nhanh vào các mục bạn thường sử dụng từ menu
  • Thanh công cụ bộ lọc - bạn có thể đặt bộ lọc hiển thị tại đây
  • Ngăn danh sách gói - tóm tắt gói đã chụp
  • Ngăn chi tiết - thông tin thêm về gói đã chọn từ làn gói
  • Ngăn byte - dữ liệu từ gói ngăn danh sách gói, đánh dấu trường đã chọn trong ngăn đó
  • Thanh trạng thái - dữ liệu được thu thập và thông tin trạng thái chương trình đang diễn ra

Bạn có thể kiểm soát danh sách gói và điều hướng qua các chi tiết hoàn toàn bằng bàn phím của mình. Có một bảng hiển thị các lệnh tắt bàn phím phổ biến ở đây.

Làm thế nào để thêm bộ lọc trong Wireshark?

Thanh công cụ “Bộ lọc” là nơi bạn có thể tùy chỉnh và chạy các bộ lọc hiển thị mới.

Để tạo và chỉnh sửa bộ lọc chụp, hãy chuyển đến “Quản lý bộ lọc chụp” từ menu dấu trang hoặc điều hướng đến “Chụp”, sau đó chuyển đến “Bộ lọc chụp” từ menu chính.

Để tạo và chỉnh sửa bộ lọc hiển thị, hãy chọn “Quản lý bộ lọc hiển thị” từ menu dấu trang hoặc chuyển đến menu chính và chọn “Phân tích”, sau đó chọn “Bộ lọc hiển thị”.

Bạn sẽ thấy phần đầu vào bộ lọc có nền màu xanh lục. Đây là khu vực bạn nhập và chỉnh sửa các chuỗi bộ lọc hiển thị. Đây cũng là nơi bạn có thể thấy bộ lọc hiện đang được áp dụng. Chỉ cần nhấp vào tên bộ lọc hoặc nhấp đúp vào chuỗi để chỉnh sửa nó.

Khi bạn viết, hệ thống sẽ thực hiện kiểm tra hệ thống đối với chuỗi bộ lọc. Nếu bạn nhập một không hợp lệ, nền sẽ chuyển từ màu xanh lá cây sang màu đỏ. Luôn nhấn nút “Áp dụng” hoặc phím “Enter” để áp dụng chuỗi bộ lọc.

Bạn có thể thêm bộ lọc mới bằng cách nhấp vào nút “Thêm”, là một dấu cộng màu đen trên nền xám nhạt. Một cách khác để thêm bộ lọc mới là nhấp chuột phải vào khu vực nút bộ lọc. Để xóa một bộ lọc, hãy nhấp vào nút dấu trừ. Nút dấu trừ sẽ chuyển sang màu xám nếu không có bộ lọc nào được chọn.

Làm thế nào để lọc theo địa chỉ IP trong Wireshark?

Một tính năng tuyệt vời của Wireshark là nó cho phép bạn lọc các gói tin theo địa chỉ IP. Chỉ cần làm theo các bước bên dưới để được hướng dẫn về cách làm như vậy:

  1. Bắt đầu bằng cách nhấp vào nút dấu cộng để thêm bộ lọc hiển thị mới.

  2. Chạy thao tác sau trong hộp Bộ lọc: ip.addr == [địa chỉ IP] và nhấn Enter.

  3. Lưu ý rằng làn đường danh sách gói bây giờ chỉ lọc lưu lượng truy cập đến (đích) và từ (nguồn) địa chỉ IP bạn đã nhập.

  4. Để xóa bộ lọc, hãy nhấp vào nút “Xóa” trên thanh công cụ Bộ lọc.

IP nguồn

Bạn có thể giới hạn chế độ xem gói đối với những người có địa chỉ IP nguồn cụ thể xuất hiện trong bộ lọc đó. Chỉ cần chạy lệnh sau trong hộp bộ lọc và nhấn Enter:

ip.src == [địa chỉ IP]

IP đích

Bạn có thể áp dụng bộ lọc đích để hạn chế chế độ xem gói đối với những người có IP đích cụ thể hiển thị trong bộ lọc.

Lệnh như sau:

ip.dst == [địa chỉ IP]

Bộ lọc Chụp so với Bộ lọc hiển thị

Wireshark hỗ trợ hai ngôn ngữ lọc: bộ lọc chụp và bộ lọc hiển thị. Trước đây được sử dụng để lọc trong khi bắt các gói tin. Các bộ lọc sau này đã hiển thị các gói tin. Với bộ lọc hiển thị, bạn có thể tập trung vào các gói mà bạn quan tâm và ẩn những gói hiện không quan trọng. Bạn có thể hiển thị các gói dựa trên một số yếu tố:

  • Giao thức
  • Hiện diện trường
  • Giá trị trường
  • So sánh hiện trường

Bộ lọc hiển thị sử dụng cú pháp toán tử boolean và các trường mô tả các gói bạn đang lọc. Khi bạn tạo một vài bộ lọc hiển thị, việc viết chúng trở nên dễ dàng. Các bộ lọc chụp kém trực quan hơn một chút vì chúng khó hiểu.

Dưới đây là tổng quan về các tính năng và công dụng của từng bộ lọc:

Chụp bộ lọc:

  • Chúng được đặt trước khi bắt đầu nắm bắt lưu lượng truy cập
  • Không thể thay đổi trong quá trình nắm bắt giao thông
  • Được sử dụng để thu thập loại lưu lượng truy cập cụ thể

Bộ lọc hiển thị:

  • Họ giảm các gói đang hiển thị trong Wireshark
  • Có thể được tùy chỉnh trong khi thu thập lưu lượng truy cập
  • Được sử dụng để ẩn lưu lượng truy cập để đánh giá các loại lưu lượng truy cập cụ thể

Để biết thêm thông tin về cách lọc trong khi chụp, hãy truy cập trang này.

Câu hỏi thường gặp bổ sung

Làm cách nào để lọc Wireshark theo URL?

Bạn có thể tìm kiếm các URL HTTP nhất định được chụp trong Wireshark bằng cách sử dụng chuỗi bộ lọc sau:

http chứa “[URL]. “

Lưu ý rằng bạn không thể sử dụng toán tử “chứa” trên các trường nguyên tử (số, địa chỉ IP.)

Làm cách nào để lọc Wireshark theo số cổng?

Bạn có thể sử dụng lệnh sau để lọc Wireshark theo số cổng:

Tcp.port eq [số cổng].

Wireshark hoạt động như thế nào?

Wireshark là một công cụ dò tìm gói mạng. Nó phân tích các gói mạng bằng cách sử dụng kết nối internet và đăng ký các gói truyền qua nó. Sau đó, nó cung cấp cho người dùng thông tin về các gói đó, bao gồm nguồn gốc, điểm đến, nội dung, giao thức, thông điệp, v.v.

Tham gia 007 trên Network Sniffing

Nhờ có Wireshark, các kỹ sư và quản trị viên mạng không phải lo lắng về việc bỏ lỡ các công cụ chẩn đoán cho các sự cố mạng quan trọng nữa. Các tính năng dễ dàng truy cập và tiện lợi của chương trình giúp việc đánh giá các lỗ hổng mạng và thực hiện khắc phục sự cố trở nên đơn giản hơn nhiều.

Sau khi đọc bài viết của chúng tôi, bây giờ bạn sẽ có thể biết sự khác biệt giữa các tùy chọn bộ lọc khác nhau trong chương trình liên quan đến lọc IP. Bạn cũng đã học các biểu thức chuỗi cơ bản để lọc theo IP và hơn thế nữa. Hy vọng rằng, điều này sẽ giúp giải quyết bất kỳ vấn đề mạng nào bạn có thể gặp phải.

Bạn thường sử dụng những tính năng nào khác trong Wireshark? Bạn nghĩ điều gì khiến Wireshark nổi bật so với đối thủ? Chia sẻ ý kiến ​​của bạn bằng cách bình luận xuống dưới.