Jak filtrować według portu w Wireshark

Jak filtrować według portu w Wireshark

Co to jest filtrowanie portów?

Filtrowanie portów to sposób filtrowania pakietów na podstawie numeru portu. Aby dowiedzieć się więcej o filtrze IP w Wireshark, podążaj poniżej linku:
https: // linuxhint.com/filtr_by_ip_wireshark/

Intencja artykułu:

W tym artykule postaramy się zrozumieć kilka dobrze znanych portów poprzez analizę Wireshark.

Jakie są ważne porty?

Istnieje wiele rodzajów portów. Oto podsumowanie:

  • Porty od 0 do 1023 to dobrze znane porty.
  • Porty 1024 do 49151 to porty zarejestrowane.
  • Porty 49152 do 65535 to porty publiczne.

Analiza w Wireshark:

Zanim użyjemy filtra w Wireshark, powinniśmy wiedzieć, jaki port jest używany, do którego protokołu. Oto kilka przykładów:

Protokół [aplikacja] Numer portu
TCP [HTTP] 80
TCP [dane FTP] 20
TCP [Control FTP] 21
TCP/UDP [Telnet] 23
TCP/UDP [DNS] 53
UDP [DHCP] 67,68
TCP [https] 443

1. Port 80: Port 80 jest używany przez HTTP. Zobaczmy jedno przechwytywanie pakietów HTTP.

Tutaj 192.168.1.6 próbuje uzyskać dostęp do serwera internetowego, w którym działa serwer HTTP. Więc port docelowy powinien być portem 80. Teraz umieściliśmy „TCP.port == 80 ” jako filtr Wireshark i zobacz tylko pakiety, w których port ma 80.

Oto zrzut ekranu wyjaśnień

2. Port 53: Port 53 jest używany przez DNS. Zobaczmy jedno przechwytywanie pakietu DNS.

Tutaj 192.168.1.6 próbuje wysłać zapytanie DNS. Więc port docelowy powinien być port 53. Teraz umieściliśmy „UDP.port == 53 ” jako filtr Wireshark i zobacz tylko pakiety, w których port ma 53.

3. Port 443: Port 443 jest używany przez HTTPS. Zobaczmy jedno przechwytywanie pakietów HTTPS.

Teraz umieściliśmy „TCP.port == 443 ” jako filtr Wireshark i zobacz tylko pakiety HTTPS.

Oto wyjaśnienie z ekranem

4. Port publiczny/zarejestrowany:

Kiedy uruchamiamy tylko UDP za pośrednictwem IPERF, możemy zobaczyć, jak porty źródłowe i docelowe są używane z zarejestrowanych/publicznych portów.

Oto zrzut ekranu z wyjaśnieniem

5. Port 67, 68: Port 67,68 jest używany przez DHCP. Zobaczmy jedno przechwytywanie pakietów DHCP.

Teraz umieściliśmy „UDP.dStport == 67 || UDP.dStport == 68 ” jako filtr Wireshark i zobacz tylko pakiety związane z DHCP.

Oto wyjaśnienie z ekranem

Streszczenie:

Do filtrowania portów w Wireshark należy znać numer portu.

W przypadku, gdy nie ma stałego portu, system używa zarejestrowanych lub publicznych portów. Filtr portów ułatwi analizę do wyświetlania wszystkich pakietów do wybranego portu.