Come filtrare per porta con Wireshark

Wireshark rappresenta l'analizzatore di protocollo più utilizzato al mondo. Usandolo, puoi controllare tutto ciò che sta succedendo all'interno della tua rete, risolvere diversi problemi, analizzare e filtrare il tuo traffico di rete utilizzando vari strumenti, ecc.

Se vuoi saperne di più su Wireshark e su come filtrare per porta, assicurati di continuare a leggere.

Che cos'è esattamente il filtro delle porte?

Il filtraggio delle porte rappresenta un modo per filtrare i pacchetti (messaggi da diversi protocolli di rete) in base al loro numero di porta. Questi numeri di porta vengono utilizzati per i protocolli TCP e UDP, i protocolli di trasmissione più noti. Il filtro delle porte rappresenta una forma di protezione per il tuo computer poiché, tramite il filtro delle porte, puoi scegliere di consentire o bloccare determinate porte per impedire diverse operazioni all'interno della rete.

Esiste un sistema ben consolidato di porte utilizzate per diversi servizi Internet, come il trasferimento di file, la posta elettronica, ecc. In effetti, ci sono oltre 65.000 porte diverse. Esistono in modalità "consenti" o "chiusa". Alcune applicazioni su Internet possono aprire queste porte, rendendo così il tuo computer più esposto ad hacker e virus.

Usando Wireshark, puoi filtrare diversi pacchetti in base al loro numero di porta. Perché vorresti farlo? Perché in questo modo puoi filtrare tutti i pacchetti che non vuoi nel tuo computer per diversi motivi.

Quali sono le porte importanti?

Ci sono 65.535 porte. Possono essere suddivisi in tre diverse categorie: le porte da 0 a 1023 sono porte note e sono assegnate a servizi e protocolli comuni. Quindi, da 1024 a 49151 sono le porte registrate, assegnate da ICANN a un servizio specifico. E le porte pubbliche sono porte da 49152-65535, possono essere utilizzate da qualsiasi servizio. Porte diverse vengono utilizzate per protocolli diversi.

Se vuoi conoscere i più comuni, dai un'occhiata al seguente elenco:

Numero di portaNome di ServizioProtocollo
20, 21Protocollo di trasferimento file – FTPTCP
22Shell sicura – SSHTCP e UDP
23TelnetTCP
25Protocollo di trasferimento della posta sempliceTCP
53Sistema dei nomi di dominio – DNSTCP e UDP
67/68Protocollo di configurazione host dinamico – DHCPUDP
80Protocollo di trasferimento ipertestuale – HTTPTCP
110Protocollo postale – POP3TCP
123Protocollo orario di rete – NTPUDP
143Protocollo di accesso ai messaggi Internet (IMAP4)TCP e UDP
161/162Protocollo di gestione della rete semplice –SNMPTCP e UDP
443HTTP con Secure Sockets Layer – HTTPS (HTTP su SSL/TLS)TCP

Analisi in Wireshark

Il processo di analisi in Wireshark rappresenta il monitoraggio di diversi protocolli e dati all'interno di una rete.

Prima di iniziare con il processo di analisi, assicurati di conoscere il tipo di traffico che stai cercando di analizzare e i vari tipi di dispositivi che emettono traffico:

  1. Hai la modalità promiscua supportata? Se lo fai, questo consentirà al tuo dispositivo di raccogliere pacchetti che non sono originariamente destinati al tuo dispositivo.
  2. Quali dispositivi hai all'interno della tua rete? È importante tenere presente che diversi tipi di dispositivi trasmetteranno pacchetti diversi.
  3. Che tipo di traffico vuoi analizzare? Il tipo di traffico dipenderà dai dispositivi all'interno della rete.

Saper utilizzare diversi filtri è estremamente importante per catturare i pacchetti previsti. Questi filtri vengono utilizzati prima del processo di acquisizione dei pacchetti. Come funzionano? Impostando un filtro specifico, rimuovi immediatamente il traffico che non soddisfa i criteri indicati.

All'interno di Wireshark, viene utilizzata una sintassi chiamata sintassi Berkley Packet Filter (BPF) per creare diversi filtri di acquisizione. Poiché questa è la sintassi più comunemente utilizzata nell'analisi dei pacchetti, è importante capire come funziona.

La sintassi di Berkley Packet Filter cattura i filtri in base a diverse espressioni di filtraggio. Queste espressioni sono costituite da una o più primitive e le primitive sono costituite da un identificatore (valori o nomi che stai cercando di trovare all'interno di pacchetti diversi), seguito da uno o più qualificatori.

I qualificatori possono essere suddivisi in tre diversi tipi:

  1. Tipo: con questi qualificatori, specifichi che tipo di cosa rappresenta l'identificatore. I qualificatori di tipo includono port, net e host.
  2. Dir (direzione): questi qualificatori vengono utilizzati per specificare una direzione di trasferimento. In questo modo, "src" contrassegna la sorgente e "dst" indica la destinazione.
  3. Proto (protocollo): con i qualificatori di protocollo, è possibile specificare il protocollo specifico che si desidera acquisire.

Puoi utilizzare una combinazione di diversi qualificatori per filtrare la tua ricerca. Inoltre, puoi usare gli operatori: ad esempio, puoi usare l'operatore di concatenazione (&/and), l'operatore di negazione (!/not), ecc.

Ecco alcuni esempi di filtri di acquisizione che puoi utilizzare in Wireshark:

FiltriDescrizione
host 192.168.1.2Tutto il traffico associato a 192.168.1.2
porta tcp 22Tutto il traffico associato alla porta 22
src 192.168.1.2Tutto il traffico proveniente da 192.168.1.2

È possibile creare filtri di cattura nei campi dell'intestazione del protocollo. La sintassi è simile a questa: proto[offset:size(opzionale)]=value. Qui, proto rappresenta il protocollo che vuoi filtrare, offset rappresenta la posizione del valore nell'intestazione del pacchetto, la dimensione rappresenta la lunghezza dei dati e value sono i dati che stai cercando.

Visualizza filtri in Wireshark

A differenza dei filtri di acquisizione, i filtri di visualizzazione non scartano alcun pacchetto, ma semplicemente li nascondono durante la visualizzazione. Questa è una buona opzione poiché una volta scartati i pacchetti, non sarai in grado di recuperarli.

I filtri di visualizzazione vengono utilizzati per verificare la presenza di un determinato protocollo. Ad esempio, se desideri visualizzare i pacchetti che contengono un particolare protocollo, puoi digitare il nome del protocollo nella barra degli strumenti "Filtro di visualizzazione" di Wireshark.

Altre opzioni

Ci sono varie altre opzioni che puoi usare per analizzare i pacchetti in Wireshark, a seconda delle tue esigenze.

  1. Nella finestra "Statistiche" in Wireshark, puoi trovare diversi strumenti di base che puoi utilizzare per analizzare i pacchetti. Ad esempio, puoi utilizzare lo strumento "Conversazioni" per analizzare il traffico tra due indirizzi IP diversi.

  2. Nella finestra “Informazioni Esperto” è possibile analizzare le anomalie o comportamenti non comuni all'interno della propria rete.

Filtraggio per porta in Wireshark

Filtrare per porta in Wireshark è facile grazie alla barra dei filtri che consente di applicare un filtro di visualizzazione.

Ad esempio, se desideri filtrare la porta 80, digita questo nella barra dei filtri: "tcp.port == 80.” Quello che puoi fare è anche digitare "eq" invece di "==", poiché "eq" si riferisce a "uguale".

Puoi anche filtrare più porte contemporaneamente. Il || i segni sono usati in questo caso.

Ad esempio, se vuoi filtrare le porte 80 e 443, digita questo nella barra dei filtri: "tcp.port == 80 || tcp.port == 443", o "tcp.port eq 80 || tcp.port eq 443.”

Domande frequenti aggiuntive

Come posso filtrare Wireshark per indirizzo IP e porta?

Esistono diversi modi per filtrare Wireshark in base all'indirizzo IP:

1. Se sei interessato a un pacchetto con un particolare indirizzo IP, digita questo nella barra dei filtri: "ip.adr == x.x.x.x.

2. Se sei interessato ai pacchetti provenienti da un particolare indirizzo IP, digita questo nella barra dei filtri: "ip.src == x.x.x.x.

3. Se sei interessato ai pacchetti che vanno a un particolare indirizzo IP, digita questo nella barra del filtro: "ip.dst == x.x.x.x.

Se vuoi applicare due filtri, come indirizzo IP e numero di porta, controlla il prossimo esempio: "ip.adr == 192.168.1.199.&&tcp.port eq 443.Poiché "&&" rappresentano i simboli per "e", scrivendo questo, puoi filtrare la tua ricerca per indirizzo IP (192.168.1.199) e per numero di porta (tcp.port eq 443).

In che modo Wireshark acquisisce il traffico della porta?

Wireshark acquisisce tutto il traffico di rete mentre accade. Catturerà tutto il traffico della porta e ti mostrerà tutti i numeri di porta nelle connessioni specifiche.

Se desideri avviare l'acquisizione, segui questi passaggi:

1. Apri "Wireshark".

2. Tocca "Cattura".

3. Seleziona "Interfacce".

4. Tocca "Avvia".

Se vuoi concentrarti su un numero di porta specifico, puoi utilizzare la barra dei filtri.

Quando vuoi interrompere l'acquisizione, premi ''Ctrl + E.''

Che cos'è il filtro di acquisizione per un'opzione DHCP?

L'opzione DHCP (Dynamic Host Configuration Protocol) rappresenta un tipo di protocollo di gestione della rete. Viene utilizzato per assegnare automaticamente gli indirizzi IP ai dispositivi collegati alla rete. Utilizzando un'opzione DHCP, non è necessario configurare manualmente vari dispositivi.

Se vuoi vedere solo i pacchetti DHCP in Wireshark, digita "bootp" nella barra dei filtri. Perché fare il boot? Perché rappresenta la versione precedente di DHCP ed entrambi utilizzano gli stessi numeri di porta: 67 e 68.

Perché dovrei usare Wireshark?

L'utilizzo di Wireshark presenta numerosi vantaggi, alcuni dei quali sono:

1. È gratuito: puoi analizzare il tuo traffico di rete in modo completamente gratuito!

2. Può essere utilizzato per diverse piattaforme: è possibile utilizzare Wireshark su Windows, Linux, Mac, Solaris, ecc.

3. È dettagliato: Wireshark offre un'analisi approfondita di numerosi protocolli.

4. Offre dati in tempo reale: questi dati possono essere raccolti da varie fonti come Ethernet, Token Ring, FDDI, Bluetooth, USB, ecc.

5. È ampiamente utilizzato: Wireshark è l'analizzatore di protocollo di rete più popolare.

Wireshark non morde!

Ora hai imparato di più su Wireshark, le sue abilità e le opzioni di filtro. Se vuoi essere sicuro di poter risolvere e identificare qualsiasi tipo di problema di rete o ispezionare i dati in entrata e in uscita dalla tua rete, mantenendoli così al sicuro, dovresti assolutamente provare Wireshark.

Hai mai usato Wireshark? Raccontacelo nella sezione commenti qui sotto.

messaggi recenti

$config[zx-auto] not found$config[zx-overlay] not found