Internet

Come filtrare per IP in Wireshark

Gli amministratori di rete incontrano una vasta gamma di problemi di rete mentre svolgono il loro lavoro. Ogni volta che si verifica un'azione sospetta o la necessità di valutare un particolare segmento di rete, gli strumenti di analisi del protocollo come Wireshark possono tornare utili. Una caratteristica particolarmente utile è il filtraggio dei pacchetti di rete per indirizzi IP.

Come filtrare per IP in Wireshark

Se sei un utente per la prima volta, potresti trovare un po' difficile configurare i passaggi per farlo da solo. Fortunatamente, abbiamo assemblato questa guida definitiva su come filtrare per IP in Wireshark. Andrai via conoscendo la differenza tra i suoi due linguaggi di filtraggio, imparando nuove stringhe di filtro e molto altro.

La cosa migliore è che avrai solo bisogno di assistenza per eseguire questi passaggi la prima volta. Ogni esibizione successiva sarà un gioco da ragazzi!

Cos'è Wireshark?

Wireshark è un analizzatore di pacchetti di rete che domina lo spazio del settore da un po' di tempo ormai. È stato fantastico fino al punto di accantonare molti strumenti simili, incluso Microsoft Network Monitor. Le due caratteristiche principali che hanno reso famoso Wireshark sono la sua flessibilità e facilità d'uso.

Gli analizzatori di pacchetti di rete sono strumenti che acquisiscono e analizzano il traffico di dati nel modo più dettagliato possibile in specifici canali di comunicazione. Servono come strumenti diagnostici definitivi per i sistemi embedded.

Wireshark è dotato della capacità di prim'ordine di filtrare i pacchetti durante l'acquisizione e l'analisi con diversi livelli di complessità. Ciò lo rende ugualmente conveniente sia per i principianti che per i professionisti del monitoraggio della rete. Wireshark inoltre acquisisce e analizza il traffico da vari altri analizzatori di protocollo, rendendo semplice la revisione del traffico passato in momenti specifici del passato.

Prima di Wireshark, gli strumenti di monitoraggio della rete erano molto costosi o proprietari. Tutto è cambiato con l'avvento di questa app. Il software è open source e supporta tutte le principali piattaforme. Ciò ha portato a Wireshark un sacco di supporto da parte della comunità, che ha eliminato il costo come barriera e ha lasciato spazio a una vasta gamma di opportunità di formazione.

Ecco perché le persone potrebbero voler usare Wireshark:

  • Risoluzione dei problemi di rete
  • Esame dei problemi di sicurezza
  • Esame delle applicazioni di rete
  • Implementazioni del protocollo di debug
  • Apprendimento degli interni del protocollo di rete

Wireshark è scaricabile gratuitamente. Nel caso non lo avessi ancora fatto, puoi farlo qui. Basta scaricare l'eseguibile e fare clic sul file per installarlo.

L'interfaccia utente di Wireshark

Dopo aver scaricato e installato Wireshark, puoi accedervi dalla shell locale o dal gestore di finestre. Una delle prime cose che devi fare è scegliere un'interfaccia di rete dall'elenco delle reti sugli adattatori del tuo computer.

Puoi fare clic su "Cattura", quindi su "Interfacce" dal menu e scegliere l'opzione appropriata.

La finestra principale nell'interfaccia di Wireshark è composta da diverse parti:

  • Menu: utilizzato per avviare le azioni
  • Barra degli strumenti principale: accesso rapido agli elementi che usi spesso dal menu
  • Barra degli strumenti dei filtri: qui puoi impostare i filtri di visualizzazione
  • Riquadro Elenco pacchetti: riepiloghi dei pacchetti acquisiti
  • Riquadro dei dettagli: ulteriori informazioni sul pacchetto selezionato dalla corsia dei pacchetti
  • Riquadro Byte: dati dal pacchetto del riquadro dell'elenco dei pacchetti, che evidenzia il campo scelto in quel riquadro
  • Barra di stato: dati acquisiti e informazioni sullo stato del programma in corso

Puoi controllare gli elenchi dei pacchetti e navigare tra i dettagli interamente con la tastiera. C'è una tabella che mostra i comandi di scelta rapida da tastiera comuni qui.

Come aggiungere filtri in Wireshark?

La barra degli strumenti "Filtro" è dove puoi personalizzare ed eseguire nuovi filtri di visualizzazione.

Per creare e modificare i filtri di acquisizione, vai su "Gestisci filtri di acquisizione" dal menu dei segnalibri o vai a "Cattura", quindi "Filtri di acquisizione" dal menu principale.

Per creare e modificare i filtri di visualizzazione, seleziona "Gestisci filtri di visualizzazione" dal menu dei segnalibri o vai al menu principale e seleziona "Analizza", quindi "Visualizza filtri".

Vedrai una sezione di input del filtro con uno sfondo verde. Questa è l'area in cui si immettono e si modificano le stringhe del filtro di visualizzazione. Qui è anche possibile vedere il filtro attualmente applicato. Basta fare clic sul nome del filtro o fare doppio clic sulla stringa per modificarlo.

Mentre scrivi, il sistema eseguirà un controllo di sistema della stringa del filtro. Se ne inserisci uno non valido, lo sfondo passa da verde a rosso. Premi sempre il pulsante "Applica" o il tasto "Invio" per applicare la stringa del filtro.

Puoi aggiungere un nuovo filtro facendo clic sul pulsante "Aggiungi", che è un segno più nero su uno sfondo grigio chiaro. Un altro modo per aggiungere un nuovo filtro è fare clic con il pulsante destro del mouse sull'area del pulsante del filtro. Per rimuovere un filtro, fare clic sul pulsante meno. Il pulsante meno sarà disattivato se non è stato selezionato alcun filtro.

Come filtrare per indirizzo IP in Wireshark?

Una caratteristica eccellente di Wireshark è che ti consente di filtrare i pacchetti in base agli indirizzi IP. Segui i passaggi seguenti per istruzioni su come farlo:

  1. Inizia facendo clic sul pulsante più per aggiungere un nuovo filtro di visualizzazione.

  2. Eseguire la seguente operazione nella casella Filtro: ip.addr==[indirizzo IP] e premi Invio.

  3. Nota che la Packet List Lane ora filtra solo il traffico che va a (destinazione) e da (sorgente) l'indirizzo IP che hai inserito.

  4. Per cancellare il filtro, fare clic sul pulsante "Cancella" nella barra degli strumenti Filtro.

IP di origine

Puoi limitare la visualizzazione dei pacchetti a quelli con indirizzi IP di origine particolari che appaiono in quel filtro. Basta eseguire il seguente comando nella casella del filtro e premere Invio:

ip.src == [indirizzo IP]

IP di destinazione

È possibile applicare filtri di destinazione per limitare la visualizzazione dei pacchetti a quelli con un IP di destinazione specifico mostrato nel filtro.

Il comando è il seguente:

ip.dst == [indirizzo IP]

Filtro di cattura e filtro di visualizzazione

Wireshark supporta due linguaggi di filtraggio: filtri di cattura e filtri di visualizzazione. Il primo viene utilizzato per il filtraggio durante l'acquisizione dei pacchetti. Quest'ultimo filtra i pacchetti visualizzati. Con i filtri di visualizzazione, puoi concentrarti sui pacchetti che ti interessano e nascondere quelli attualmente non importanti. Puoi visualizzare i pacchetti in base a diversi fattori:

  • Protocollo
  • Presenza sul campo
  • Valori di campo
  • Confronto campo

I filtri di visualizzazione utilizzano una sintassi dell'operatore booleano e campi che descrivono i pacchetti che stai filtrando. Una volta creati alcuni filtri di visualizzazione, diventa facile scriverli. I filtri di acquisizione sono un po' meno intuitivi poiché sono criptici.

Ecco una panoramica delle funzioni e degli usi di ciascun filtro:

Filtri di cattura:

  • Sono impostati prima di iniziare a catturare il traffico
  • Impossibile cambiare durante l'acquisizione del traffico
  • Utilizzato per l'acquisizione di tipi di traffico specifici

Visualizza filtri:

  • Riducono i pacchetti che vengono visualizzati in Wireshark
  • Può essere personalizzato durante l'acquisizione del traffico
  • Utilizzato per nascondere il traffico per valutare tipi di traffico specifici

Per ulteriori informazioni sul filtraggio durante l'acquisizione, visitare questa pagina.

Domande frequenti aggiuntive

Come posso filtrare Wireshark per URL?

Puoi cercare determinati URL HTTP nell'acquisizione in Wireshark utilizzando la seguente stringa di filtro:

http contiene "[URL]. “

Nota che non puoi utilizzare gli operatori "contiene" sui campi atomici (numeri, indirizzi IP).

Come posso filtrare Wireshark in base al numero di porta?

Puoi utilizzare il seguente comando per filtrare Wireshark in base al numero di porta:

Tcp.port eq [numero porta].

Come funziona Wireshark?

Wireshark è uno strumento di sniffing dei pacchetti di rete. Analizza i pacchetti di rete prendendo una connessione Internet e registrando i pacchetti che la attraversano. Quindi fornisce agli utenti le informazioni su quei pacchetti, inclusa la loro origine, destinazione, contenuto, protocolli, messaggi, ecc.

Diventare 007 su Network Sniffing

Grazie a Wireshark, gli ingegneri di rete e gli amministratori non devono più preoccuparsi di perdere strumenti diagnostici per problemi di rete essenziali. Le funzionalità facilmente accessibili e convenienti del programma rendono molto più semplice valutare le vulnerabilità della rete ed eseguire la risoluzione dei problemi.

Dopo aver letto il nostro articolo, ora dovresti essere in grado di distinguere tra le diverse opzioni di filtro nel programma relative al filtro IP. Hai anche imparato le espressioni di stringa di base per il filtraggio per IP e molto altro. Si spera che questo aiuti a risolvere qualsiasi problema di rete che potresti incontrare.

Quali altre funzionalità usi spesso in Wireshark? Cosa pensi che distingua Wireshark dalla concorrenza? Condividi i tuoi pensieri nella sezione commenti qui sotto.

messaggi recenti

Come sapere se qualcuno ha ricevuto il tuo messaggio di testo
Social media

Come sapere se qualcuno ha ricevuto il tuo messaggio di testo

Come sapere se qualcuno ti sta stalkerando su Instagram
Social media

Come sapere se qualcuno ti sta stalkerando su Instagram

$config[zx-auto] not found$config[zx-overlay] not found