网络管理员在工作时会遇到各种网络问题。每当出现可疑行为或需要评估特定网段时,Wireshark 等协议分析工具都可以派上用场。一项特别有用的功能是按 IP 地址过滤网络数据包。
如果您是第一次使用用户,您可能会发现自己配置执行此操作的步骤有点困难。幸运的是,我们已经收集了有关如何在 Wireshark 中按 IP 过滤的终极指南。您将了解其两种过滤语言之间的区别,学习新的过滤字符串等等。
最好的是,您只需在第一次执行这些步骤时就需要帮助。接下来的每场表演都将是小菜一碟!
什么是Wireshark?
Wireshark 是一种网络数据包分析器,现在在行业领域占据主导地位。在搁置许多类似工具(包括 Microsoft 网络监视器)之前,它已经很棒了。使 Wireshark 出名的两个主要特点是其灵活性和易用性。
网络数据包分析器是在特定通信渠道中尽可能详细地捕获和分析数据流量的工具。它们充当嵌入式系统的终极诊断工具。
Wireshark 具有一流的能力,可以在捕获过程中过滤数据包,并根据不同的复杂程度进行分析。这使得初学者和网络监控专业人员同样方便。 Wireshark 还从各种其他协议分析器中摄取和分析流量,从而可以直接查看过去特定时间的过去流量。
在 Wireshark 之前,网络跟踪工具曾经非常昂贵或专有。这一切都随着这个应用程序的出现而改变。该软件是开源的,支持所有主要平台。这为 Wireshark 带来了大量社区支持,消除了成本障碍,并为广泛的培训机会腾出了空间。
这就是人们可能想要使用 Wireshark 的原因:
- 排除网络问题
- 检查安全问题
- 检查网络应用程序
- 调试协议实现
- 了解网络协议内部结构
Wireshark 可免费下载。如果你还没有,你可以在这里这样做。只需下载可执行文件并单击该文件即可安装它。
Wireshark 用户界面
下载并安装 Wireshark 后,您可以从本地 shell 或窗口管理器访问它。您必须做的第一件事是从计算机适配器上的网络列表中选择一个网络接口。
您可以单击“捕获”,然后从菜单中单击“接口”,然后选择适当的选项。
Wireshark 界面中的主窗口由几部分组成:
- 菜单 - 用于启动操作
- 主工具栏 – 从菜单快速访问您经常使用的项目
- 过滤器工具栏 - 您可以在此处设置显示过滤器
- 数据包列表窗格 - 捕获的数据包摘要
- 详细信息窗格 - 有关从数据包通道中选择的数据包的更多信息
- 字节窗格 – 来自数据包列表窗格数据包的数据,突出显示该窗格中的所选字段
- 状态栏——捕获的数据和正在进行的程序状态信息
您可以完全使用键盘控制数据包列表并浏览详细信息。这里有一个表格,显示了常用的键盘快捷键命令。
如何在 Wireshark 中添加过滤器?
“过滤器”工具栏是您可以自定义和运行新的显示过滤器的地方。
要创建和编辑捕获过滤器,请从书签菜单转到“管理捕获过滤器”或导航到“捕获”,然后从主菜单导航到“捕获过滤器”。
要创建和编辑显示过滤器,请从书签菜单中选择“管理显示过滤器”或转到主菜单并选择“分析”,然后选择“显示过滤器”。
您将看到一个带有绿色背景的过滤器输入部分。这是您输入和编辑显示过滤器字符串的区域。您也可以在此处查看当前应用的过滤器。只需单击过滤器名称或双击字符串即可对其进行编辑。
在您编写时,系统将对过滤器字符串进行系统检查。如果输入无效,背景会从绿色变为红色。始终点击“应用”按钮或“回车”键来应用过滤器字符串。
您可以通过单击“添加”按钮来添加新过滤器,该按钮是浅灰色背景上的黑色加号。添加新过滤器的另一种方法是右键单击过滤器按钮区域。要删除过滤器,请单击减号按钮。如果没有选择过滤器,减号按钮将变灰。
如何在Wireshark中按IP地址过滤?
Wireshark 的一个出色功能是它允许您按 IP 地址过滤数据包。只需按照以下步骤操作,了解如何操作:
- 首先单击加号按钮以添加新的显示过滤器。
- 在过滤器框中运行以下操作: ip.addr==[IP地址] 然后按 Enter。
- 请注意,数据包列表通道现在仅过滤进出(目的地)和来自(源)您输入的 IP 地址的流量。
- 要清除过滤器,请单击过滤器工具栏中的“清除”按钮。
源IP
您可以将数据包视图限制为具有出现在该过滤器中的特定源 IP 地址的数据包视图。只需在过滤器框中运行以下命令并按 Enter 键:
ip.src == [IP 地址]
目的IP
您可以应用目标过滤器将数据包视图限制为过滤器中显示特定目标 IP 的数据包视图。
命令如下:
ip.dst == [IP 地址]
捕获过滤器与显示过滤器
Wireshark 支持两种过滤语言:捕获过滤器和显示过滤器。前者用于抓包的同时过滤。后者过滤显示的数据包。使用显示过滤器,您可以专注于您感兴趣的数据包并隐藏那些当前不重要的数据包。您可以根据几个因素显示数据包:
- 协议
- 现场存在
- 字段值
- 现场对比
显示过滤器使用布尔运算符语法和字段来描述您正在过滤的数据包。一旦您创建了几个显示过滤器,编写它们就变得容易了。捕获过滤器不太直观,因为它们很神秘。
以下是每个过滤器的功能和用途的概述:
捕获过滤器:
- 它们是在开始捕获流量之前设置的
- 无法在流量捕获期间更改
- 用于特定的流量类型捕获
显示过滤器:
- 它们减少了 Wireshark 中显示的数据包
- 可以在流量捕获期间进行自定义
- 用于隐藏流量以评估特定流量类型
有关捕获时过滤的更多信息,请访问此页面。
其他常见问题
如何通过 URL 过滤 Wireshark?
您可以使用以下过滤器字符串在 Wireshark 中的捕获中搜索给定的 HTTP URL:
http 包含“[URL]. “
请注意,您不能在原子字段(数字、IP 地址)上使用“包含”运算符。
如何通过端口号过滤Wireshark?
您可以使用以下命令按端口号过滤 Wireshark:
Tcp.port eq [端口号]。
Wireshark 如何工作?
Wireshark 是一个网络数据包嗅探工具。它通过获取互联网连接并注册穿过它的数据包来分析网络数据包。然后它向用户提供有关这些数据包的信息,包括它们的来源、目的地、内容、协议、消息等。
网络嗅探 007
多亏了 Wireshark,网络工程师和管理员不必再担心错过针对基本网络问题的诊断工具。该程序易于访问和方便的功能使评估网络漏洞和执行故障排除更加直接。
阅读我们的文章后,您现在应该能够分辨出与 IP 过滤相关的程序中不同过滤选项之间的区别。您还学习了按 IP 过滤的基本字符串表达式等等。希望这将有助于解决您可能遇到的任何网络问题。
您在 Wireshark 中还经常使用哪些其他功能?您认为是什么让 Wireshark 在竞争中脱颖而出?在下面的评论部分分享您的想法。