ผู้ดูแลระบบเครือข่ายพบปัญหาเครือข่ายที่หลากหลายขณะทำงาน เมื่อใดก็ตามที่มีการดำเนินการที่น่าสงสัยหรือจำเป็นต้องประเมินกลุ่มเครือข่ายเฉพาะ เครื่องมือวิเคราะห์โปรโตคอล เช่น Wireshark จะมีประโยชน์ คุณลักษณะที่มีประโยชน์อย่างยิ่งอย่างหนึ่งคือการกรองแพ็กเก็ตเครือข่ายตามที่อยู่ IP
หากคุณเป็นผู้ใช้ครั้งแรก คุณอาจพบว่าการกำหนดค่าขั้นตอนในการดำเนินการด้วยตัวเองอาจเป็นเรื่องยาก โชคดีที่เราได้รวบรวมคำแนะนำขั้นสูงสุดเกี่ยวกับวิธีการกรองตาม IP ใน Wireshark คุณจะได้รู้ถึงความแตกต่างระหว่างสองภาษาที่ใช้กรอง เรียนรู้สตริงตัวกรองใหม่ และอื่นๆ อีกมากมาย
สิ่งที่ดีที่สุดคือคุณต้องการความช่วยเหลือในการทำตามขั้นตอนเหล่านี้ในครั้งแรกเท่านั้น การแสดงแต่ละครั้งต่อไปนี้จะเป็นเค้กชิ้นหนึ่ง!
Wireshark คืออะไร?
Wireshark เป็นเครื่องมือวิเคราะห์แพ็กเก็ตเครือข่ายที่ครองพื้นที่อุตสาหกรรมมาระยะหนึ่งแล้ว ดีมากจนถึงขั้นเก็บเครื่องมือที่คล้ายกันไว้มากมาย รวมทั้ง Microsoft Network Monitor คุณสมบัติหลักสองประการที่ทำให้ Wireshark มีชื่อเสียงคือความยืดหยุ่นและใช้งานง่าย
ตัววิเคราะห์แพ็กเก็ตเครือข่ายเป็นเครื่องมือที่รวบรวมและวิเคราะห์การรับส่งข้อมูลในรายละเอียดมากที่สุดในช่องทางการสื่อสารที่เฉพาะเจาะจง พวกเขาทำหน้าที่เป็นเครื่องมือวินิจฉัยขั้นสูงสุดสำหรับระบบฝังตัว
Wireshark มาพร้อมกับความสามารถชั้นยอดในการกรองแพ็กเก็ตระหว่างการจับภาพและเมื่อวิเคราะห์ด้วยระดับความซับซ้อนที่แตกต่างกัน ทำให้สะดวกเท่าเทียมกันสำหรับผู้จับเวลาครั้งแรกและสำหรับผู้เชี่ยวชาญด้านการตรวจสอบเครือข่าย Wireshark ยังนำเข้าและวิเคราะห์ทราฟฟิกจากตัววิเคราะห์โปรโตคอลอื่น ๆ ทำให้ง่ายต่อการตรวจสอบทราฟฟิกที่ผ่านมาในช่วงเวลาที่กำหนดในอดีต
ก่อนหน้า Wireshark เครื่องมือติดตามเครือข่ายเคยมีราคาแพงมากหรือมีกรรมสิทธิ์ ที่ทั้งหมดเปลี่ยนไปด้วยการถือกำเนิดของแอพนี้ ซอฟต์แวร์นี้เป็นโอเพ่นซอร์สและรองรับแพลตฟอร์มหลักทั้งหมด สิ่งนี้ทำให้ Wireshark ได้รับการช่วยเหลือจากชุมชนจำนวนมาก ซึ่งทำให้ต้นทุนเป็นอุปสรรคและทำให้มีที่ว่างสำหรับโอกาสในการฝึกอบรมที่หลากหลาย
นี่คือเหตุผลที่ผู้คนอาจต้องการใช้ Wireshark:
- การแก้ไขปัญหาเครือข่าย
- การตรวจสอบปัญหาด้านความปลอดภัย
- การตรวจสอบแอปพลิเคชันเครือข่าย
- การดีบักการใช้งานโปรโตคอล
- เรียนรู้เกี่ยวกับโปรโตคอลเครือข่ายภายใน
ดาวน์โหลด Wireshark ได้ฟรี ในกรณีที่คุณยังไม่ได้ คุณสามารถทำได้ที่นี่ เพียงดาวน์โหลดไฟล์ปฏิบัติการและคลิกที่ไฟล์เพื่อติดตั้ง
ส่วนต่อประสานผู้ใช้ Wireshark
หลังจากดาวน์โหลดและติดตั้ง Wireshark คุณสามารถเข้าถึงได้จากตัวจัดการเชลล์หรือหน้าต่างในเครื่องของคุณ สิ่งแรกที่คุณต้องทำคือเลือกอินเทอร์เฟซเครือข่ายจากรายการเครือข่ายในอะแดปเตอร์คอมพิวเตอร์ของคุณ
คุณสามารถคลิกที่ "จับภาพ" จากนั้น "อินเทอร์เฟซ" จากเมนูแล้วเลือกตัวเลือกที่เหมาะสม
หน้าต่างหลักในอินเทอร์เฟซ Wireshark ประกอบด้วยหลายส่วน:
- เมนู – ใช้เพื่อเริ่มการทำงาน
- แถบเครื่องมือหลัก – เข้าถึงรายการที่คุณใช้บ่อยได้อย่างรวดเร็วจากเมนู
- แถบเครื่องมือตัวกรอง – คุณสามารถตั้งค่าตัวกรองการแสดงผลได้ที่นี่
- บานหน้าต่างรายการแพ็กเก็ต – สรุปแพ็กเก็ตที่บันทึกไว้
- บานหน้าต่างรายละเอียด – ข้อมูลเพิ่มเติมเกี่ยวกับแพ็กเก็ตที่เลือกจากเลนแพ็กเก็ต
- บานหน้าต่างไบต์ – ข้อมูลจากแพ็กเก็ตบานหน้าต่างรายการแพ็กเก็ต เน้นฟิลด์ที่เลือกในบานหน้าต่างนั้น
- แถบสถานะ – ข้อมูลที่จับได้และข้อมูลสถานะของโปรแกรมต่อเนื่อง
คุณสามารถควบคุมรายการแพ็กเก็ตและเลื่อนดูรายละเอียดทั้งหมดได้ด้วยแป้นพิมพ์ของคุณ มีตารางแสดงคำสั่งแป้นพิมพ์ลัดทั่วไปที่นี่
จะเพิ่มตัวกรองใน Wireshark ได้อย่างไร?
แถบเครื่องมือ "ตัวกรอง" คือที่ที่คุณสามารถปรับแต่งและเรียกใช้ตัวกรองการแสดงผลใหม่ได้
ในการสร้างและแก้ไขตัวกรองการจับภาพ ให้ไปที่ "จัดการตัวกรองการจับภาพ" จากเมนูบุ๊กมาร์กหรือไปที่ "จับภาพ" จากนั้น "ตัวกรองจับภาพ" จากเมนูหลัก
ในการสร้างและแก้ไขตัวกรองการแสดงผล ให้เลือก "จัดการตัวกรองการแสดงผล" จากเมนูบุ๊กมาร์กหรือไปที่เมนูหลักแล้วเลือก "วิเคราะห์" จากนั้นเลือก "ตัวกรองการแสดงผล"
คุณจะเห็นส่วนป้อนข้อมูลตัวกรองที่มีพื้นหลังสีเขียว นี่คือพื้นที่ที่คุณป้อนและแก้ไขสตริงตัวกรองการแสดงผล นี่คือที่ที่คุณสามารถดูตัวกรองที่ใช้อยู่ในปัจจุบัน เพียงคลิกที่ชื่อตัวกรองหรือดับเบิลคลิกที่สตริงเพื่อแก้ไข
ในขณะที่คุณเขียน ระบบจะทำการตรวจสอบระบบของสตริงตัวกรอง หากคุณป้อนไม่ถูกต้อง พื้นหลังจะเปลี่ยนจากสีเขียวเป็นสีแดง กดปุ่ม "ใช้" หรือปุ่ม "Enter" ทุกครั้งเพื่อใช้สตริงตัวกรอง
คุณสามารถเพิ่มตัวกรองใหม่ได้โดยคลิกที่ปุ่ม "เพิ่ม" ซึ่งเป็นเครื่องหมายบวกสีดำบนพื้นหลังสีเทาอ่อน อีกวิธีในการเพิ่มตัวกรองใหม่คือการคลิกขวาที่พื้นที่ปุ่มตัวกรอง หากต้องการลบตัวกรอง ให้คลิกที่ปุ่มลบ ปุ่มลบจะเป็นสีเทาหากไม่มีการเลือกตัวกรอง
จะกรองตามที่อยู่ IP ใน Wireshark ได้อย่างไร
คุณลักษณะที่ยอดเยี่ยมของ Wireshark คือช่วยให้คุณสามารถกรองแพ็กเก็ตตามที่อยู่ IP เพียงทำตามขั้นตอนด้านล่างเพื่อดูคำแนะนำในการทำเช่นนั้น:
- เริ่มต้นด้วยการคลิกที่ปุ่มบวกเพื่อเพิ่มตัวกรองการแสดงผลใหม่
- เรียกใช้การดำเนินการต่อไปนี้ในกล่องตัวกรอง: ip.addr==[ที่อยู่ IP] และกด Enter
- โปรดสังเกตว่า ตอนนี้ Packet List Lane จะกรองเฉพาะการรับส่งข้อมูลที่ไปยัง (ปลายทาง) และจาก (ต้นทาง) ของที่อยู่ IP ที่คุณป้อน
- หากต้องการล้างตัวกรอง ให้คลิกที่ปุ่ม "ล้าง" ในแถบเครื่องมือตัวกรอง
IP ต้นทาง
คุณสามารถจำกัดมุมมองแพ็กเก็ตเฉพาะที่มีที่อยู่ IP ต้นทางที่ปรากฏในตัวกรองนั้น เพียงเรียกใช้คำสั่งต่อไปนี้ในกล่องตัวกรองแล้วกด Enter:
ip.src == [ที่อยู่ IP]
IP ปลายทาง
คุณสามารถใช้ตัวกรองปลายทางเพื่อจำกัดมุมมองแพ็กเก็ตกับรายการที่มี IP ปลายทางเฉพาะแสดงในตัวกรอง
คำสั่งมีดังนี้:
ip.dst == [ที่อยู่ IP]
ตัวกรองการจับภาพกับตัวกรองการแสดงผล
Wireshark รองรับการกรองสองภาษา: ตัวกรองการดักจับและตัวกรองการแสดงผล แบบแรกใช้สำหรับกรองขณะจับแพ็กเก็ต ตัวกรองหลังแสดงแพ็กเก็ต ด้วยตัวกรองการแสดงผล คุณสามารถมุ่งเน้นไปที่แพ็กเก็ตที่คุณสนใจและซ่อนแพ็กเก็ตที่ไม่สำคัญในปัจจุบัน คุณสามารถแสดงแพ็กเก็ตตามปัจจัยหลายประการ:
- มาตรการ
- การปรากฏตัวของภาคสนาม
- ค่าฟิลด์
- การเปรียบเทียบภาคสนาม
ตัวกรองการแสดงผลใช้ไวยากรณ์ตัวดำเนินการบูลีนและฟิลด์ที่อธิบายแพ็กเก็ตที่คุณกำลังกรอง เมื่อคุณสร้างตัวกรองการแสดงผลสองสามตัวแล้ว การเขียนก็กลายเป็นเรื่องง่าย ตัวกรองการจับภาพนั้นใช้งานง่ายกว่าเล็กน้อยเนื่องจากมีความคลุมเครือ
นี่คือภาพรวมของคุณสมบัติและการใช้งานของตัวกรองแต่ละตัว:
ตัวกรองการจับภาพ:
- มีการตั้งค่าก่อนเริ่มจับการจราจร
- ไม่สามารถเปลี่ยนแปลงได้ในระหว่างการจับการจราจร
- ใช้สำหรับจับการจราจรเฉพาะประเภท
ตัวกรองการแสดงผล:
- พวกเขาลดแพ็กเก็ตที่แสดงใน Wireshark
- สามารถปรับแต่งได้ในระหว่างการจับการจราจร
- ใช้เพื่อซ่อนการรับส่งข้อมูลเพื่อประเมินประเภทการรับส่งข้อมูลที่เฉพาะเจาะจง
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการกรองขณะจับภาพ โปรดไปที่หน้านี้
คำถามที่พบบ่อยเพิ่มเติม
ฉันจะกรอง Wireshark ตาม URL ได้อย่างไร
คุณสามารถค้นหา HTTP URL ที่กำหนดในการจับภาพใน Wireshark ได้โดยใช้สตริงตัวกรองต่อไปนี้:
http มี “[URL]. “
โปรดทราบว่าคุณไม่สามารถใช้โอเปอเรเตอร์ "มี" ในฟิลด์อะตอมมิก (ตัวเลข, ที่อยู่ IP)
ฉันจะกรอง Wireshark ตามหมายเลขพอร์ตได้อย่างไร
คุณสามารถใช้คำสั่งต่อไปนี้เพื่อกรอง Wireshark ตามหมายเลขพอร์ต:
Tcp.port eq [หมายเลขพอร์ต]
Wireshark ทำงานอย่างไร?
Wireshark เป็นเครื่องมือดักจับแพ็กเก็ตเครือข่าย มันวิเคราะห์แพ็กเก็ตเครือข่ายโดยเชื่อมต่ออินเทอร์เน็ตและลงทะเบียนแพ็กเก็ตที่เดินทางข้ามมัน จากนั้นจะให้ข้อมูลแก่ผู้ใช้ในแพ็กเก็ตเหล่านั้น รวมถึงต้นทาง ปลายทาง เนื้อหา โปรโตคอล ข้อความ ฯลฯ
กำลัง 007 ใน Network Sniffing
ด้วย Wireshark วิศวกรเครือข่ายและผู้ดูแลระบบไม่ต้องกังวลว่าจะพลาดเครื่องมือวินิจฉัยปัญหาเครือข่ายที่สำคัญอีกต่อไป ฟีเจอร์ที่เข้าถึงได้ง่ายและสะดวกสบายของโปรแกรมทำให้การประเมินช่องโหว่ของเครือข่ายและดำเนินการแก้ไขปัญหาทำได้ง่ายยิ่งขึ้น
หลังจากอ่านบทความของเราแล้ว ตอนนี้คุณควรสามารถบอกความแตกต่างระหว่างตัวเลือกตัวกรองต่างๆ ในโปรแกรมที่เกี่ยวข้องกับการกรอง IP ได้ คุณยังได้เรียนรู้นิพจน์สตริงพื้นฐานสำหรับการกรองตาม IP และอื่นๆ อีกมากมาย หวังว่านี่จะช่วยแก้ปัญหาเครือข่ายใด ๆ ที่คุณอาจพบ
คุณมักจะใช้คุณสมบัติอื่นใดใน Wireshark บ่อยๆ คุณคิดว่าอะไรทำให้ Wireshark โดดเด่นกว่าคู่แข่ง? แบ่งปันความคิดของคุณในส่วนความคิดเห็นด้านล่าง
