Изучение Wireshark: фильтрация по порту назначения

Wireshark — мощный анализатор сетевых протоколов, который позволяет захватывать и проверять сетевой трафик. Одной из его ключевых особенностей является возможность применять различные фильтры, чтобы сосредоточиться на конкретных интересующих пакетах. В этой статье блога мы углубимся в возможности фильтрации Wireshark и рассмотрим различные методы фильтрации пакетов на основе порта назначения. Мы предоставим примеры кода для каждого метода, чтобы помочь вам начать работу.

Метод 1: использование панели инструментов фильтра отображения
Wireshark предоставляет удобную панель инструментов фильтра отображения, которая позволяет быстро применять фильтры. Чтобы отфильтровать по порту назначения, выполните следующие действия:

  1. Откройте Wireshark и начните захватывать сетевой трафик.
  2. Найдите панель инструментов фильтра отображения в верхней части окна Wireshark.
  3. В поле фильтра введите «tcp.dstport == <номер_порта>» для фильтрации TCP-пакетов или «udp.dstport == <номер_порта>» для фильтрации UDP-пакетов. Замените «<номер_порта>» на нужный номер порта.
  4. Нажмите Enter или нажмите кнопку «Применить», чтобы применить фильтр.

Метод 2: использование фильтра захвата.
Wireshark также поддерживает фильтры захвата, которые позволяют фильтровать пакеты во время захвата. Чтобы фильтровать по порту назначения с помощью фильтра захвата, выполните следующие действия:

  1. Откройте Wireshark и выберите «Захват» ->«Параметры».
  2. В поле «Фильтр захвата» введите «tcp dst port » для фильтрации TCP-пакетов или «udp dst port » для фильтрации UDP-пакетов. Замените «<номер_порта>» на нужный номер порта.
  3. Нажмите кнопку «Пуск», чтобы начать захват сетевого трафика с помощью указанного фильтра.

Метод 3: использование интерфейса командной строки (CLI)
Wireshark предоставляет интерфейс командной строки (CLI) под названием TShark, который позволяет выполнять задачи анализа пакетов из командной строки. Чтобы фильтровать по порту назначения с помощью CLI, выполните следующие действия:

  1. Откройте терминал или командную строку.
  2. Введите следующую команду для фильтрации TCP-пакетов: «tshark -i -f ‘tcp dst port ’». Замените «» на нужный сетевой интерфейс и «» на желаемый номер порта.
  3. Введите следующую команду для фильтрации UDP-пакетов: «tshark -i <интерфейс>-f ‘udp dst port <номер_порта>’». Замените «» на нужный сетевой интерфейс и «» на желаемый номер порта.
  4. Нажмите Enter, чтобы выполнить команду и начать захват сетевого трафика с помощью указанного фильтра.

Метод 4: использование сценариев Lua Wireshark
Wireshark поддерживает сценарии Lua, которые позволяют создавать собственные фильтры и диссекторы. Чтобы фильтровать по порту назначения с помощью сценария Lua, выполните следующие действия:

  1. Откройте Wireshark и выберите «Файл» ->«Новый сценарий Lua».
  2. Введите следующий код сценария Lua: 
    -- Filter TCP packets by destination port
tcp_dst_port = Field.new("tcp.dstport")
filter = "tcp dst port <port_number>"
tcp_filter = Listener.new(nil, filter)
function tcp_filter.packet(pinfo, tvb, tcp)
-- Process the filtered packets here
end
-- Filter UDP packets by destination port
udp_dst_port = Field.new("udp.dstport")
filter = "udp dst port <port_number>"
udp_filter = Listener.new(nil, filter)
function udp_filter.packet(pinfo, tvb, udp)
-- Process the filtered packets here
end
  3. Замените «» на нужный номер порта в обеих переменных фильтра.
  4. Сохраните сценарий Lua и нажмите кнопку «Пуск», чтобы начать захват сетевого трафика с помощью указанного фильтра.

Wireshark предоставляет множество методов фильтрации пакетов по порту назначения: от удобных графических интерфейсов до инструментов командной строки и пользовательских сценариев Lua. Используя эти методы фильтрации, вы можете сосредоточиться на конкретном сетевом трафике и более эффективно его анализировать.