Mi a port szűrés?
A portszűrés a csomagok szűrése a portszám alapján. Ha többet szeretne tudni a Wireshark IP szerinti szűréséről, kövesse az alábbi linket:
https: // linuxhint.com / filter_by_ip_wireshark /
A cikk szándéka:
Ebben a cikkben megpróbálunk megérteni néhány jól ismert portot a Wireshark elemzésével.
Melyek a fontos portok?
Sokféle kikötő létezik. Íme az összefoglaló:
- A 0–1023 közötti portok jól ismert portok.
- Az 1024–49151 portok regisztrált portok.
- A 49152–65535 portok nyilvános portok.
Elemzés a Wiresharkban:
Mielőtt szűrőt használnánk a Wiresharkban, tudnunk kell, hogy melyik portot melyik protokollhoz használják. Íme néhány példa:
Protokoll [Alkalmazás] | Port száma |
TCP [HTTP] | 80 |
TCP [FTP adatok] | 20 |
TCP [FTP vezérlés] | 21 |
TCP / UDP [Telnet] | 23 |
TCP / UDP [DNS] | 53 |
UDP [DHCP] | 67,68 |
TCP [HTTPS] | 443 |
1. 80-as kikötő: A 80-as portot a HTTP használja. Lássunk egy HTTP csomagfogást.
Itt 192.168.1.A 6 megpróbálja elérni azt a webszervert, ahol a HTTP szerver fut. Tehát a célportnak a 80-as portnak kell lennie. Most tettük „Tcp.port == 80 ” Wireshark szűrőként, és csak azokat a csomagokat látja, ahol a port 80.
Itt található a magyarázó képernyőkép
2. 53. kikötő: Az 53-as portot a DNS használja. Lássunk egy DNS csomagfogást.
Itt 192.168.1.A 6. próbál DNS lekérdezést küldeni. Tehát a célkikötőnek 53-asnak kell lennie. Most tettük „Udp.port == 53 ” Wireshark szűrőként, és csak azokat a csomagokat látja, ahol a port 53.
3. 443. kikötő: A 443-as portot a HTTPS használja. Lássunk egy HTTPS csomagfogást.
Most tettük „Tcp.port == 443 ” Wireshark szűrőként, és csak a HTTPS csomagokat látja.
Itt van a magyarázat a képernyőképpel
4. Nyilvános / bejegyzett port:
Amikor csak az UDP-t futtatjuk az Iperf-en keresztül, láthatjuk, hogy a forrás- és a célportokat egyaránt regisztrált / nyilvános portok használják.
Itt van a képernyőkép magyarázattal
5. 67., 68. kikötő: A 67,68 portot a DHCP használja. Lássunk egy DHCP csomagfogást.
Most tettük „Udp.dstport == 67 || udp.dstport == 68 ” Wireshark szűrőként, és csak a DHCP-hez kapcsolódó csomagokat látja.
Itt van a magyarázat a képernyőképpel
Összegzés:
A Wireshark portszűréséhez tudnia kell a portszámot.
Ha nincs fix port, akkor a rendszer regisztrált vagy nyilvános portokat használ. A portszűrő megkönnyíti az elemzését, hogy az összes csomag megjelenjen a kiválasztott porton.