Hva er portfiltrering?
Portfiltrering er måten å filtrere pakker basert på portnummer. For å vite mer om filtrering etter IP i Wireshark, vennligst følg lenken nedenfor:
https: // linuxhint.no / filter_by_ip_wireshark /
Intensjon av artikkelen:
I denne artikkelen vil vi prøve å forstå noen velkjente porter gjennom Wireshark-analyse.
Hva er de viktige havnene?
Det er mange typer port. Her er sammendraget:
- Porter 0 til 1023 er kjente porter.
- Porter 1024 til 49151 er registrerte porter.
- Havnene 49152 til 65535 er offentlige havner.
Analyse i Wireshark:
Før vi bruker filter i Wireshark, bør vi vite hvilken port som brukes til hvilken protokoll. Her er noen eksempler:
Protokoll [Søknad] | Portnummer |
TCP [HTTP] | 80 |
TCP [FTP-data] | 20 |
TCP [FTP-kontroll] | 21 |
TCP / UDP [Telnet] | 23 |
TCP / UDP [DNS] | 53 |
UDP [DHCP] | 67,68 |
TCP [HTTPS] | 443 |
1. Port 80: Port 80 brukes av HTTP. La oss se en HTTP-pakkefangst.
Her 192.168.1.6 prøver å få tilgang til webserver der HTTP-server kjører. Så destinasjonsporten bør være port 80. Nå setter vi “Tcp.port == 80 ” som Wireshark-filter og se bare pakker der porten er 80.
Her er forklaringsskjermbildet
2. Port 53: Port 53 brukes av DNS. La oss se en DNS-pakkefangst.
Her 192.168.1.6 prøver å sende DNS-spørring. Så destinasjonsporten bør være port 53. Nå setter vi “Udp.port == 53 ” som Wireshark-filter og se bare pakker der porten er 53.
3. Port 443: Port 443 brukes av HTTPS. La oss se en HTTPS-pakkeopptak.
Nå setter vi “Tcp.port == 443 ” som Wireshark-filter og se bare HTTPS-pakker.
Her er forklaringen med skjermbilde
4. Offentlig / registrert havn:
Når vi bare kjører UDP gjennom Iperf, kan vi se at både kilde- og destinasjonsporter brukes fra registrerte / offentlige porter.
Her er skjermbildet med forklaring
5. Port 67, 68: Port 67,68 brukes av DHCP. La oss se en DHCP-pakkefangst.
Nå setter vi “Udp.dstport == 67 || udp.dstport == 68 ” som Wireshark-filter og se bare DHCP-relaterte pakker.
Her er forklaringen med skjermbilde
Sammendrag:
For portfiltrering i Wireshark bør du vite portnummeret.
I tilfelle det ikke er noen fast port, bruker systemet registrerte eller offentlige porter. Portfilter vil gjøre analysen din enkel å vise alle pakker til den valgte porten.