Hva er portfiltrering?

Portfiltrering er måten å filtrere pakker basert på portnummer. Følg lenken nedenfor:
https: // linuxhint.com/filter_by_ip_wireshark/

Intensjonen med artikkelen:

I denne artikkelen vil vi prøve å forstå noen godt kjente porter gjennom Wireshark -analyse.

Hva er de viktige portene?

Det er mange typer port. Her er sammendraget:

• Porter 0 til 1023 er kjente porter.
• Porter 1024 til 49151 er registrerte porter.
• Porter 49152 til 65535 er offentlige havner.

Analyse i Wireshark:

Før vi bruker filter i Wireshark, bør vi vite hvilken port som brukes til hvilken protokoll. Her er noen eksempler:

1. Port 80: Port 80 brukes av HTTP. La oss se en HTTP -pakkefangst.

Her 192.168.1.6 prøver å få tilgang til webserver der HTTP -serveren kjører. Så destinasjonsport skal være port 80. Nå setter vi “TCP.port == 80 ” som wireshark filter og se bare pakker der port er 80.

Her er forklaringsskjermbildet

2. Port 53: Port 53 brukes av DNS. La oss se en DNS -pakkefangst.

Her 192.168.1.6 prøver å sende DNS -spørring. Så destinasjonsport skal være port 53. Nå setter vi “UDP.port == 53 ” som wireshark filter og se bare pakker der port er 53.

3. Port 443: Port 443 brukes av HTTPS. La oss se en https -pakkefangst.

Nå setter vi “TCP.port == 443 ” Som Wireshark filter og ser bare HTTPS -pakker.

Her er forklaringen med skjermbilde

4. Offentlig/registrert port:

Når vi bare kjører UDP gjennom IPERF, kan vi se både kilde- og destinasjonsporter brukes fra registrerte/offentlige porter.

Her er skjermbildet med forklaring

5. Port 67, 68: Port 67,68 brukes av DHCP. La oss se en DHCP -pakkefangst.

Nå setter vi “UDP.dstport == 67 || UDP.dstport == 68 ” Som wireshark filter og ser bare DHCP -relaterte pakker.

Her er forklaringen med skjermbilde

Sammendrag:

For portfiltrering i Wireshark bør du kjenne portnummeret.

I tilfelle det ikke er noen fast port, bruker systemet registrerte eller offentlige porter. Portfilter vil gjøre analysen din enkel å vise alle pakker til den valgte porten.