Мы интегрируемся с внешней компанией, в которой нам пришлось установить определенные ограничения по IP и портам.
Во-первых, я новичок в сетевом администрировании, поэтому, если я что-нибудь убью, пожалуйста, простите меня.
Я использую Wireshark, чтобы попытаться поймать входящий трафик на мою машину, и наткнулся на сообщение, в котором использовалось следующее выражение фильтра:
(ip.dst_host == 192.168.20.155) || (ip.src_host == 192.168.20.155 && tcp.srcport == 80) && tcp
Если я проверяю входящую HTTP-почту через порт 80 ... этого будет достаточно? Кроме того, если бы я дополнительно хотел проверить входящие сообщения HTTPS на порту 443, как бы мне это изменить?
Спасибо заранее.
Вам нужно различать фильтры захвата и фильтры отображения. Синтаксис, который вы показываете, - это фильтр отображения Wireshark. Фильтры дисплея используются для фильтрации трафика с дисплея, но не используются для фильтрации трафика во время захвата. Вы можете узнать больше о фильтрах отображения Wireshark из Wireshark wiki.
Если вы собираетесь выполнять длительный захват и хотите ограничить размер файлов захвата, вы, вероятно, захотите использовать фильтр захвата. В фильтрах захвата Wireshark используется синтаксис фильтра tcpdump, поэтому статья о фильтрах tcpdump поможет вам.
Например, чтобы захватывать только HTTP-трафик к / от хоста 10.0.0.1, вы можете использовать фильтр захвата host 10.0.0.1 and tcp and port 80
. Если вы хотите, чтобы он включал трафик HTTPS (порт TCP 443), вы можете изменить его, чтобы читать host 10.0.0.1 and tcp and (port 80 or port 443)
.
Чтобы фильтр отображения делал то же самое только с HTTP, вы бы посмотрели на ip.addr == 10.0.0.1 && tcp.port == 80
. И для HTTP, и для HTTPS вы бы посмотрели на ip.addr == 10.0.0.1 && (tcp.port == 80 || tcp.port == 443)
.