Slik bruker du displayfiltre i Wireshark
Wireshark er en GUI-basert nettverkspakkeanalysator som lar deg inspisere pakkedata fra et levende nettverk, samt fra en tidligere fanget fil. Selv om det er et veldig kraftig verktøy, er et vanlig problem som nybegynnere står overfor, at det viser så mye data at det blir veldig vanskelig for dem å finne frem til den faktiske informasjonen de leter etter. Det er her Wiresharks displayfiltre hjelper.
Merk - Hvis du er helt ny til Wireshark, anbefales det at du først går gjennom sin grunnleggende opplæring.
Vis filtre
Her er et eksempel på en live-fangst i Wireshark:
Merk at en stor del av GUI er brukt til å vise informasjon (som Tid, Kilde, Destinasjon og mer) om alle innkommende og utgående pakker. For å filtrere denne informasjonen i henhold til ditt krav, må du gjøre bruk av filterboksen til stede øverst i vinduet.
1. Filter informasjon basert på protokoll
For å filtrere resultater basert på en bestemt protokoll, skriv bare navnet sitt i filterboksen og trykk Enter. For eksempel viser følgende skjermbilde informasjon relatert til HTTP-protokollen:
Vær oppmerksom på at protokollkolonnen inneholder bare HTTP-oppføringer. Hvis det kreves informasjon relatert til mer enn én protokoll, skriv inn protokollnavnene skilt av et dobbeltrør (eller en logisk OR-operatør) ||
. Her er et eksempel:
http || arp || ICMP
2. Filtrer informasjon basert på IP-adresse
For å filtrere resultater basert på kilde-IP, bruk ip.src
filteret. Her er et eksempel:
ip.src == 50.116.24.50
På samme måte bruker du ip.dst
til å filtrere resultater basert på destinasjonens IP-adresse. Hvis du vil vise både kilde- og destinasjonspakker med en bestemt IP, bruker du ip.addr
filteret. Her er et eksempel:
ip.addr == 50.116.24.50
Vær oppmerksom på at pakkene med kilde- eller destinasjons-IP-adresse som 50.116.24.50 vises i utgangen.
For å ekskludere pakker med en bestemt IP-adresse, bruk !=
Operatøren. Her er et eksempel:
ip.src! = 50.116.24.50
3. Filtrer informasjon basert på port
Du kan også filtrere den fangede trafikken basert på nettverksporter. For eksempel, for å vise bare de pakkene som inneholder TCP-kilde eller destinasjonsport 80, bruk tcp.port
filteret. Her er et eksempel:
tcp.port == 80
På samme måte kan du bruke tcp.srcport
og tcp.dstport
å filtrere resultatene separat basert på henholdsvis TCP kilde og destinasjonsport.
Wireshark har også muligheten til å filtrere resultater basert på TCP-flagg. For eksempel, for å vise på de TCP-pakker som inneholder SYN-flagg, bruk tcp.flags.syn
filteret. Her er et eksempel:
På samme måte kan du også filtrere resultater basert på andre flagg som ACK, FIN og mer, ved hjelp av filtre som tcp.flags.ack
, tcp.flags.fin
og mer.
4. Noen andre nyttige filtre
Wireshark viser dataene i en pakke (som for øyeblikket er valgt) nederst i vinduet. Noen ganger, mens feilsøking av et problem, er det nødvendig å filtrere pakker basert på en bestemt bytesekvens. Du kan enkelt gjøre det ved hjelp av Wireshark.
For eksempel kan TCP-pakker som inneholder 00 00 01 bytesekvensen filtreres på følgende måte:
tcp inneholder 00:00:01
Fortsett, som du kan filtrere resultater basert på IP-adresser (forklart tidligere), du kan også filtrere resultater basert på MAC-adresser, ved hjelp av eth.addr
filteret. For eksempel, for å se all trafikken som kommer inn og ut av en maskin med MAC-adresse, si AA: BB: CC: DD: EE: FF, bruk følgende filterkommando:
et.addr == AA: BB: CC: DD: EE: FF
Konklusjon
Vi har knapt riper overflaten her, som Wireshark har mye mer å tilby. For mer informasjon om Wireshark display filtre, besøk Wireshark offisielle nettside eller Wiki Wireshark nettsted. Hvis du har noen tvil eller spørre, legg igjen en kommentar nedenfor.