Sådan bruges displayfiltre i Wireshark
Wireshark er en GUI-baseret netværkspakkeanalysator, der lader dig inspicere pakkedata fra et live-netværk såvel som fra en tidligere optaget fil. Selv om det er et meget kraftfuldt værktøj, er et fælles problem, som nybegyndere står overfor, at det viser så meget data, at det bliver virkelig svært for dem at finde frem til de faktiske oplysninger, de søger. Det er her, Wiresharks displayfiltre hjælper.
Bemærk - Hvis du er helt ny til Wireshark, anbefales det, at du først går gennem sin grundlæggende tutorial.
Vis filtre
Her er et eksempel på en live capture i Wireshark:
Bemærk, at en stor del af GUI'en bruges til at vise information (som tid, kilde, destination osv.) Om alle indkommende og udgående pakker. For at filtrere disse oplysninger i henhold til dit krav skal du gøre brug af den viste filterboks øverst i vinduet.
1. Filtrer oplysninger baseret på protokol
Hvis du vil filtrere resultater baseret på en bestemt protokol, skal du blot skrive sit navn i filterboksen og trykke på Enter. For eksempel viser følgende skærmbillede oplysninger relateret til HTTP-protokollen:
Vær opmærksom på, at protokollens kolonne kun indeholder HTTP-poster. Hvis der kræves oplysninger relateret til mere end en protokol, skal du indtaste protokollenavne adskilt af et dobbeltrør (eller en logisk OR-operatør) ||
. Her er et eksempel:
http || arp || ICMP
2. Filtrer oplysninger baseret på IP-adresse
Hvis du vil filtrere resultater baseret på kilde-IP, skal du bruge ip.src
filteret. Her er et eksempel:
ip.src == 50.116.24.50
Tilsvarende bruger ip.dst
til at filtrere resultater baseret på destinationens IP-adresse. Hvis du vil vise både kilde- og destinationspakker med en bestemt IP, skal du bruge ip.addr
filteret. Her er et eksempel:
ip.addr == 50.116.24.50
Vær opmærksom på at pakkerne med kilde- eller destinations-IP-adresse som 50.116.24.50 vises i udgangen.
For at udelukke pakker med en bestemt IP-adresse skal du bruge !=
Operatøren. Her er et eksempel:
ip.src! = 50.116.24.50
3. Filtrer oplysninger baseret på port
Du kan også filtrere den indfangede trafik baseret på netværksporte. Hvis du f.eks. Kun viser de pakker, der indeholder TCP-kilde eller destinationsport 80, skal du bruge tcp.port
filteret. Her er et eksempel:
tcp.port == 80
Tilsvarende kan du bruge tcp.srcport
og tcp.dstport
til separat at filtrere resultater baseret på henholdsvis TCP kilde og destinationsporte.
Wireshark har også mulighed for at filtrere resultater baseret på TCP flag. Hvis du f.eks. tcp.flags.syn
vise de TCP-pakker, der indeholder SYN-flag, skal du bruge tcp.flags.syn
filteret. Her er et eksempel:
Tilsvarende kan du også filtrere resultater baseret på andre flag som ACK, FIN og meget mere ved at bruge filtre som henholdsvis tcp.flags.ack
, tcp.flags.fin
og mere.
4. Nogle andre nyttige filtre
Wireshark viser dataene i en pakke (som aktuelt er valgt) nederst i vinduet. Nogle gange er det nødvendigt at filtrere pakker baseret på en bestemt bytesekvens under afvikling af et problem. Du kan nemt gøre det ved hjælp af Wireshark.
For eksempel kan TCP-pakker indeholdende 00 00 01 bytesekvensen filtreres på følgende måde:
tcp indeholder 00:00:01
Fortsæt, ligesom du kan filtrere resultater baseret på IP-adresser (forklaret tidligere), kan du også filtrere resultater baseret på MAC-adresser ved hjælp af eth.addr
filteret. For eksempel, for at se al trafikken, der kommer ind og ud af en maskine med MAC-adresse, skal du sige AA: BB: CC: DD: EE: FF, brug følgende filterkommando:
eth.addr == AA: BB: CC: DD: EE: FF
Konklusion
Vi har næppe ridset overfladen her, som Wireshark har meget mere at byde på. For mere information om Wireshark display filtre, besøg Wireshark officielle hjemmeside eller Wiki Wireshark hjemmeside. Hvis du har nogen tvivl eller forespørgsel, skal du give en kommentar nedenfor.