Så här använder du visningsfilter i Wireshark
Wireshark är en GUI-baserad nätverkspaketanalysator som låter dig inspektera paketdata från ett levande nätverk såväl som från en tidigare infångad fil. Även om det är ett mycket kraftfullt verktyg, är ett vanligt problem som nybörjare står inför, att det visar så mycket data att det blir väldigt svårt för dem att hitta den aktuella informationen de söker. Det här är Wiresharks displayfilter som hjälper.
Obs! Om du är helt ny på Wireshark rekommenderas att du först går igenom sin grundläggande handledning.
Visa filter
Här är ett exempel på en live-fångst i Wireshark:
Observera att en stor del av GUI används för att visa information (som Tid, Källa, Destination och mer) om alla inkommande och utgående paket. För att filtrera denna information enligt ditt krav måste du använda den aktuella filterrutan högst upp i fönstret.
1. Filtrera information baserat på protokoll
För att filtrera resultat baserat på ett specifikt protokoll skriver du bara namnet i filterrutan och trycker på enter. Till exempel visar följande skärmbild information som är relaterad till HTTP-protokollet:
Observera att protokollkolonnen endast innehåller HTTP-poster. Om information relaterad till mer än ett protokoll krävs, ange protokollnamnen separerade av ett dubbelrör (eller en logisk OR-operatör) ||
. Här är ett exempel:
http || arp || ICMP
2. Filtrera information baserat på IP-adress
För att filtrera resultat baserat på ip.src
IP, använd ip.src
filtret. Här är ett exempel:
ip.src == 50.116.24.50
På samma sätt använder du ip.dst
att filtrera resultat baserat på destinationens IP-adress. För att visa både käll- och destinationspaket med en viss IP, använd ip.addr
filtret. Här är ett exempel:
ip.addr == 50.116.24.50
Observera att paketen med käll- eller destinations-IP-adress som 50.116.24.50 visas i utgången.
För att utesluta paket med en viss IP-adress, använd !=
Operatören. Här är ett exempel:
ip.src! = 50.116.24.50
3. Filtrera information baserat på port
Du kan även filtrera den infångade trafiken baserat på nätverksportar. Om du exempelvis vill visa bara de paket som innehåller TCP-källa eller destinationsport 80 använder du tcp.port
filtret. Här är ett exempel:
tcp.port == 80
På samma sätt kan du använda tcp.srcport
och tcp.dstport
att separat filtrera resultat baserat på respektive TCP-källa och destinationsportar.
Wireshark har också möjlighet att filtrera resultat baserat på TCP-flaggor. Till exempel, för att visa på de TCP-paket som innehåller SYN-flaggan, använd tcp.flags.syn
filtret. Här är ett exempel:
På samma sätt kan du också filtrera resultat baserat på andra flaggor som ACK, FIN och mer, genom att använda filter som tcp.flags.ack
, tcp.flags.fin
och mer.
4. Några andra användbara filter
Wireshark visar data som finns i ett paket (vilket är valt för närvarande) längst ner i fönstret. Ibland är det nödvändigt att filtrera paket baserat på en viss bytesekvens när du fejkar ett problem. Du kan enkelt göra det med Wireshark.
T.ex. kan TCP-paket innehållande 00 00 01 bytesekvensen filtreras på följande sätt:
tcp innehåller 00:00:01
Att fortsätta, precis som du kan filtrera resultat baserat på IP-adresser (förklaras tidigare), kan du också filtrera resultat baserat på MAC-adresser, med hjälp av eth.addr
filtret. Till exempel, för att se all trafik som kommer in och ut ur en maskin med MAC-adress, säg AA: BB: CC: DD: EE: FF, använd följande filterkommando:
et.addr == AA: BB: CC: DD: EE: FF
Slutsats
Vi har knappt repat ytan här, som Wireshark har mycket mer att erbjuda. För mer information om Wireshark-displayfilter, besök Wiresharks officiella hemsida eller Wiki Wireshark-webbplatsen. Om du har någon tvivel eller fråga, lämna en kommentar nedan.