Tecnologie spiegate in parole semplici

Come utilizzare i filtri di visualizzazione in Wireshark

Wireshark è un analizzatore di pacchetti di rete basato su GUI che ti consente di ispezionare i dati dei pacchetti da una rete dal vivo e da un file precedentemente catturato. Anche se è uno strumento molto potente, un problema comune che affrontano i principianti è che mostra così tanti dati che diventa davvero difficile individuare le informazioni reali che stanno cercando. Qui è dove i filtri di visualizzazione di Wireshark aiutano.

Nota – Se sei completamente nuovo a Wireshark, è consigliato prima di seguire il suo tutorial di base.

Filtri di visualizzazione

Ecco un esempio di una cattura dal vivo in Wireshark:

wireshark-live-capture

Nota che una parte importante della GUI è utilizzata per visualizzare informazioni (come Tempo, Sorgente, Destinazione e altro) su tutti i pacchetti in ingresso e in uscita. Per filtrare queste informazioni in base alle tue esigenze, devi utilizzare la casella di filtro presente nella parte superiore della finestra.

1. Filtrare le informazioni in base al protocollo

Per filtrare i risultati in base a un protocollo specifico, basta scrivere il suo nome nella casella di filtro e premere invio. Ad esempio, lo screenshot seguente mostra informazioni relative al protocollo HTTP:

wireshark-http

Osserva che la colonna Protocollo contiene solo voci HTTP. Se hai bisogno di informazioni relative a più di un protocollo, inserisci i nomi dei protocolli separati da una doppia barra verticale (o un operatore OR logico) ||. Ecco un esempio:

http || arp || icmp

wireshark-multiple-protocols

2. Filtrare le informazioni in base all’indirizzo IP

Per filtrare i risultati in base all’IP di origine, utilizza il filtro ip.src. Ecco un esempio:

ip.src==50.116.24.50

wireshark-ip

Allo stesso modo, utilizza ip.dst per filtrare i risultati in base all’indirizzo IP di destinazione. Per visualizzare sia i pacchetti di origine che di destinazione con un determinato IP, utilizza il filtro ip.addr. Ecco un esempio:

ip.addr==50.116.24.50

wireshark-ip-addr

Osserva che i pacchetti con un indirizzo IP di origine o di destinazione uguale a 50.116.24.50 sono visualizzati nell’output.

Per escludere pacchetti con un indirizzo IP specifico, utilizza l’operatore !=. Ecco un esempio:

ip.src!=50.116.24.50

wireshark-exclude-ip

3. Filtrare le informazioni in base alla porta

Puoi anche filtrare il traffico catturato in base alle porte di rete. Ad esempio, per visualizzare solo quei pacchetti che contengono una porta di origine o destinazione TCP 80, utilizza il filtro tcp.port. Ecco un esempio:

tcp.port==80

wireshark-tcp-port

Allo stesso modo, puoi usare tcp.srcport e tcp.dstport per filtrare separatamente i risultati in base alle porte di origine e di destinazione TCP, rispettivamente.

Wireshark ha anche la capacità di filtrare i risultati in base ai flag TCP. Ad esempio, per visualizzare solo quei pacchetti TCP che contengono il flag SYN, utilizza il filtro tcp.flags.syn. Ecco un esempio:

wireshark-tcp-flags

Allo stesso modo, puoi anche filtrare i risultati in base ad altri flag come ACK, FIN e altro, utilizzando filtri come tcp.flags.ack, tcp.flags.fin, e così via.

4. Alcuni altri filtri utili

Wireshark visualizza i dati contenuti da un pacchetto (che è attualmente selezionato) nella parte inferiore della finestra. A volte, durante la risoluzione dei problemi, è necessario filtrare i pacchetti in base a una particolare sequenza di byte. Puoi farlo facilmente utilizzando Wireshark.

Ad esempio, i pacchetti TCP contenenti la sequenza di byte 00 00 01 possono essere filtrati usando il seguente modo:

tcp contains 00:00:01

wireshark-byte-seq

Passando a un altro argomento, proprio come puoi filtrare i risultati in base agli indirizzi IP (spiegato in precedenza), puoi anche filtrare i risultati in base agli indirizzi MAC, utilizzando il filtro eth.addr. Ad esempio, per vedere tutto il traffico in entrata e in uscita da una macchina con indirizzo MAC, diciamo AA:BB:CC:DD:EE:FF, utilizza il seguente comando di filtro:

eth.addr == AA:BB:CC:DD:EE:FF

Conclusione

Abbiamo appena graffiato la superficie qui, poiché Wireshark ha molto di più da offrire. Per ulteriori informazioni sui filtri di visualizzazione di Wireshark, visita il sito ufficiale di Wireshark o il sito Wiki di Wireshark. Se hai qualche dubbio o domanda, lascia un commento qui sotto.

Contenuto

  1. Filtri di visualizzazione
  2. 1. Filtrare le informazioni in base al protocollo
  3. 2. Filtrare le informazioni in base all'indirizzo IP
  4. 3. Filtrare le informazioni in base alla porta
  5. 4. Alcuni altri filtri utili
  6. Conclusione
Ello-dashboardprofile

Ello: Esplorando il Social Network Privato

Bitdefender Non Installato: 3 Soluzioni Facili Che Puoi Usare

Ulteriori informazioni sulle correzioni di Bitdefender

Google elimina Inbox e gli dà sei mesi di vita

rapporti-aspetto-16x9

Comprendere i Rapporti di Aspetto dei Video

Gestore di File con Tag per Organizzare i Tuoi File: Top 5

Correggi wake on LAN non funzionante

Wake On LAN Non Funziona su Windows [Risolto]

easycap-mac-mspacman-console

Utilizzare EasyCAP per acquisire VHS e console su Mac

Google testa una nuova funzionalità di Chrome per l'idoneità all'aggiornamento a Windows 11