Как использовать фильтры отображения в Wireshark
Wireshark - это анализатор сетевых пакетов с графическим интерфейсом, который позволяет вам исследовать данные пакетов из живой сети, а также из ранее захваченного файла. Хотя это очень мощный инструмент, обычной проблемой, с которой сталкиваются новички, является то, что он отображает так много данных, что становится действительно сложно найти ту информацию, которую они ищут. Здесь на помощь приходят фильтры отображения Wireshark.
Примечание – Если вы совершенно новичок в Wireshark, рекомендуется сначала пройти его базовый учебник.
Фильтры отображения
Вот пример живого захвата в Wireshark:
Обратите внимание, что большая часть графического интерфейса используется для отображения информации (например, Время, Источник, Назначение и т.д.) обо всех входящих и исходящих пакетах. Чтобы отфильтровать эту информацию в соответствии с вашими требованиями, вам нужно использовать поле Фильтра, расположенное в верхней части окна.
1. Фильтрация информации по протоколу
Для фильтрации результатов по конкретному протоколу просто введите его название в поле фильтра и нажмите Enter. Например, следующий скриншот отображает информацию, связанную с протоколом HTTP:
Обратите внимание, что в столбце Протокол содержатся только записи HTTP. Если требуется информация, связанная с несколькими протоколами, введите названия протоколов, разделенные двойной вертикальной чертой (или логическим оператором ИЛИ) ||. Вот пример:
http || arp || icmp
2. Фильтрация информации по IP-адресу
Чтобы отфильтровать результаты по исходному IP, используйте фильтр ip.src. Вот пример:
ip.src==50.116.24.50
Аналогично, используйте ip.dst, чтобы отфильтровывать результаты по IP-адресу назначения. Чтобы отобразить как исходные, так и целевые пакеты с определенным IP, используйте фильтр ip.addr. Вот пример:
ip.addr==50.116.24.50
Обратите внимание, что пакеты с исходным или целевым IP-адресом 50.116.24.50 отображаются в выводе.
Чтобы исключить пакеты с определенным IP-адресом, используйте оператор !=. Вот пример:
ip.src!=50.116.24.50
3. Фильтрация информации по порту
Вы также можете фильтровать захваченный трафик по сетевым портам. Например, чтобы отобразить только те пакеты, которые содержат TCP исходный или целевой порт 80, используйте фильтр tcp.port. Вот пример:
tcp.port==80
Аналогично, вы можете использовать tcp.srcport и tcp.dstport, чтобы отдельно фильтровать результаты по исходным и целевым портам TCP соответственно.
Wireshark также имеет возможность фильтровать результаты по флагам TCP. Например, чтобы отображать только те TCP-пакеты, которые содержат флаг SYN, используйте фильтр tcp.flags.syn. Вот пример:
Аналогично, вы также можете фильтровать результаты по другим флагам, таким как ACK, FIN и т.д., используя фильтры, такие как tcp.flags.ack, tcp.flags.fin и другие соответственно.
4. Другие полезные фильтры
Wireshark отображает данные, содержащиеся в пакете (который в данный момент выбран), внизу окна. Иногда, при отладке проблемы, требуется отфильтровать пакеты на основе конкретной последовательности байтов. Вы можете легко сделать это с помощью Wireshark.
Например, TCP-пакеты, содержащие последовательность байтов 00 00 01, можно отфильтровать следующим образом:
tcp contains 00:00:01
Продолжая, так же, как вы можете фильтровать результаты по IP-адресам (объяснено ранее), вы также можете фильтровать результаты по MAC-адресам, используя фильтр eth.addr. Например, чтобы увидеть весь трафик, приходящий и исходящий из машины с MAC-адресом, скажем, AA:BB:CC:DD:EE:FF, используйте следующую фильтрационную команду:
eth.addr == AA:BB:CC:DD:EE:FFЗаключение
Мы едва коснулись поверхности, так как Wireshark предлагает гораздо больше. Для получения дополнительной информации о фильтрах отображения Wireshark посетите официальный сайт Wireshark или сайт Wiki Wireshark. Если у вас есть какие-либо сомнения или вопросы, оставьте комментарий ниже.
