Hva er Wireshark?
Wireshark er et verktøy for fangst og analyse av nettverkspakker. Det er et åpen kildekode -verktøy. Det er andre nettverksverktøy, men Wireshark er et av de sterkeste verktøyene blant dem. Wireshark kan også kjøres i Windows, Linux, MAC etc operativsystem.
Hvordan ser Wireshark ut?
Her er bildet av Wireshark versjon 2.6.3 i Windows10. Wireshark GUI kan endres avhengig av Wireshark -versjon.
Hvor skal jeg sette filteret i Wireshark?
Se på det merkede stedet i Wireshark hvor du kan sette skjermfilter.
Hvordan sette IP -adresser Displayfilter i Wireshark?
Det er forskjellige måter du kan bruke display -IP -filter på.
- Kilde -IP -adresse:
Anta at du er interessert i pakker fra en bestemt kilde -IP -adresse. Så du kan bruke visningsfilter som nedenfor.
ip.src == X.X.X.X =>ip.src == 192.168.1.199Deretter må du trykke enter eller bruke for å få effekten av displayfilteret.
Sjekk bildet nedenfor for scenario
- Destinasjonens IP -adresse :
Anta at du er interessert i pakker som er bestemt for en bestemt IP -adresse. Så du kan bruke visningsfilter som nedenfor.
ip.dst == X.X.X.X =>ip.dst == 192.168.1.199Deretter må du trykke enter eller bruke for å få effekten av displayfilteret.
Sjekk bildet nedenfor for scenario
- Bare IP -adresse:
Anta at du er interessert i pakker som har en bestemt IP -adresse. Den IP -adressen er enten kilde- eller destinasjons -IP -adresse. Så du kan bruke visningsfilter som nedenfor.
ip.addr == X.X.X.X =>ip.adr == 192.168.1.199Deretter må du trykke enter eller bruke [For noen eldre Wireshark -versjon] for å få effekten av displayfilteret.
Sjekk bildet nedenfor for scenario
Så når du setter filteret som ip.addr == 192.168.1.199 så viser Wireshark hver pakke der Source ip == 192.168.1.199 eller Destination ip == 192.168.1.199.
På en annen måte skriver du filter som nedenfor også
ip.src == 192.168.1.199||ip.dst == 192.168.1.199Se skjermbilde nedenfor for visningsfilter ovenfor
Merk:
- Sørg for at skjermfilterbakgrunnen er grønn når du skriver inn et filter, ellers er filteret ugyldig.
Her er skjermbilde av gyldig filter.
Her er skjermbildet for ugyldig filter.
- Du kan utføre flere IP -filtreringer basert på logiske forhold [|| , &&]
ELLER tilstand:
(ip.src == 192.168.1.199) || (ip.dst == 192.168.1.199)OG tilstand:
(ip.src == 192.168.1.199) && (ip.dst == 192.168.1.1)Hvordan sette et IP -adressefiltreringsfilter i Wireshark?
Følg skjermbildene nedenfor for å sette fangstfilter i Wireshark
Merk:
- Som skjermfilterfangstfilter anses også som gyldig hvis bakgrunnen er grønn.
- Husk at visningsfiltre er forskjellige fra fangstfilter ved syntaks.
Følg denne lenken for gyldige fangstfiltre
https://wiki.wireshark.org/CaptureFilters
Hva er forholdet mellom Capture filter og Display filter?
Hvis fangstfilter er angitt og Wireshark vil fange opp pakkene som samsvarer med fangstfilter.
For eksempel:
Capture filter er angitt som nedenfor, og Wireshark startes.
vert 192.168.1.199Etter at Wireshark er stoppet, kan vi bare se pakke fra eller bestemt 192.168.1.199 i hele fangst. Wireshark fanget ikke opp noen annen pakke hvis kilde eller destinasjons -ip ikke er 192.168.1.199. Kommer nå til visningsfilter. Når fangst er fullført, kan vi sette skjermfiltre for å filtrere ut pakkene vi vil se ved denne bevegelsen.
På en annen måte kan vi si: Anta at vi blir bedt om å kjøpe to typer frukt eple og mango. Så her er fangstfilter mango og eple. Etter at du har med deg mango [forskjellige typer] og epler [grønn, rød osv.], Vil du nå bare se grønne epler fra alle eplene. Så her er grønt eple displayfilter. Hvis jeg ber deg om å vise meg appelsin fra fruktene, kan du ikke vise ettersom du ikke kjøpte appelsiner. Hvis du hadde kjøpt alle typer frukt [Betyr at du ikke ville ha satt noe fangstfilter] kunne du ha vist meg appelsiner