Phenquestions
Hvad er Wireshark?
Wireshark er et netværkspakkeindfangnings- og analyseværktøj. Det er et open source-værktøj. Der er andre netværksværktøjer, men Wireshark er et af de stærkeste værktøjer blandt dem. Wireshark kan også køres i Windows, Linux, MAC osv.
Hvordan Wireshark ser ud?
Her er billedet af Wireshark version 2.6.3 i Windows10. Wireshark GUI kan ændres afhængigt af Wireshark-versionen.
Hvor skal filteret anbringes i Wireshark?
Se på det markerede sted i Wireshark, hvor du kan placere displayfilter.
Sådan placeres IP-adresser Displayfilter i Wireshark?
Der er forskellige måder, du kan bruge display IP-filter på.
- Kilde IP-adresse:
Antag at du er interesseret i pakker fra en bestemt kilde-IP-adresse. Så du kan bruge displayfilter som nedenfor.
ip.src == X.x.x.X => ip.src == 192.168.1.199Derefter skal du trykke på enter eller anvende for at få effekten af displayfiltret.
Tjek nedenstående billede for scenarie
- Destinationens IP-adresse :
Antag at du er interesseret i pakker, der er bestemt til en bestemt IP-adresse. Så du kan bruge displayfilter som nedenfor.
ip.dst == X.x.x.X => ip.dst == 192.168.1.199Derefter skal du trykke på enter eller anvende for at få effekten af displayfiltret.
Tjek nedenstående billede for scenarie
- Bare IP-adresse:
Antag at du er interesseret i pakker med en bestemt IP-adresse. Denne IP-adresse er enten kilde- eller destinations-IP-adresse. Så du kan bruge displayfilter som nedenfor.
ip.addr == X.x.x.X => ip.adr == 192.168.1.199Derefter skal du trykke på enter eller anvende [For nogle ældre Wireshark-version] for at få effekten af displayfilteret.
Tjek nedenstående billede for scenarie
Så når du sætter filter som “ip.addr == 192.168.1.199 ”, så viser Wireshark hver pakke, hvor Source ip == 192.168.1.199 eller Destination ip == 192.168.1.199.
På en anden måde skriver du også filter som nedenfor
ip.src == 192.168.1.199 || ip.dst == 192.168.1.199Se nedenstående skærmbillede for ovenstående skærmfilter
Bemærk:
- Sørg for, at skærmfilterbaggrunden er grøn, når du indtaster et filter, ellers er filteret ugyldigt.
Her er skærmbillede af gyldigt filter.
Her er skærmbilledet for ugyldigt filter.
- Du kan foretage flere IP-filtreringer baseret på logiske forhold [|| , &&]
ELLER tilstand:
(ip.src == 192.168.1.199) || (ip.dst == 192.168.1.199)OG tilstand:
(ip.src == 192.168.1.199) && (ip.dst == 192.168.1.1)Sådan placeres IP-adressefangstfilter i Wireshark?
Følg nedenstående skærmbilleder for at sætte capture-filter i Wireshark
Bemærk:
- Ligesom skærmfilterfangstfilter betragtes også som gyldigt, hvis baggrunden er grøn.
- Husk, at skærmfiltre er forskellige fra indfangningsfilteret i tilfælde af syntaks.
Følg dette link for gyldige opsamlingsfiltre
https: // wiki.wireshark.org / CaptureFilters
Hvad er forholdet mellem Capture filter og Display filter?
Hvis opsamlingsfilter er indstillet, og så vil Wireshark fange de pakker, der matcher med indfangningsfilter.
For eksempel:
Capture filter er indstillet som nedenfor, og Wireshark startes.
vært 192.168.1.199Når Wireshark er stoppet, kan vi kun se pakke fra eller bestemt til 192.168.1.199 i hele fangst. Wireshark fangede ikke nogen anden pakke, hvis kilde eller destinations-ip ikke er 192.168.1.199. Kommer nu til at vise filter. Når optagelsen er afsluttet, kan vi placere displayfiltre for at filtrere de pakker, vi ønsker at se, ved denne bevægelse.
På en anden måde kan vi sige: Antag, at vi bliver bedt om at købe to typer frugter æble og mango. Så her er fangefilter mango og æbler. Når du har mango [forskellige typer] og æbler [grøn, rød osv.] Med dig, vil du nu kun se grønne æbler fra alle æbler. Så her er grønt æble displayfilter. Hvis jeg nu beder dig om at vise mig appelsin fra frugterne, kan du ikke vise, da du ikke købte appelsiner. Hvis du ville have købt alle slags frugter (betyder, at du ikke havde sat noget opsamlingsfilter), kunne du have vist mig appelsiner
