Vad är Wireshark?
Wireshark är ett verktyg för att fånga och analysera nätverkspaket. Det är ett verktyg för öppen källkod. Det finns andra nätverksverktyg men Wireshark är ett av de starkaste verktygen bland dem. Wireshark kan också köras i Windows, Linux, MAC etc operativsystem.
Hur ser Wireshark ut?
Här är bilden av Wireshark version 2.6.3 i Windows10. Wireshark GUI kan ändras beroende på Wireshark -versionen.
Var ska man lägga filtret i Wireshark?
Titta på den markerade platsen i Wireshark där du kan sätta displayfilter.
Hur lägger jag IP -adresser Displayfilter i Wireshark?
Det finns olika sätt att använda display -IP -filter.
- Källa IP -adress:
Anta att du är intresserad av paket från en viss käll -IP -adress. Så du kan använda displayfilter enligt nedan.
ip.src == X.X.X.X =>ip.src == 192.168.1.199Sedan måste du trycka på enter eller tillämpa för att få effekt av displayfiltret.
Kontrollera bilden nedan för scenario
- Destinationens IP -adress :
Anta att du är intresserad av paket som är avsedda för en viss IP -adress. Så du kan använda displayfilter enligt nedan.
ip.dst == X.X.X.X =>ip.dst == 192.168.1.199Sedan måste du trycka på enter eller tillämpa för att få effekt av displayfiltret.
Kontrollera bilden nedan för scenario
- Bara IP -adress:
Anta att du är intresserad av paket som har en särskild IP -adress. Den IP -adressen är antingen källa eller destinations -IP -adress. Så du kan använda displayfilter enligt nedan.
ip.addr == X.X.X.X =>ip.adr == 192.168.1.199Sedan måste du trycka på enter eller tillämpa [För någon äldre Wireshark -version] för att få effekt av displayfiltret.
Kontrollera bilden nedan för scenario
Så när du sätter filtret som ip.addr == 192.168.1.199 så kommer Wireshark att visa varje paket där Source ip == 192.168.1.199 eller Destination ip == 192.168.1.199.
På ett annat sätt skriver du filter som nedan också
ip.src == 192.168.1.199||ip.dst == 192.168.1.199Se skärmdump nedan för visningsfilter ovan
Notera:
- Se till att displayfilterbakgrunden är grön när du anger något filter annars är filtret ogiltigt.
Här är en skärmdump av ett giltigt filter.
Här är skärmdumpen för ogiltigt filter.
- Du kan göra flera IP -filtrering baserat på logiska förhållanden [|| , &&]
ELLER skick:
(ip.src == 192.168.1.199) || (ip.dst == 192.168.1.199)OCH skick:
(ip.src == 192.168.1.199) && (ip.dst == 192.168.1.1)Hur lägger jag filter för IP -adresser i Wireshark?
Följ skärmdumparna nedan för att sätta fångstfilter i Wireshark
Notera:
- Liksom visningsfilter fångstfilter anses också som giltigt om bakgrunden är grön.
- Kom ihåg att displayfilter skiljer sig från capture -filter vid syntax.
Följ den här länken för giltiga inspelningsfilter
https://wiki.wireshark.org/CaptureFilters
Vad är förhållandet mellan Capture filter och Display filter?
Om fångningsfilter är inställt och då kommer Wireshark att fånga de paket som matchar med fångningsfilter.
Till exempel:
Capture filter är inställt enligt nedan och Wireshark startas.
värd 192.168.1.199Efter att Wireshark har stoppats kan vi bara se paket från eller avsedda 192.168.1.199 i hela fångst. Wireshark fångade inte upp något annat paket vars källa eller destinations -ip inte är 192.168.1.199. Kommer nu att visa filter. När inspelningen är klar kan vi sätta displayfilter för att filtrera bort paketen vi vill se vid den rörelsen.
På ett annat sätt kan vi säga, Anta att vi blir ombedda att köpa två sorters frukt äpple och mango. Så här fångstfilter är mango och äpplen. Efter att du fått med dig mango [olika typer] och äpplen [grönt, rött etc], nu vill du bara se gröna äpplen från alla äpplen. Så här är grönt äpple displayfilter. Nu om jag ber dig visa mig apelsin från frukterna, kan du inte visa eftersom du inte köpte apelsiner. Om du skulle ha köpt alla typer av frukter [Det betyder att du inte hade satt något fångstfilter] hade du kunnat visa mig apelsiner