Το Wireshark είναι ένας αναλυτής πακέτων δικτύου που βασίζεται σε GUI, ο οποίος σας επιτρέπει να ελέγχετε τα πακέτα δεδομένων από ένα ζωντανό δίκτυο καθώς και από ένα αρχείο που έχει ληφθεί προηγουμένως. Παρόλο που είναι ένα πολύ ισχυρό εργαλείο, ένα κοινό πρόβλημα που αντιμετωπίζουν οι newbies είναι ότι εμφανίζει τόσα πολλά δεδομένα που δυσκολεύει πραγματικά να εντοπίσουν τις πραγματικές πληροφορίες που αναζητούν. Αυτό βοηθά τα φίλτρα οθόνης της Wireshark.

Σημείωση - Αν είστε εντελώς νέοι στο Wireshark, συνιστάται να πραγματοποιήσετε πρώτα το βασικό του σεμινάριο.

Εμφάνιση φίλτρων

Ακολουθεί ένα παράδειγμα ζωντανής σύλληψης στο Wireshark:

Σημειώστε ότι ένα μεγάλο μέρος του GUI χρησιμοποιείται για την εμφάνιση πληροφοριών (όπως Time, Source, Destination και άλλα) για όλα τα εισερχόμενα και εξερχόμενα πακέτα. Για να φιλτράρετε αυτές τις πληροφορίες σύμφωνα με τις απαιτήσεις σας, πρέπει να χρησιμοποιήσετε το πλαίσιο φίλτρου που βρίσκεται στο επάνω μέρος του παραθύρου.

1. Φιλτράρετε πληροφορίες βάσει πρωτοκόλλου

Για να φιλτράρετε αποτελέσματα με βάση ένα συγκεκριμένο πρωτόκολλο, απλά γράψτε το όνομά του στο πλαίσιο φίλτρου και πατήστε enter. Για παράδειγμα, στην παρακάτω οθόνη εμφανίζονται πληροφορίες σχετικά με το πρωτόκολλο HTTP:

Παρατηρήστε ότι η στήλη Protocol περιέχει μόνο καταχωρήσεις HTTP. Εάν απαιτούνται πληροφορίες που αφορούν περισσότερα από ένα πρωτόκολλα, καταχωρίστε τα ονόματα πρωτοκόλλων που χωρίζονται από διπλό σωλήνα (ή λογικό τελεστή OR) || . Ακολουθεί ένα παράδειγμα:

 http || arp || icmp

2. Φιλτράρετε πληροφορίες βάσει της διεύθυνσης IP

Για να φιλτράρετε τα αποτελέσματα με βάση την προέλευση IP, χρησιμοποιήστε το φίλτρο ip.src . Ακολουθεί ένα παράδειγμα:

 ip.src == 50.116.24.50

Ομοίως, χρησιμοποιήστε το ip.dst για να φιλτράρετε τα αποτελέσματα βάσει της διεύθυνσης IP προορισμού. Για να εμφανίσετε πακέτα προέλευσης και προορισμού με συγκεκριμένη διεύθυνση IP, χρησιμοποιήστε το φίλτρο ip.addr . Ακολουθεί ένα παράδειγμα:

 ip.addr == 50.116.24.50

Παρατηρήστε ότι στην έξοδο εμφανίζονται τα πακέτα με διεύθυνση IP προέλευσης ή προορισμού ως 50.116.24.50.

Για να αποκλείσετε πακέτα με συγκεκριμένη διεύθυνση IP, χρησιμοποιήστε τον χειριστή != . Ακολουθεί ένα παράδειγμα:

 ip.src! = 50.116.24.50

3. Φιλτράρετε πληροφορίες βάσει θύρας

Μπορείτε επίσης να φιλτράρετε την καταγραφόμενη επισκεψιμότητα με βάση θύρες δικτύου. Για παράδειγμα, για να εμφανίσετε μόνο τα πακέτα που περιέχουν πηγή προέλευσης TCP ή θύρα προορισμού 80, χρησιμοποιήστε το φίλτρο tcp.port . Ακολουθεί ένα παράδειγμα:

 tcp.port == 80

Παρομοίως, μπορείτε να χρησιμοποιήσετε tcp.srcport και tcp.dstport για να φιλτράρετε τα αποτελέσματα ξεχωριστά με βάση τις θύρες προέλευσης TCP και προορισμού, αντίστοιχα.

Το Wireshark έχει επίσης τη δυνατότητα να φιλτράρει τα αποτελέσματα με βάση τις σημαίες TCP. Για παράδειγμα, για να εμφανίσετε σε αυτά τα πακέτα TCP που περιέχουν σημαία SYN, χρησιμοποιήστε το φίλτρο tcp.flags.syn . Ακολουθεί ένα παράδειγμα:

Ομοίως, μπορείτε επίσης να φιλτράρετε τα αποτελέσματα με βάση άλλες σημαίες όπως ACK, FIN και πολλά άλλα, χρησιμοποιώντας φίλτρα όπως tcp.flags.ack, tcp.flags.fin και πολλά άλλα, αντίστοιχα.

4. Ορισμένα άλλα χρήσιμα φίλτρα

Το Wireshark εμφανίζει τα δεδομένα που περιέχει ένα πακέτο (το οποίο είναι επί του παρόντος επιλεγμένο) στο κάτω μέρος του παραθύρου. Μερικές φορές, ενώ εντοπίζεται σφάλμα σε ένα πρόβλημα, απαιτείται να φιλτράρει πακέτα βάσει μιας συγκεκριμένης αλληλουχίας byte. Μπορείτε εύκολα να το κάνετε χρησιμοποιώντας το Wireshark.

Για παράδειγμα, τα πακέτα TCP που περιέχουν την ακολουθία byte 00 00 01 μπορούν να φιλτραριστούν χρησιμοποιώντας τον ακόλουθο τρόπο:

 Το tcp περιέχει 00:00:01

Συνεχίζοντας, όπως μπορείτε να φιλτράρετε τα αποτελέσματα με βάση τις διευθύνσεις IP (εξηγήθηκε νωρίτερα), μπορείτε επίσης να φιλτράρετε τα αποτελέσματα με βάση τις διευθύνσεις MAC χρησιμοποιώντας το φίλτρο eth.addr . Για παράδειγμα, για να δείτε όλη την κυκλοφορία που εισέρχεται και εξέρχεται από ένα μηχάνημα με διεύθυνση mac, ας πούμε AA: BB: CC: DD: EE: FF, χρησιμοποιήστε την ακόλουθη εντολή φίλτρου:

 eth.addr ==ΑΑ: BB: CC: DD: EE: FF

συμπέρασμα

Έχουμε μόλις γδάρει την επιφάνεια εδώ, καθώς το Wireshark έχει πολλά να προσφέρει. Για περισσότερες πληροφορίες σχετικά με τα φίλτρα εμφάνισης Wireshark, επισκεφθείτε την επίσημη ιστοσελίδα Wireshark ή την ιστοσελίδα Wiki Wireshark. Εάν έχετε κάποια αμφιβολία ή ερώτημα, αφήστε ένα σχόλιο παρακάτω.