Hva er Wireshark?
Wireshark er et nettverkspakkefangst- og analyseverktøy. Det er et åpen kildekodeverktøy. Det finnes andre nettverksverktøy, men Wireshark er et av de sterkeste verktøyene blant dem. Wireshark kan også kjøres i operativsystemene Windows, Linux, MAC osv.
Hvordan Wireshark ser ut?
Her er bildet av Wireshark versjon 2.6.3 i Windows10. Wireshark GUI kan endres avhengig av Wireshark-versjon.
Hvor skal du sette filter i Wireshark?
Se på det merkede stedet i Wireshark hvor du kan sette displayfilter.
Hvordan sette IP-adresser Vis filter i Wireshark?
Det er forskjellige måter du kan bruke IP-filter på.
- Kilde IP-adresse:
Anta at du er interessert i pakker fra en bestemt kilde-IP-adresse. Så du kan bruke skjermfilter som nedenfor.
ip.src == X.X.X.X => ip.src == 192.168.1.199Deretter må du trykke enter eller bruke for å få effekten av skjermfilteret.
Sjekk bildet nedenfor for scenario
- Destinasjonens IP-adresse :
Anta at du er interessert i pakker som er bestemt til en bestemt IP-adresse. Så du kan bruke skjermfilter som nedenfor.
ip.dst == X.X.X.X => ip.dst == 192.168.1.199Deretter må du trykke enter eller bruke for å få effekten av skjermfilteret.
Sjekk bildet nedenfor for scenario
- Bare IP-adresse:
Anta at du er interessert i pakker som har en bestemt IP-adresse. Den IP-adressen er enten kilde- eller destinasjons-IP-adresse. Så du kan bruke skjermfilter som nedenfor.
ip.addr == X.X.X.X => ip.adr == 192.168.1.199Deretter må du trykke enter eller bruke [For noen eldre Wireshark-versjoner] for å få effekten av skjermfilteret.
Sjekk bildet nedenfor for scenario
Så når du setter filter som “ip.addr == 192.168.1.199 ”så vil Wireshark vise hver pakke der Source ip == 192.168.1.199 eller Destinasjon ip == 192.168.1.199.
På en annen måte skriver du filter som nedenfor også
ip.src == 192.168.1.199 || ip.dst == 192.168.1.199Se skjermbilde nedenfor for visningsfilter ovenfor
Merk:
- Forsikre deg om at skjermfilterbakgrunnen er grønn når du skriver inn et filter ellers er filteret ugyldig.
Her er skjermbilde av gyldig filter.
Her er skjermbildet for ugyldig filter.
- Du kan gjøre flere IP-filtreringer basert på logiske forhold [|| , &&]
ELLER tilstand:
(ip.src == 192.168.1.199) || (ip.dst == 192.168.1.199)OG tilstand:
(ip.src == 192.168.1.199) && (ip.dst == 192.168.1.1)Hvordan sette IP-adresser fangstfilter i Wireshark?
Følg skjermbilder nedenfor for å sette fangstfilter i Wireshark
Merk:
- Som visningsfilterfangstfilter anses også gyldig hvis bakgrunnen er grønn.
- Husk at skjermfiltre er forskjellige fra fangstfilter i tilfelle syntaks.
Følg denne lenken for gyldige fangstfiltre
https: // wiki.wireshark.org / CaptureFilters
Hva er forholdet mellom Capture filter og Display filter?
Hvis fangstfilter er satt, og så vil Wireshark fange de pakkene som samsvarer med fangstfilteret.
For eksempel:
Capture filter er angitt som nedenfor, og Wireshark startes.
vert 192.168.1.199Etter at Wireshark er stoppet, kan vi bare se pakke fra eller bestemt til 192.168.1.199 i helfangst. Wireshark fanget ikke opp noen annen pakke hvis kilde eller destinasjons-ip ikke er 192.168.1.199. Kommer nå for å vise filter. Når fotograferingen er fullført, kan vi sette displayfiltre for å filtrere ut pakkene vi vil se ved den bevegelsen.
På en annen måte kan vi si: Anta at vi blir bedt om å kjøpe to typer frukt eple og mango. Så her er fangstfilter mango og epler. Etter at du fikk med deg mango [forskjellige typer] og epler [grønne, røde osv.], Vil du nå bare se grønne epler fra alle eplene. Så her er grønt eple displayfilter. Nå hvis jeg ber deg vise meg appelsin fra fruktene, kan du ikke vise ettersom du ikke kjøpte appelsiner. Hvis du hadde kjøpt alle typer frukt [Betyr at du ikke hadde satt noe fangstfilter], kunne du ha vist meg appelsiner