Поиск по сайту:

Как использовать фильтры в Wireshark

На этой странице

  1. Что мы рассмотрим?
  2. Представляем фильтры Wireshark
  3. Написание фильтра захвата
  4. Написание фильтра отображения
  5. Заключение

Wireshark — это бесплатное программное обеспечение с открытым исходным кодом (FOSS), разработанное сообществом энтузиастов-разработчиков. Wireshark (ранее Ethereal) используется для захвата и исследования трафика в сети. С Wireshark можно увидеть, что происходит в их сети: вы можете видеть, откуда приходит трафик и куда он направляется. Если вы работаете в производственной среде, вы получите много трафика. Будет очень сложно проверять этот трафик без знания функций фильтрации Wiresharks. Используя фильтры, вы можете увидеть именно тот тип трафика, который вам нужен, а все остальное будет удалено со сцены.

Что мы будем освещать?

В этом руководстве мы собираемся изучить, как создавать и эффективно применять фильтры в Wireshark. Давайте начнем сейчас.

Представляем фильтры Wireshark

Фильтры Wireshark предназначены для упрощения поиска пакетов. Например, если вы хотите видеть только TCP-трафик или пакеты с определенного IP-адреса, вам необходимо применить соответствующие фильтры на панели фильтров. Wireshark не понимает простых предложений «отфильтровать TCP-трафик» или «Показать мне трафик из пункта назначения X». Поэтому вам нужно изучить какой-нибудь причудливый синтаксис и правила применения этих фильтров.

В Wireshark есть два основных типа фильтров: Capture Filter и Display Filter. Существует разница между их синтаксисом и тем, как они применяются.

Фильтры захвата применяются до начала операции захвата. Таким образом сохраняется только тот трафик, который вам интересен для просмотра. Этот фильтр нельзя изменить после начала операции захвата. С другой стороны, фильтры отображения применяются ко всем захваченным пакетам. Позже его можно отменить и изменить (можно применить во время захвата).

В фильтре отображения захват фактически сохраняется в буфере трассировки. Таким образом, он скрывает только тот трафик, который вам не важен, и показывает только тот, который вас интересует.

Написание фильтра захвата

Начнем с фильтра захвата. Вы можете найти фильтр захвата на самом первом экране после запуска Wireshark:

Точно так же вы также можете щелкнуть значок шестеренки (2), в любом случае появится окно ниже:

Фильтры захвата написаны в формате фильтров libpcap. Они построены из последовательности примитивных выражений. Эти выражения соединены союзами (и/или) и могут начинаться с «не». Вот синтаксис:

[not] primitive [and|or [not] primitive ...]

Чтобы проиллюстрировать это, предположим, что мы хотим перехватить трафик UDP от или к хосту 192.168.18.161. Выражение фильтра захвата в этом случае будет таким:

udp и хост 192.168.18.161

  1. [src|dst] host : используется для фильтрации по IP-адресу или имени хоста. Ему может предшествовать src|dst, чтобы указать адрес источника или получателя.
  2. ether [src|dst] host : используется для фильтрации адресов хостов Ethernet. Ему также может предшествовать src|dst для определения исходного или конечного адреса.
  3. host-шлюз : используется для фильтрации пакетов, использующих host в качестве шлюза.
  4. [src|dst] net [{mask }|{len }]: используется для фильтрации сетевых номеров. Ему также может предшествовать src|dst для определения исходного или конечного адреса.
  5. [tcp|udp] [src|dst] port : используется для фильтрации по номерам портов TCP и UDP.

Вы можете найти все примитивы для приведенного выше выражения из списка здесь.

Написание фильтра отображения

Для написания фильтра отображения вам понадобится знание логических операторов. Да, вы правы, речь идет об основных операциях И, ИЛИ и НЕ. Используя их, мы также можем объединить несколько запросов фильтра в один. Например, если мы ищем TCP-трафик и пакеты, использующие порт 80, мы можем написать фильтр следующим образом:

tcp и tcp.port == 80

Другой способ — использовать выражение:

tcp && tcp.port == 80

Ниже мы перечислили часто используемые логические выражения в фильтрах отображения:

1. == или eq (Равная операция)

2. && или и ( И операция)

3. || (двойная труба) или или (Или операция)

Заключение

В этом руководстве мы узнали о том, «как использовать фильтры в программном обеспечении Wireshark». Мы рекомендуем вам изучить фильтры Wireshark, выполняя практические упражнения. Таким образом, вы можете лучше понять этот инструмент. Если вам интересно, вы можете узнать больше о Wireshark, посетив официальный сайт Wireshark по адресу https://www.wireshark.org.