Nejlepší filtry Wireshark

Wireshark , dříve nazývaný Ethereal, je výkonný open source program, který pomáhá uživatelům sledovat a analyzovat informace odesílané do a z konkrétní sítě. Software dokáže zpracovat složitá data ze stovek protokolů ve většině typů sítí a uspořádat je do datových paketů. Když však síť náhle selže nebo má problémy, hledání paketů může být zdrcující a vyžaduje spoustu času a energie. Právě tam se hodí šikovná povaha Wiresharku.

Software podporuje filtry, které vám umožní rychle prosít velké množství informací. Namísto ruční kontroly zachycených souborů můžete použít filtr, který vás přenese na data, která chcete zkontrolovat.

Čtěte dále a dozvíte se o nejlepších filtrech Wireshark a o tom, jak je uložit do záložek na později.

Filtry Wireshark

Wireshark má dva typy filtrů. Prvním jsou zachytávací filtry a druhým zobrazovací filtry. Pracují s různou syntaxí a slouží specifickým účelům.

Filtry zachytávání se nastavují před zahájením operace zachytávání. Nastavení zachytávacího filtru zaznamenává a ukládá pouze analýzu návštěvnosti, která vás zajímá. Jakmile bude operace zachycení zahájena, změna tohoto typu filtru nebude možná.

Na druhou stranu filtry zobrazení obsahují možnosti, které se vztahují na všechny zachycené pakety. Tento typ filtru můžete nastavit před zahájením operace snímání a poté jej upravit nebo zakázat. Navíc si ho můžete nastavit i za provozu. Filtr zobrazení ukládá data do vyrovnávací paměti trasování, skrývá provoz, který vás nezajímá, a zobrazuje pouze informace, které chcete vidět.

Wireshark má působivou knihovnu vestavěných filtrů, které uživatelům pomáhají lépe ovládat jejich sítě. Chcete-li zpřístupnit a používat existující filtr, musíte zadat správný název v části Použít filtr zobrazení pod panelem nástrojů programu. Pokud chcete najít a použít filtr pro zachycení, použijte sekci Enter Capture uprostřed uvítací obrazovky.

I když se Wireshark může pochlubit komplexními možnostmi filtrování, zapamatovat si správnou syntaxi je často obtížné. Když se snažíte zadat vhodný filtr, ztrácíte drahocenný čas.

Ale máš štěstí. Sestavili jsme seznam nejlepších filtrů Wireshark, které vám pomohou vytěžit z programu maximum a zbavit se dohadů při analýze hromad uložených dat.

Nejlepší filtry Wireshark

Podívejme se na některé užitečné filtry, které vám umožní zvládnout program.

ip.adresa == xxxx

Výše uvedený filtr zobrazí pouze zachycené pakety obsahující danou IP adresu. Jedná se o užitečný nástroj pro kontrolu jednoho druhu provozu. Použití filtru zpracuje odchozí provoz a určí, který z nich odpovídá hledané zdrojové nebo IP adrese.

Pokud chcete filtrovat podle cíle, použijte volbu ip.dst == xxxx.

Možnost ip.src == xxxx vám pomůže filtrovat podle zdroje.

ip.addr == xxxx && ip.addr == xxxx

Tento řádek nastavuje dialogový filtr mezi dvěma přednastavenými IP adresami. To je neocenitelné pro ověřování dat mezi dvěma vybranými sítěmi nebo hostiteli. Filtr ignoruje nepodstatná data a soustředí se pouze na vyhledání informací, které vás nejvíce zajímají.

K filtrování cíle použijte řádek ip.src == xxxx && ip.dst == xxxx.

http nebo dns

Když použijete tento filtr, zobrazí se každý protokol DNS nebo HTTP. Jedná se o časově úsporný filtr, který vám umožní zaměřit se na konkrétní protokol, který se chcete naučit. Pokud například potřebujete najít podezřelý provoz FTP, stačí nastavit filtr na „ftp“. Chcete-li zjistit, proč se webová stránka nezobrazuje, nastavte filtr na „dns“.

tcp.port==xxx

Výše uvedený filtr zužuje vyhledávání na konkrétní cíl nebo zdrojový port. Místo toho, aby se díval na celý zachycený paket, filtr generuje data o provozu přicházejícím nebo odcházejícím z jednoho portu. Toto je jeden z nejšikovnějších filtrů, na který se můžete spolehnout při plnění úkolů, když máte málo času.

tcp.flags.reset==1

Použití tohoto filtru zobrazí každý reset TCP. Každý zachycený paket má přidružený TCP. Když je jeho hodnota jedna, upozorní přijímající PC, že by měl přestat používat toto připojení. Toto je jeden z nejpůsobivějších filtrů Wireshark, protože reset TCP okamžitě ukončí připojení.

tcp obsahuje xxx

Tento filtr najde všechny pakety zachycení TCP obsahující zadaný výraz. Pokud vás zajímá, kde se prvek v zachycení vyskytuje, zadejte jeho název místo „xxx“. Filtr najde všechny výskyty výrazu, což vám ušetří námahu se čtením balíčku. Pokud například nahradíte „xxx“ výrazem „traffic“, uvidíte všechny pakety obsahující „traffic“. Nejlepší použití tohoto filtru je skenování konkrétního ID uživatele nebo řetězce.

!(arp nebo icmp nebo dns)

Výše uvedený filtr je navržen tak, aby vyloučil určité protokoly. Použijte jej k odstranění nepotřebných protokolů arp, dns nebo icmp. Umožňuje vám zablokovat rušivá data, abyste se mohli soustředit na analýzu důležitějších informací.

tcp.time_delta>. 250

Tento filtr zobrazuje ve svém proudu pakety TCP s delta časem větším než 250 ms.

Nezapomeňte, že před použitím filtru musíte vypočítat časové razítko převodu TCP. I když není výpočet latence v konverzacích příliš složitý, vyžaduje určité pokročilé znalosti Wiresharku.

tcp.analysis.flags &&! tcp.analysis.window_update

Tento filtr vám pomůže zobrazit opakované přenosy, nulová okna a útoky opakovaného přehrávání v jediném trasování. Je to skvělý způsob, jak najít špatný výkon aplikace nebo ztrátu paketů.

Tipy pro používání filtrů Wireshark

Pokud si nepamatujete správnou syntaxi filtru, bude vás to frustrovat a může vám bránit v rychlém nalezení cenných dat.

Někdy vám funkce automatického doplňování Wireshark může pomoci vyřešit problém. Pokud jste si například jisti, že filtr začíná „tcp“, zadejte tuto informaci do příslušného vyhledávacího pole. Wireshark vytvoří seznam filtrů začínající na „tcp“. Procházejte výsledky hledání, dokud nenajdete správný alias.

Dalším způsobem, jak najít filtry, je možnost „záložka“ vedle vstupního pole. Když vyberete Spravovat filtry zobrazení nebo Spravovat výrazy filtrů, můžete filtry upravit, přidat nebo odebrat. Pokud si nejste příliš jisti zapamatováním složitých syntaktických zkratek, je možnost „záložka“ užitečným nástrojem pro načítání běžně používaných filtrů Wireshark.

Namísto opětovného zadávání složitých filtrů zachycení je uložte do nabídky záložek podle následujících kroků:

Zde je to, co musíte udělat pro uložení filtru zobrazení:

Pokud na analýzu určitých dat spěcháte, můžete kliknout na šipku dolů vedle vstupního pole. Akce vytvoří seznam dříve použitých filtrů.

Použijte filtry pro snadnou analýzu dat

Wireshark se stal jedním z nejoblíbenějších analyzátorů síťových protokolů díky svým šikovným filtrům. Pomocí nich můžete ušetřit čas a rychle najít konkrétní parametry, jako jsou IP adresy nebo hexadecimální hodnoty. Pokud je pro vás obtížné zapamatovat si různé názvy často používaných filtrů, uložte si je jako záložky pro pozdější použití.

Jak často používáte filtry Wireshark? Spoléháte více na snímací nebo zobrazovací filtry? Využili jste někdy některé z výše uvedených možností? Dejte nám vědět v komentářích níže.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.