כיצד להשתמש מסנני תצוגה ב - Wireshark
Wireshark הוא מנתח מנות רשת GUI מבוסס המאפשר לך לבדוק נתוני מנות מרשת לחיות כמו גם מקובץ שנלכד בעבר. למרות שזה כלי חזק מאוד, בעיה משותפת כי newbies הפנים היא כי הוא מציג כל כך הרבה נתונים, כי זה הופך להיות ממש קשה להם לאתר את המידע בפועל הם מחפשים. זה המקום שבו מסננים לתצוגה של Wireshark לעזור.
הערה - אם אתה חדש לגמרי Wireshark, מומלץ לך לעבור את המדריך הבסיסי.
הצג מסננים
הנה דוגמה ללכידה חיה ב Wireshark:
שים לב כי חלק גדול של GUI משמש להצגת מידע (כמו שעה, מקור, יעד, ועוד) על כל מנות נכנסות ויוצאות. כדי לסנן את המידע לפי הדרישה שלך, עליך לעשות שימוש בתיבה Filter בחלק העליון של החלון.
1. מסנן מידע על בסיס פרוטוקול
כדי לסנן את התוצאות בהתבסס על פרוטוקול ספציפי, פשוט כתוב את שמו בתיבת הסינון ולחץ על Enter. לדוגמה, צילום המסך הבא מציג מידע הקשור לפרוטוקול HTTP:
שים לב שעמוד הפרוטוקול מכיל רק ערכי HTTP. אם נדרש מידע הקשור ליותר מפרוטוקול אחד, הזן את שמות הפרוטוקולים המופרדים באמצעות צינור כפול (או אופרטור ||
לוגי) ||
. הנה דוגמא:
http || arp || icmp
2. מסנן מידע על בסיס כתובת ה- IP
כדי לסנן את התוצאות בהתבסס על IP IP, השתמש במסנן ip.src
. הנה דוגמא:
ip.src == 50.116.24.50
באופן דומה, השתמש ip.dst
כדי לסנן את התוצאות על בסיס כתובת ה- IP היעד. כדי להציג את מנות המקור והיעד באמצעות כתובת IP מסוימת, השתמש במסנן ip.addr
. הנה דוגמא:
ip.addr == 50.116.24.50
שים לב שהחבילות עם כתובת ה- IP של המקור או היעד כ- 50.116.24.50 מוצגות בפלט.
כדי לא לכלול מנות עם כתובת IP ספציפית, השתמש באופרטור !=
. הנה דוגמא:
ip.src! = 50.116.24.50
3. סינון המידע מבוסס על היציאה
ניתן גם לסנן את התנועה שנתפסו על בסיס יציאות רשת. לדוגמה, כדי להציג רק את החבילות שמכילות את מקור TCP או את יציאת היעד 80, השתמש במסנן tcp.port
. הנה דוגמא:
tcp.port == 80
באופן דומה, באפשרותך להשתמש ב- tcp.srcport
וב- tcp.dstport
כדי לסנן בנפרד את התוצאות על סמך מקור TCP ויציאות היעד, בהתאמה.
Wireshark יש גם את היכולת לסנן את התוצאות על בסיס דגלים TCP. לדוגמה, כדי להציג בחבילות TCP אלה המכילות דגל SYN, השתמש במסנן tcp.flags.syn
. הנה דוגמא:
באופן דומה, תוכל גם לסנן את התוצאות על סמך דגלים אחרים כגון ACK, FIN ועוד, על ידי שימוש במסננים כגון tcp.flags.ack
, tcp.flags.fin
ועוד, בהתאמה.
4. כמה מסננים שימושיים אחרים
Wireshark מציג את הנתונים הכלולים בחבילה (הנבחרת כעת) בתחתית החלון. לפעמים, בעת איתור באגים בבעיה, הוא נדרש לסנן מנות בהתבסס על רצף בתים מסוים. אתה יכול בקלות לעשות את זה באמצעות Wireshark.
לדוגמה, ניתן לסנן מנות TCP המכילות את רצף 00 00 01 בתים בדרך הבאה:
tcp מכיל 00:00:01
בהמשך, בדיוק כמו שאתה יכול לסנן את התוצאות על סמך כתובות IP (הסביר קודם לכן), אתה יכול גם לסנן את התוצאות על סמך כתובות MAC, באמצעות מסנן eth.addr
. לדוגמה, כדי לראות את כל התנועה נכנסת ויוצאת ממחשב עם כתובת MAC, אמור AA: BB: CC: DD: EE: FF, השתמש בפקודת המסנן הבאה:
eth.addr == AA: BB: CC: DD: EE: FF
סיכום
אנחנו בקושי שרוט את פני השטח כאן, כמו Wireshark יש הרבה יותר להציע. לקבלת מידע נוסף על מסנני תצוגה של Wireshark, בקר באתר הרשמי של Wireshark או באתר Wikieshark של Wiki. אם יש לך ספק או שאילתה, להשאיר תגובה להלן.