Pretdrudža līdzekļus bērniem izraksta pediatrs. Bet ir situācijas, kas nepieciešama drudža gadījumā, ja bērnam ir nepieciešams nolaidīgi dot sejas. Tad tēvi paši uzņemas reanimāciju un pārtrauc antipirētiskos preparātus. Ko var dot zīdaiņiem? Kā pazemināt temperatūru vecākiem bērniem? Kuras ir visdrošākās sejas?
Vislielākā jauda vienas stundas darbam ar programmu WireShark ir izsaukt filtrus, lai bloķētu satiksmi. Šodien apskatiet to galvenos lietojumus un parādiet, kā tos pareizi apgūt!
Analizējot problēmas ar pasākumu vai piedevu produktivitāti, tā kā jūsu uzņēmumam nav centralizētas piedevu produktivitātes uzraudzības sistēmas, tad, lai analizētu problēmas no 4. līdz 7. OSI sistēmas modelim, būs nepieciešams paātrināt. uz augšu protokola analizatoru (snif).
Tā kā jums nav komerciāla risinājuma ekspertu sistēmas automātiskās analīzes metožu dēļ, tad, iespējams, labākais veids būtu šāds:
lejupielādējiet un instalējiet savā klēpjdatorā vienu no labākajiem bezmaksas WireShark protokolu analizatoriem (http://www.wireshark.org/download.html);
iejusties ērti ar jogas saskarni;
mainīt protokolu kaudzi un to struktūru;
iemācīties izmantot filtrus satiksmes bloķēšanai;
uzziniet, kā izmantot filtrus, lai analizētu trafiku.
Kā daļu no šī raksta mēs pieminam nākamajā punktā - kā pielāgot filtru WireShark trafika uzkrāšanai.
Lietojiet pielāgotos WireShark filtrus, lai notvertu satiksmi
Ja mēs izvēlamies interfeisu, mēs varam turpināt, vai arī pirms satiksmes pārplūdes režīmā - viss pēc kārtas, bet nav ieteicams strādāt, tāpēc, piemēram, pie 50% no gigabitu interfeisa 100 000 pakešu pārsūtīšanai, tas prasīs tikai dažas milisekundes. Ir svarīgi to saprast, jo problēma ir atrisināta. Tad mums būs vismaz tāda pati adrese (IP vai MAC) kā kodam vai programmai, pamatojoties uz vinu, ko pateikt, vai serveri, uz kuru vin tiek nosūtīts.
Šādā secībā vienkāršākais Wireshark filtrs - pievienojiet IP adreses (resursdatora, saimniekdatora) un skatiet šo filtru kā nākamo soli:
Tā kā problēma ir globāla un mums ir nepieciešams iegūt satiksmi no tuvējās pilsētas neatkarīgi no tiešā maršruta, mums ir jāaptur filtrs:
neto 192.168.0.0/24 vai neto 192.168.0.0 maska 255.255.255.0
Kad satiksme ir bloķēta, filtrs izskatīsies šādi:
src net 192.168.0.0/24 vai src net 192.168.0.0 maska 255.255.255.0
Un, ja jums ir jāanalizē tikai satiksme, kas nonāk mūsu reģionā, tad esiet viens no filtriem:
dst net 192.168.0.0/24
dst net 192.168.0.0 maska 255.255.255.0
Ir ļoti grūti sūdzēties, ka kādam pārlūkprogrammā nav sānjoslu, problēma var būt DNS serverī (53. ports) vai HTTP protokolā (80. ports), tad trafiku var uztvert no dažādiem "portu" filtriem. :
Tā kā mums neizdevās pieprasīt visu trafiku konkrētam serverim bez HTTP un FTP labošanas, filtrs tiek iestatīts kādai no šīm divām lietojumprogrammām:
resursdators 192.168.0.1 un nē (ports 21 vai ports 80)
resursdators 192.168.0.1 un nevar portēt 21 un nevar portēt 80
Ja mēs vēlamies bloķēt visu trafiku portā, Krimas DNS, FTP, ARP trafiku, tad loģika būs līdzīga:
ports nav dns un nevis 21 un ne arp
Ja pievienojumprogrammu trafika ir pārpludināta, it kā tā būtu dinamiski pārnesta uz dziesmu diapazonu, filtrs logā izskatīsies jauki, jo Libcap versija ir zemāka par 0.9.1:
(tcp > 1500 un tcp< 1550) or (tcp >1500 un tcp< 1550)
ja versija ir jauna, tad filtrs būs mazāk biedējošs un saprotams:
tcp portrange 1501-1549
EAPOL tipa Ethernet kadru tveršanai (EAP paziņojuma pārraides protokols 802.1x standartā tiek saukts par EAPOL (EAP iekapsulēšana pa LAN)):
etherproto 0x888e
Pabeigšanai es uzskaitīšu konkrētu protokolu Ethernet kadru veidus:
|
Ētertips (heksadecimāls) |
Protokols |
|
0x0000 - 0x05DC |
IEEE 802.3 garums |
|
0x0101 - 0x01FF |
|
|
IP, interneta protokols |
|
|
ARP, Address Resolution Protocol. |
|
|
Frame Relay ARP |
|
|
Raw Frame Relay |
|
|
DRARP, dinamisks RARP. RARP, Reverse Address Resolution Protocol. |
|
|
Novell NetWare IPX |
|
|
EtherTalk (AppleTalk, izmantojot Ethernet) |
|
|
IBM SNA pakalpojumi, izmantojot Ethernet |
|
|
AARP, AppleTalk Address Resolution Protocol. |
|
|
EAPS, Ethernet automātiskā aizsardzības pārslēgšana. |
|
|
IPX, interneta pakešu apmaiņa. |
|
|
SNMP, vienkāršais tīkla pārvaldības protokols. |
|
|
IPv6, interneta protokola versija 6. |
|
|
PPP, Point-to-Point Protocol. |
|
|
GSMP, General Switch Management Protocol. |
|
|
MPLS, vairāku protokolu etiķešu maiņa (unicast). |
|
|
MPLS, vairāku protokolu etiķešu pārslēgšana (multiraide). |
|
|
PPPoE, PPP, izmantojot Ethernet (atklāšanas posms). |
|
|
PPPoE, PPP pār Ethernet (PPP sesijas posms). |
|
|
LWAPP, vieglā svara piekļuves punkta protokols. |
|
|
LLDP, saites slāņa atklāšanas protokols. |
|
|
EAPOL, EAP pa LAN. |
|
|
Loopback (konfigurācijas pārbaudes protokols) |
|
|
VLAN tagu protokola identifikators |
|
|
VLAN tagu protokola identifikators |
|
Ja nepieciešams pieprasīt trafiku primārajam IP protokolam, varat mainīt filtru:
ip proto tcp - TCP trafika bloķēšana
ip proto udp - UDP trafika bloķēšana
Lai uztvertu IP trafiku, tiek izmantots īsākais filtrs:
Lai tvertu tikai unicast trafiku, analizējot trafiku no izejošām un ienākošajām uz robežām, es pievienošu filtru šādā formātā:
neapraida un nav multiraide
Piedodiet par filtriem, mēs runājām par jakiem, varat meklēt neveiklākus simbolus:
Ierobežojumi: ! Abonē
Asociācija: && vaiun
Cherguvannya: IIvaivai
Muca: lai tvertu trafiku no pielikuma vai uz pielikumu ar adresi 10.10.10.10, bet nemērītu 192.168.0.0
saimniekdators 10.10.10.10 && !net 192.168
Visgrūtāk un vienkāršāk dzīvi vienkāršot ir filtri, pamatojoties uz izmantotajiem baitiem, taču tiem ir jāzina protokols un ūdens izvietojums iepakojumā. Novietojiet zemāk esošos filtrus, lai ļautu saņemt paketes ar pirmajām lauku vērtībām galvenēs vai galvenajā galvenē. Nalashtuvati їх neveikli:
Dažādi IP paketes lielākajā baitā un uzkrāto trafiku ar TTL vērtībām\u003d 1
Saņemiet visas TCP paketes no labās puses porta 80. Līdzvērtīgs src porta 80 filtram.
Lai pabeigtu, pārvietosim baitus uz svarīgākajiem pakotnes laukiem:
|
Iepakojuma lauks |
Dovžina baitos |
Filtrs |
|
IP galvenes garums |
||
|
IP paketes garums |
||
|
IP adreses avots |
||
|
IP adreses galamērķis |
||
|
IP sadrumstalotība |
karodziņš = 3 un nobīde = 13 |
ip & 0x2000 = 0x2000 vai ip & 0x1fff !=0x0000 |
|
TCP galamērķa ports |
||
|
TCP galvenes garums |
||
Noņemtās informācijas tveršanai mēs izveidosim filtru trafika uztveršanai, izmantojot HTTP GET pieprasījumu. HTTP protokols, izmantojot portu 80, transporta protokols TCP. Vārda GET sešpadsmitās sistēmas vērtība ir 0x47455420. Filtra muca, kā mums ir:
80. ports un tcp[((tcp & 0xf0 >>2):4]=0x47455420
Šī materiāla ietvaros mēs esam apskatījuši, kā salabot un pielāgot vienkāršākos pamata filtrus trafika uztveršanai aiz papildu Wireshark protokola analizatora.
- Iebūvētas ekspertu sistēmas pieejamība, kas ļauj ātri sakārtot buferi pakalpojumiem vai apžēlošanas veidiem. Tāpēc ļaujiet man paātrināt problēmas lokalizācijas laiku un strādāt ar informāciju, kas jau ir sakārtota un novērtēta pirms laika. Šeit varat pievērst uzmanību risinājumam no VIAVI Solutions ar nosaukumu Observer vai ClearSight Analyzer no Netscout.Ja neredzat budžetu, bet ir problēmas, tad jums ir jāuzkrāj pacietība un kafija. Datu pārsūtīšanas gadījumā ar ātrumu 1 Gb / s un lielāku satiksmes sastrēgumu buferi, tas tiks aizkavēts un tiks vākts liels datu masīvs. Šis datu masīvs, rozumіyuchi vzaєmodіyu mіzh dažādas saimniecības ēkas pie robežas varat filtrēt pēc dažādiem parametriem. Šim Wireshark ir dažas iespējas:
Jūs varat pielāgot apžēlošanas paku krāsu kodu. Pakas, tāpat kā apžēlošanas pārnēsāšana, būs redzamas buferī ar īpašu krāsu.
Filtrējiet caur filtrēšanas rindu. Ja jums ir lieliskas zināšanas par Wireshark robotu un protokoliem, varat pats ievadīt filtru. Var zināt lielu filtru izvēli.
Lai redzētu, vai laukums ir iepakojumā, ar peles labo pogu noklikšķiniet uz un "Apturēt kā filtru". Metode pochatkіvtsіv jau ir vienkārša, tiem, kam nav nepieciešama lamata galva.
Kādi ir galvenie filtri trafika attēlošanai?
Wireshark filtrs pēc protokola
Pietiek filtra rindā ievadīt protokola nosaukumu un nospiest ievadu. Pakas tiek atstātas uz ekrāna, it kā tās būtu piekārtas protokolam. Šādā secībā filtrs izskatās šādi:
Ja buferis ir jāuzglabā, nepieciešams filtrēt pēc protokolu skaita, nepieciešams pārskatīt visus bufera protokolus un atdalīt tos ar zīmi ||. Piemēram:
arp || http || icmp
Wireshark filtrs IP adresei un filtrs MAC
Nokritis taisnā līnijā satiksmei, filtrs ir trohisks. Piemēram, mēs vēlamies filtrēt pēc pārvaldnieka IP adreses 50.116.24.50:
ip.src==10.0.10.163
Aiz kontroles filtra redzēsiet ip.dst == x.x.x.x, un, ja vēlaties nosūtīt paketes tieši trafikam, tad pietiek ievadīt:
ip.addr==50.116.24.50
Ja mums ir jāieslēdz adrese no atlases lauka, tad mums ir jāpievieno! = . Muca:
ip.src! = 80.68.246.17
Kā mēs analizējam vidējo trafiku vietējās līnijas Ja zināt avota MAC adresi, varat ievadīt Wireshark filtru MAC adresei, piemēram:
eth.addr == AA:BB:CC:DD:EE:FF
wireshark filtrs pēc porta numura
Analizējot trafiku, mēs varam iestatīt porta numura filtru, kas pārsūtīs trafiku uz šo protokolu. Var atpazīt visu reģistrēto ostu numurus.
Tātad, tāpat kā ar IP un MAC adresēm, mēs varam filtrēt tikai pēc izbraukšanas vai pārvaldības ostām tcp. srcportі tcp. dstport. Iespēja ievadīt portu numurus programmā Wireshark sniedz iespēju filtrēt buferi saskaņā ar TCP protokola apzīmējumiem. Piemēram, ja mēs vēlamies nosūtīt TCP paketes ar SYN ensign (instalēts starp ierīcēm), tad mēs ierakstām rindā joku:
Populāri filtri
Tālāk esošajās tabulās ir parādīti populārākie filtri rādīšanai krātuves bufera vietā:
|
Displeja filtrs |
Apraksts |
muca rakstīšana |
|
Vadītāja vai īpašnieka MAC adrese |
eth.addr == 00:1a:6b:ce:fc:bb |
|
|
Sūtītāja MAC adreses |
eth.src == 00:1a:6b:ce:fc:bb |
|
|
Īpašnieka MAC adreses |
eth.dst == 00:1a:6b:ce:fc:bb |
|
|
ARP protokols - īpašnieka MAC adrese |
arp.dst.hw_mac == 00:1a:6b:ce:fc:bb |
|
|
arp.dst.proto_ipv4 |
ARP protokols — IP adreses 4. versijas atbalsts |
arp.dst.proto_ipv4 == 10.10.10.10 |
|
Protokols ARP - galvenā MAC adreses |
arp.src.hw_mac == 00:1a:6b:ce:fc:bb |
|
|
arp.src.proto_ipv4 |
ARP protokols — IP adreses, lineāla 4. versija |
arp.src.proto_ipv4 == 10.10.10.10 |
|
VLAN ID |
||
|
IP adreses versija 4 |
ip.addr == 10.10.10.10 |
|
|
IP adreses 4. versijas galvenā |
ip.addr == 10.10.10.10 |
|
|
IP adreses versija 4 wdpravnik |
ip.src == 10.10.10.10 |
|
|
IP protokols (decimāldaļa) |
||
|
IP adreses versija 6 |
ipv6.addr == 2001::5 |
|
|
IP adreses wdpravnik versija 6 |
ipv6.addr == 2001::5 |
|
|
IP adreses galvenā versija 6 |
ipv6.dst == 2001::5 |
|
|
TCP ports |
||
|
TCP īpašnieka osta |
tcp.dstport == 80 |
|
|
draivera TCP ports |
tcp.srcport == 60234 |
|
|
Īpašnieka vai pārvaldnieka UDP ports |
||
|
Otrimuvach UDP ports |
udp.dstport == 513 |
|
|
Meistara UDP ports |
udp.srcport==40000 |
|
|
vtp.vlan_info.vlan_name |
vtp.vlan_info.vlan_name == TESTS |
|
|
bgp.originator_id |
BGP identifikators (IPv4 adreses) |
bgp.originator_id == 192.168.10.15 |
|
Next Hop BGP (IPv4 adreses) |
bgp.next_hop == 192.168.10.15 |
|
|
RIP IPv4 adrese |
rip.ip == 200.0.2.0 |
|
|
Maršrutētāja ID aiz OSPF protokola |
ospf.advrouter == 192.168.170.8 |
|
|
Numurs autonomās sistēmas EIGRP |
||
|
Virtuālās IP adreses aiz HSRP protokola |
hsrp.virt_ip == 192.168.23.250 |
|
|
Virtuālās IP adreses aiz VRRP protokola |
vrrp.ip_addr == 192.168.23.250 |
|
|
Pārvaldnieka vai Wi-Fi īpašnieka MAC adreses |
wlan.addr == 00:1a:6b:ce:fc:bb |
|
|
Wi-Fi pārvaldnieka MAC adreses |
wlan.sa == 00:1a:6b:ce:fc:bb |
|
|
Wi-Fi resursdatora MAC adreses |
wlan.da == 00:1a:6b:ce:fc:bb |
Un kādi filtri, visticamāk, uzvarēs jūsu robotā?
Wireshark: kā izlocīties?
Sveiki draugi! Šajā rakstā es mēģināšu izskaidrot un izvērst nepieciešamās lietas, kas jums jāzina, balstoties Wireshark operētājsistēmā Linux un es parādīšu trīs datplūsmas apvienošanas veidu analīzi. Šo rokasgrāmatu var lejupielādēt Wireshark robotam operētājsistēmā Windows.
It kā jūs esat jauns informācijas drošība, un labāk izprotiet, kas ir sniffer (satiksmes analizators), lūdzu, izlasiet rakstu un tikai pēc tam izlasiet šo rakstu par Wireshark darbību.
Vēl populārāks un izcili iespaidīgs analizators sarža protokols , kas razrobyv Gerald Combs, Wireshark parādījās sarkanā 2006. gadā, ja Combs mainīja Etheral stieples rīku, kā arī savus darbus, mainīja robotu un ne mirkli vairāk vikoristat veco nosaukumu. Mūsdienās Wireshark ir uzvarošāks, un Ethereal ir kļuvis par vēsturi.
Wireshark: labākais sniferis
Jūs varētu jautāt, kāpēc Wireshark pārbauda citus tīklu analizatorus, izņemot to, kas ir nepareizi, un kāpēc mēs vienkārši nesākam izplatīt tcpdump dumping, lai izmestu paketes?
Galvenā Wireshark priekšrocība ir tā, ka tā ir grafikas programma. Datu atlase un sapludināšanas trafika atkārtota pārbaude coristuvach saskarnē ir ļoti ērta lieta, tāpēc tā ļauj sakārtot salocītos sapludināšanas datus.
Kā izspiegot Wireshark?
Lai jaunpienācējs varētu sākt darbu ar Wireshark, jums ir jāsaprot Wireshark satiksme. Šajā laikā meta tsієї statti tiek izmantoti, lai izskaidrotu jums TCP / IP pamatus, lai jūs varētu robit vysnovki shkodo piesaistīto trafiku, kas tiek analizēta.
TCP paketes formāts ir IP paketes formāts. Ja izmantojat Wireshark kā lieliskas Wireshark nosaukumu, jūs nevarēsit Wireshark saskarni, lai vāktu datus, izmantojot tīkla saskarnesļaujot reklamēt Unix failu. Vislabāk ir palaist Wireshark kā root (sudo wireshark), kad tiek vākti dati, un kā jaudīga Wireshark nosaukumu, lai analizētu datus.
Kā alternatīvu varat izmantot mazāk datu papildu utilītai komandrinda tcpdump kā sakne un pēc tam analizējiet to, izmantojot Wireshark palīdzību. Esiet laipni, neaizmirstiet, ka, vācot datus Wireshark palīdzībai no avēnijas, var uzlabot datora robotu, vai, vēl ļaunāk, jums nebūs atļauts savākt nepieciešamos datus, jo Wireshark izmanto vairāk sistēmas resursu, zemāka komandrindas programma . Līdzīgos gadījumos saprātīgākie risinājumi trafika datu vākšanai būs tcpdump.
Apglabājot pušķus, lai palīdzētu Wireshark
Vienkāršākais veids, kā saglabāt šīs tīkla paketes, ir atlasīt vajadzīgo saskarni pēc Wireshark palaišanas un noklikšķiniet uz Sākt. Wireshark ekrānā rādīs datus par mērījumu atkarībā no jūsu pasākuma trafika. Uzmanību: varat izvēlēties vairāk nekā vienu interfeisu. Ja jūs neko nezināt par TCP, IP vai citiem protokoliem, rezultātu var apkopot, lai jūs varētu izlasīt un saprast.
Lai sāktu tveršanas procesu, izvēlieties Uzņemt > Apturēt . Kā alternatīvu varat noklikšķināt uz ceturtās ļaunuma ikonas ar sarkanu kvadrātu (tas ir saīsināts kā "Piespraust uzkrātos datus tiešraidē") galvenajā rīkjoslā (pārbaudiet to, precīzāk ir novietot to uz Wireshark versijas, kuru jūs ir). Mežģīņu datu atlases procesā šo pogu varat nospiest mazāk.
Ja neievērojat aprakstīto datu tveršanas metodi, nevarat mainīt Wireshark iestatījumus tveršanas opcijām. Uztveršanas opcijas var mainīt, atlasot izvēlni Capture > Options. Šeit jūs varat izvēlēties saites saskarni(-es), apskatīt savu IP adresi, iestatīt datu vākšanas filtru, pārslēgt savu saišu karti uz visu saistīto pakešu saņemšanas režīmu un saglabāt savāktos datus vienā vai vairākos failos. . Jūs varat sodīt par paciņu aprakšanu pēc tīklmaisu dziesmas skaita vai dziesmas stundas, vai dziesmas pienākuma (baitos) sasniegšanas.
Wireshark par bloķēšanu neiekasē maksu par datiem, vai arī varat tos saglabāt vēlāk. Ir svarīgi saglabāt labāko, un tad mēs uzvarēsim tīkla maisiņi tāpat kā jums nav īpašu iemeslu augt citā veidā.
Wireshark ļauj lasīt un analizēt jau savāktos datus no liela apjoma failu formāti, Ieskaitot tcpdump, libpcap, snoop no Sun, nettl no HP, K12 teksta failus utt. Īsāk sakot, ar Wireshark palīdzību jūs varat nolasīt praktiski jebkura formāta atlasītos mežģīņu datus. Tāpat Wireshark ļauj saglabāt atlasītos datus dažādos formātos. Varat ierakstīt Wireshark hack, lai konvertētu failu no viena formāta uz citu.
Varat arī vienkāršā veidā eksportēt pašreizējo failu teksta fails no izvēlnes Fails. Šī opcija galvenokārt paredzēta mežģīņu datu manuālai apstrādei vai ievadīšanai citā programmā.
Opcija ir nodota jūsu paku draugam. Dzīvē es to nekādā veidā necienīju, protezējiet apgaismojuma nolūkos, paciņas varēšu kārtot tāpat.
Wireshark displeja filtri
Tiklīdz plūdu filtrs bloķē stundu ilgu nožogojuma datu applūšanu, Wireshark netraucē nožogojuma satiksmi, kas neatbilst filtram; tad, kā filtri, tie zastosovuyutsya pēc datu uzkrāšanas un to, kā ierobežot trafiku, to neredzot. Jūs vienmēr varat izslēgt displeja filtru un pārvērst pievienotos datus.
Principā filtrus respektē atbilstošākie un dažādi, zemākie filtri pēc datu atlases, tāpēc diez vai iepriekš zināsi, kādu informāciju izvēlēsies, vai būsi vibčiti. Tomēr filtru izmantošana datu uzkrāšanas gadījumā ietaupa jūsu laiku un vietu diskā, kas ir galvenais iemesls šīm zastosuvannya.
Wireshark sintaktiski pareizu filtru uztver kā gaiši zaļu mirdzumu. Tāpat kā sintakse, lai atriebtu apžēlošanu, fons ir erysipelas.
Filtrēšanas iespējas ir papildinātas ar saskaņošanas operatoriem un loģiskiem operatoriem. Vibrācijas filtrs http.response.code
Trīs trīsvirzienu TCP zvana trīs paketes (SYN, SYN+ACK un ACK). 404 && ip.addr == 192.168.1.1 parāda trafiku, kas nāk no IP adreses 192.168.1.1 vai uz IP adresi 192.168.1.1, kā rezultātā var tikt parādīts arī 404 (nav atrasts) HTTP atbildes kods. Filter!loo1p &&!ip &&!arp no rezultāta izslēdz BOOTP, IP un ARP trafiku. Filtrēt eth.addr == 01:23:45:67:89:ab && tcp.port == 25 Parāda trafiku, kas tiks novirzīts uz apvienošanas adresi ar MAC adresi 01:23:45:67:89:ab, kas atšķiras gan ievades, gan izvades savienojumiem, TCP porta numurs 25.
Atcerieties, ka filtri neatrisina problēmas ar burvīgu rangu. Ar pareizo atslēgas izvēli un pareiziem rīkiem, taču jums joprojām ir jāinterpretē rezultāti, jāzina problēma un pašam jāpieņem labākais lēmums.
Prodovzhennya statti nākamajā pusē. Lai pārietu uz nākamo pusi, nospiediet pogu 2, kā jūs zināt zem sociālo tīklu pogām.
- Iebūvētas ekspertu sistēmas pieejamība, kas ļauj ātri sakārtot buferi pakalpojumiem vai apžēlošanas veidiem. Tāpēc ļaujiet man paātrināt problēmas lokalizācijas laiku un strādāt ar informāciju, kas jau ir sakārtota un novērtēta pirms laika. Šeit varat pievērst uzmanību risinājumam no VIAVI Solutions ar nosaukumu Observer vai ClearSight Analyzer no Netscout.Ja neredzat budžetu, bet ir problēmas, tad jums ir jāuzkrāj pacietība un kafija. Datu pārsūtīšanas gadījumā ar ātrumu 1 Gb / s un lielāku satiksmes sastrēgumu buferi, tas tiks aizkavēts un tiks vākts liels datu masīvs. Šo datu masīvu, rozumіyuchi aizvietojami starp dažādām saimniecības ēkām merezhі, var filtrēt pēc dažādiem parametriem. Šim Wireshark ir dažas iespējas:
Jūs varat pielāgot apžēlošanas paku krāsu kodu. Pakas, tāpat kā apžēlošanas pārnēsāšana, būs redzamas buferī ar īpašu krāsu.
Filtrējiet caur filtrēšanas rindu. Ja jums ir lieliskas zināšanas par Wireshark robotu un protokoliem, varat pats ievadīt filtru. Var zināt lielu filtru izvēli.
Lai redzētu, vai laukums ir iepakojumā, ar peles labo pogu noklikšķiniet uz un "Apturēt kā filtru". Metode pochatkіvtsіv jau ir vienkārša, tiem, kam nav nepieciešama lamata galva.
Kādi ir galvenie filtri trafika attēlošanai?
Wireshark filtrs pēc protokola
Pietiek filtra rindā ievadīt protokola nosaukumu un nospiest ievadu. Pakas tiek atstātas uz ekrāna, it kā tās būtu piekārtas protokolam. Šādā secībā filtrs izskatās šādi:
Ja buferis ir jāuzglabā, nepieciešams filtrēt pēc protokolu skaita, nepieciešams pārskatīt visus bufera protokolus un atdalīt tos ar zīmi ||. Piemēram:
arp || http || icmp
Wireshark filtrs IP adresei un filtrs MAC
Nokritis taisnā līnijā satiksmei, filtrs ir trohisks. Piemēram, mēs vēlamies filtrēt pēc pārvaldnieka IP adreses 50.116.24.50:
ip.src==10.0.10.163
Aiz kontroles filtra redzēsiet ip.dst == x.x.x.x, un, ja vēlaties nosūtīt paketes tieši trafikam, tad pietiek ievadīt:
ip.addr==50.116.24.50
Ja mums ir jāieslēdz adrese no atlases lauka, tad mums ir jāpievieno! = . Muca:
ip.src! = 80.68.246.17
Tā kā mēs analizējam trafiku lokālā tīkla vidū un zinām avota MAC adresi, varat norādīt Wireshark filtru MAC adresei, piemēram:
eth.addr == AA:BB:CC:DD:EE:FF
wireshark filtrs pēc porta numura
Analizējot trafiku, mēs varam iestatīt porta numura filtru, kas pārsūtīs trafiku uz šo protokolu. Var atpazīt visu reģistrēto ostu numurus.
Tātad, tāpat kā ar IP un MAC adresēm, mēs varam filtrēt tikai pēc izbraukšanas vai pārvaldības ostām tcp. srcportі tcp. dstport. Iespēja ievadīt portu numurus programmā Wireshark sniedz iespēju filtrēt buferi saskaņā ar TCP protokola apzīmējumiem. Piemēram, ja mēs vēlamies nosūtīt TCP paketes ar SYN ensign (instalēts starp ierīcēm), tad mēs ierakstām rindā joku:
Populāri filtri
Tālāk esošajās tabulās ir parādīti populārākie filtri rādīšanai krātuves bufera vietā:
|
Displeja filtrs |
Apraksts |
muca rakstīšana |
|
Vadītāja vai īpašnieka MAC adrese |
eth.addr == 00:1a:6b:ce:fc:bb |
|
|
Sūtītāja MAC adreses |
eth.src == 00:1a:6b:ce:fc:bb |
|
|
Īpašnieka MAC adreses |
eth.dst == 00:1a:6b:ce:fc:bb |
|
|
ARP protokols - īpašnieka MAC adrese |
arp.dst.hw_mac == 00:1a:6b:ce:fc:bb |
|
|
arp.dst.proto_ipv4 |
ARP protokols — IP adreses 4. versijas atbalsts |
arp.dst.proto_ipv4 == 10.10.10.10 |
|
Protokols ARP - galvenā MAC adreses |
arp.src.hw_mac == 00:1a:6b:ce:fc:bb |
|
|
arp.src.proto_ipv4 |
ARP protokols — IP adreses, lineāla 4. versija |
arp.src.proto_ipv4 == 10.10.10.10 |
|
VLAN ID |
||
|
IP adreses versija 4 |
ip.addr == 10.10.10.10 |
|
|
IP adreses 4. versijas galvenā |
ip.addr == 10.10.10.10 |
|
|
IP adreses versija 4 wdpravnik |
ip.src == 10.10.10.10 |
|
|
IP protokols (decimāldaļa) |
||
|
IP adreses versija 6 |
ipv6.addr == 2001::5 |
|
|
IP adreses wdpravnik versija 6 |
ipv6.addr == 2001::5 |
|
|
IP adreses galvenā versija 6 |
ipv6.dst == 2001::5 |
|
|
TCP ports |
||
|
TCP īpašnieka osta |
tcp.dstport == 80 |
|
|
draivera TCP ports |
tcp.srcport == 60234 |
|
|
Īpašnieka vai pārvaldnieka UDP ports |
||
|
Otrimuvach UDP ports |
udp.dstport == 513 |
|
|
Meistara UDP ports |
udp.srcport==40000 |
|
|
vtp.vlan_info.vlan_name |
vtp.vlan_info.vlan_name == TESTS |
|
|
bgp.originator_id |
BGP identifikators (IPv4 adreses) |
bgp.originator_id == 192.168.10.15 |
|
Next Hop BGP (IPv4 adreses) |
bgp.next_hop == 192.168.10.15 |
|
|
RIP IPv4 adrese |
rip.ip == 200.0.2.0 |
|
|
Maršrutētāja ID aiz OSPF protokola |
ospf.advrouter == 192.168.170.8 |
|
|
EIGRP autonomās sistēmas numurs |
||
|
Virtuālās IP adreses aiz HSRP protokola |
hsrp.virt_ip == 192.168.23.250 |
|
|
Virtuālās IP adreses aiz VRRP protokola |
vrrp.ip_addr == 192.168.23.250 |
|
|
Pārvaldnieka vai Wi-Fi īpašnieka MAC adreses |
wlan.addr == 00:1a:6b:ce:fc:bb |
|
|
Wi-Fi pārvaldnieka MAC adreses |
wlan.sa == 00:1a:6b:ce:fc:bb |
|
|
Wi-Fi resursdatora MAC adreses |
wlan.da == 00:1a:6b:ce:fc:bb |
Un kādi filtri, visticamāk, uzvarēs jūsu robotā?
Vienkārši dažādi filtri bez sejas. І shdo tsikh filtrіv є majestātiska dokumentācija, kurā to nav tik viegli sakārtot. Esmu izvēlējies sev labākos, un visizplatītākie ir Wireshark filtri. Par koristuvachіv-pochatkіvtsіv tse var būt uz kshtalt dovіdnik z Wireshark filtriem, pareizais punkts vіvchennya. Tāpēc šeit komentāros iesaku jums padalīties ar skriešanas filtriem, kā jūs bieži vikoristat, kā arī ar lieliskām zināšanām - pievienošu tos sarakstam.
Ņemiet vērā, ka Wireshark ir filtri filtru parādīšanai un glabāšanai. Šeit es aplūkoju attēlošanas filtrus, kas tiek ieviesti programmas galvenajā ekrānā augšējā laukā, vienreiz zem izvēlnes un ar galveno funkciju ikonām.
Lai atkal un atkal saprastu, ko nozīmē filtri un ko rāda vīni, ir jāsaprot mēra darbs. Lai iepazītos ar darba principiem un protokolu, ieteicams izpētīt darba ciklu datora siets, Cikla "" pirmais raksts (Pārējās daļas sagatavošanas procesā)
Deyaki filtri šeit ir rakstīti formālā formā, un deyaki vikonan kā īpašs muca. Atcerieties, ka jebkurā gadījumā varat ievadīt savus datus, piemēram, mainīt porta numuru uz to, uz kuru jums ir nepieciešams zvanīt, kā arī strādāt tāpat ar IP adresi, MAC adresi, laika vērtību un šo numuru.
Wireshark filtru operatori
Filtriem var būt dažādas vērtības, piemēram, tie var būt rindas, sešpadsmitā formāta vai skaitļa.
Ja jokojat par neprecīzu ievadi (tā ir vairāk piemērota neskaitliskām vērtībām), tad jūs uzvarat satur. Piemēram, lai parādītu TCP paketes, lai pārbaudītu uzlaušanas rindu, ir nepieciešams aizskarošs filtrs:
Tcp satur uzlaušanas programmatūru
Joka pēc precīzas vērtības operatori uzvar. Apskatīsim:
Kā var bachiti, є divi rakstīšanas varianti, piemēram, ja gribam teikt, ka filtra nozīme ir jaunāka, tad varam vikoristovuvat == vai ekv.
Ar filtriem no zastosuvannyam loģiskā operanda ir iespējams pievienot saliekamas konstrukcijas, ale, varbūt, piemēram, vienu un to pašu filtru, lai uzvarētu divus ar pāru savienošanas operatoriem, piemēram, kā šeit mēģinot filtrēt nevis pēc viena porta, bet diapazona no ostām
tcp.port>=8000 && tcp.port<=8180
tad filtra vērtība (šādā veidā tcp.port) tiek pārrakstīts ar atlikušajām vērtībām, tāpēc vērtēšanas uzvedības aizstāšanas rezultātā mēs ņemam tikai atlikušās daļas darba rezultātu, šajā gadījumā
tcp.port<=8180
Atcerieties par šo kļūdu!
Kad vikoristanni z == (Rivno) šī kļūda ir katru dienu.
Wireshark filtra loģiskie operatori
Loģiskie operatori ļauj izveidot detalizētus filtrus dažādiem prātiem. Ieteicams papildus uzvarēt lokus, lauskas savādāk, var ņemt nepareizas vērtības, kā iegūsi.
| Operators | Apraksts |
|---|---|
| un/&& | Loģika I, ņemot vērā, ka tie, šķiet, smird abās filtra daļās. Piemēram, filtrēt ip.src==192.168.1.1 un tcp rādīt tikai paketes, kas izskatās kā 192.168.1.1 un ir saistītas ar TCP protokolu. Tas tiks parādīts mazāk nekā dati, kas ņemti no abiem prātiem. |
| vai/|| | Loģiski ABO, pietiekami, lai tikai viens prāts būtu patiess; yakscho apvainojumi ir patiesi, tse tezh sanak. Piemēram, filtrs tcp.port==80 vai tcp.port==8080 parādīt TCP paketes, kā tās parādās (pēc izcelsmes vai galamērķa) portā 80 vai 8080. |
| nē/! | Loģiskāk ir NEUZVARĒT, ja gribi atslēgt kādas paketes. Tātad tiks parādīti visi iepakojumi, krēms apmierinās prātus, ka tagad tā NAV. Piemēram, filtrs !dns parādīt visas paketes, okrim DNS. |
Lietojiet kombināciju:
Rādīt HTTP vai DNS trafiks:
http vai DNS
Parādiet man kādu satiksmi Krima ARP, ICMP un DNS:
!(arp vai icmp vai dns)
Interfeisa filtrs
Rādīt tikai wlan0 saskarnē augšupielādētās vai atceltās paketes:
Frame.interface_name == "wlan0"
Protokolu trafika kanāla līmenī
Lai parādītu ARP trafiku:
Rādīt ARP kadrus protokolam papildinājumā, kas var būt MAC adrese 00:c0:ca:96:cf:cb:
Arp.src.hw_mac == 00:c0:ca:96:cf:cb
Rādīt ARP protokola kadrus, kas novirzīti uz ierīci, kurai var būt IP adrese 192.168.50.90:
arp.src.proto_ipv4 == 192.168.50.90
Rādīt ARP kadrus protokolam, kas ir novirzīts uz paplašinājumu, kas var būt uz MAC adresi 00:00:00:00:00:00 : ff:ff:ff:ff;
Arp.dst.hw_mac == 00:00:00:00:00:00
Rādīt ARP kadrus protokolam, kas nosūtīts uz galamērķi, kas var IP adrese 192.168.50.1:
arp.dst.proto_ipv4 == 192.168.50.1
Rādīt Ethernet trafiku:
Rādīt rāmjus (tika atlasīti visi rāmji, ne tikai ARP, kā tas bija priekšējos spārnos) pielikuma priekšā, kas var būt MAC adrese 00:c0:ca:96:cf:cb:
Eth.src == 00:c0:ca:96:cf:cb
Rādīt kadrus, kas nosūtīti uz pielikumiem, kas var būt MAC adrese 78:cd:8e:a6:73:be:
Eth.dst == 78:cd:8e:a6:73:be
Protokolu satiksme starpmerezhovogo vienāds
IPv4 protokola filtrēšana
Rādīt IP trafiku (šeit jūs varat redzēt TCP, UDP, kā arī papildu DNS, HTTP protokolus - tas ir praktiski viss, izņemot kanālu slāņa protokolus, ja netiek ignorētas IP adreses datu pārraidei (vietējiem Ethernet tīkliem, kā piegādes adreses, ignorēt MAC adreses) )):
Precīzāk sakot, ir iespējams izvairīties no trafika uz IPv4 protokolu, ko vienkārši sauc par IP (Internet Protocol).
Rādīt trafiku, kas saistīts ar sākotnējo IP adresi (ievadiet vērtību x.x.x.x). Tiks parādītas paketes, kurās ABO datu nesējs glabā IP adreses:
Ip.addr == x.x.x.x
Rādīt trafiku, kas saistīta ar šīm divām IP adresēm. Vienai iespējamai loģikai viena no tām būs dzhereļa adrese, bet otra - piegādes adrese.
ip.addr == x.x.x.x && ip.addr == y.y.y.y
Rādīt trafiku, kas ir resursdators ar IP adresi 138.201.81.199:
ip.src == 138.201.81.199
Rādīt trafiku, kurš galamērķis ir resursdators ar IP adresi 138.201.81.199:
Ip.dst == 138.201.81.199
Uzmanību, IP protokols darbojas IP adresēs, bet ne portos. Porti ir daļa no TCP un UDP protokoliem. IP protokols ir derīgs tikai trafika maršrutēšanai starp resursdatoriem.
IP diapazona filtrēšana ar Wireshark
Varat mainīt vienu IP adresi un ievadīt sekojošo:
Ip.addr == 192.168.1.0/24
Uz IP diapazonu nosūtītās trafika filtrēšana. Tā kā ir nepieciešams filtrēt trafiku, kā sava veida apakšvietni, vikorist filtrē domas:
ip.src==192.168.1.0/24
Trafika filtrēšana, atzīta par IP dziedāšanas diapazona pārspīlēšanu. Ja jums ir jāfiltrē satiksme kā jebkura veida idmerezha atpazīšanas punkts, filtrējiet prātu:
Ip.dst == 192.168.1.0/24
IPv6 protokola filtrēšana
Rādīt IPv6 (interneta protokola zemās versijas) trafiku:
IPv6 adreses filtrēšana. Lai filtrētu IPv6 adresi, ievietojiet filtru:
ipv6.addr == 2604:a880:800:c1::2ae:d001
IPv6 diapazona filtrēšana ar Wireshark
Varat mainīt vienu IPv6 adresi un norādīt apakškopu filtrēšanai:
ipv6.addr == 2604:a880:800:c1::2ae:d000/64
Parasti šādas IPv6 adreses trafiks ir jāfiltrē:
ipv6.src == 2604:a880:800:c1::2ae:d001
Kā filtrēt trafiku, nosūtīt ziņojumus uz IPv6 adresi:
ipv6.dst == 2604:a880:800:c1::2ae:d001
Uz IPv6 diapazonu nosūtītās trafika filtrēšana. Tā kā ir nepieciešams filtrēt trafiku, kā sava veida apakšvietni, vikorist filtrē domas:
ipv6.src == 2604:a880:800:c1::2ae:d000/64
Datplūsmas filtrēšana, atzīta par izpildi IPv6 dziedāšanas diapazonā. Ja jums ir jāfiltrē satiksme kā jebkura veida idmerezha atpazīšanas punkts, filtrējiet prātu:
ipv6.dst == 2604:a880:800:c1::2ae:d000/64
ICMPv6 (Internet Control Message Protocol — sestās versijas starpposma kerable atjauninājumu protokols) filtrēšana programmā Wireshark, lai mēģinātu filtrēt:
Lai saskaņotu paketes, lai mainītu ARP lomu IPv6, mainiet filtru:
icmpv6.type == 133 vai icmpv6.type == 134 vai icmpv6.type == 135 vai icmpv6.type == 136 vai icmpv6.type == 137
Citi filtri ar IP adresi ir līdzīgi IPv6 un IPv4.
Transporta līnijas satiksmes protokoli
Lai palielinātu TCP trafiku:
Rādīt trafiku, kurš ports tiek atpazīts kā pirmais ports, piemēram, 8080:
tcp.port==8080
Rādīt trafiku, kāda veida ports 80:
tcp.srcport==80
Rādīt trafiku, kurā darbojas pakalpojums, klausoties 80. portā:
tcp.dstport == 80
Rādīt TCP paketes ar SYN ensign:
tcp.flags.syn==1
Rādīt TCP paketes ar SYN karogu uz augšu un ACK karogu uz leju:
tcp.flags.syn==1 && tcp.flags.ack==0
Līdzīgi citiem karogiem:
tcp.flags.syn==1 tcp.flags.ack==1 tcp.flags.reset==1 tcp.flags.fin==1 tcp.flags.cwr tcp.flags.ecn tcp.flags.urg==1 tcp.flags.push==1Varat arī pielāgot prāta sintaksi tcp.flags == 0x0XX, piemēram:
- FIN ce tcp.flags == 0x001
- SYN tcp.flags == 0x002
- RST ce tcp.flags == 0x004
- ACK ce tcp.flags == 0x010
- Uzstādīts vienu stundu ACK un FIN tcp.flags == 0x011
- Instalēts vienu stundu ACK un SYN tcp.flags == 0x012
- Uzstādīja vienu stundu ACK un RST tcp.flags == 0x014
Lai parādītu pakotnes, kā atriebt, vai rindu, piemēram, uzlaušanas rindu, vai ne:
Tcp satur uzlaušanas programmatūru
Sekojiet TCP straumes numuram X:
Tcp.stream eq X
Filtrēt pēc straumes numura:
Tcp.seq == x
Rādīt atkārtotu paku pārslodzi. Palīdz uzlabot uztura bagātinātāju un izdevumu paku produktivitāti:
Šis filtrs rādīja problemātiskās paketes (iztērēti segmenti, atkārtoti izpildīti tie citi. Šis filtrs iztur TCP Keep-Alive paketes, bet smaka liecina par problēmām.
Tcp.analysis.flags
Filtri pieslēguma kvalitātes novērtēšanai ar pagalmu.
Iepriekšējās īpašības ir redzamas līdz pat TCP kadriem. Turklāt smaka nav balstīta uz kadra galvenēm - redzamos raksturlielumus (datu izlaišana, dublikāti) analīzei piešķir programma Wireshark.
Filtrējiet, lai parādītu informāciju par kadriem ar karodziņu ACK, it kā tie būtu dublikāti. Ir liels skaits šādu darbinieku, jūs varat runāt par komunikācijas problēmu:
tcp.analysis.duplicate_ack_num == 1
Filtrs rāmju parādīšanai kāda veida jucekli priekšējā segmentā:
Tcp.analysis.ack_lost_segment
Tas ir normāli, ja dati tiek aprakti vālītē, informācijas lauskas netiek pārnestas no pašas sesijas vāles.
Lai parādītu kadrus, ti, atkārtotu pārraidi (jāpārrediģē):
Tcp.analysis.retransmission
Personāla noņemšana, jaki otrimani nav pareizā secībā:
Tcp.analysis.out_of_order
Lai samazinātu UDP trafiku:
UDP nav karogu. Kuram protokolam ir iespējams vairāk norādīt portu.
Rādīt trafiku, kāda veida ports 53:
Udp.srcport == 53
Rādīt trafiku, kurā darbojas pakalpojums, klausoties 53. portā:
Udp.dstport == 53
UDP pakete, kurā ir ierakstīšanas rinda, piemēram, uzlaušanas rinda:
Udp satur uzlaušanas programmatūru
Lai atļautu mazāku ICMP trafiku:
Lai nodrošinātu mazāku trafiku, ICMP v6 (īsā versija)
Rādīt visus ping rezultātus:
icmp.type==0
Rādīt visus ping pieprasījumus:
icmp.type==8
Parādīt visus saimnieku un portu nepieejamības/žogus
icmp.type==3
Rādīt visu Mēģiniet novirzīt maršrutēšanu, lai saņemtu ICMP palīdzību:
icmp.type==8
CODE varianta apakšā nākamais filtrs parādīs paziņojumu par porta nepieejamību:
icmp.type==3 && icmp.code==3
Lietojumprogrammu trafika protokoli
Tādiem protokoliem kā HTTP, DNS, SSH, FTP, SMTP, RDP, SNMP, RTSP, GQUIC, CDP, LLMNR, SSDP šie filtri, kurus sauc tāpat kā pašus protokolus, arī ir rakstīti ar maziem burtiem.
Piemēram, lai iegūtu HTTP trafiku:
Lai iespējotu trafiku jaunajam HTTP/2 protokolam:
Atcerieties, ka, pieņemot lēmumu, līdz kuram protokolam tiek doti dati, kādi tiek pārraidīti, programma ienāks no uzvarošā porta numura. It kā izvēlēts nestandarta ports, programma nevar zināt nepieciešamos datus. Piemēram, ja bija iespējams izveidot savienojumu ar SSH portu 1234, tad filtru ssh nezinu SSH trafiku.
Filtrs, kas parāda vairāk datu, kas nosūtīti ar POST metodi:
http.request.method == "POSTĪT"
Filtrs, kas parāda vairāk datu, kas pārsūtīti ar GET metodi:
http.request.method == "IEGŪT"
Pieprasīt pieprasījumu sākotnējai vietnei (saimniekam):
http.host=="
Meklēšanas pieprasījums dziesmu vietnei daļā nosaukuma:
Http.host satur "here.private.im'ya"
Filtrs HTTP pieprasījumu parādīšanai, no kuriem tika pārsūtīti sīkfaili:
Http.sīkdatne
Jautājiet, kurā serverī, iestatot sīkfailus koristuvach pārlūkprogrammā.
Http.set_cookie
Joka pēc, vai ir kāda attēlu pārsūtīšana:
http.content_type satur "attēls"
Dziedošu attēlu labad:
http.content_type satur "gif" http.content_type satur "jpeg" http.content_type satur "png"
Lai meklētu dziesmas veida failus:
http.content_type satur "text" http.content_type satur "xml" http.content_type satur "html" http.content_type satur "json" http.content_type satur "javascript" http.content_type satur "x-www-form-urlencode" http. content_type satur "saspiests" http.content_type satur "application"
Lūdziet Wireshark lejupielādēt viena veida failus. Piemēram, jokam par ZIP arhīvu pārsūtīšanu:
Http.request.uri satur "zip"
Lai iegūtu lielāku precizitāti, http.request.uri vietā varat mainīt filtru http.request.uri.path vai http.request.uri.query, piemēram, JPG failu pieprasījumam (attēlu nosūtīšanai):
Http.request.uri.path satur "jpg"
Ir iespējams arī filtrēt pieprasījumu, lai noņemtu HTTP galvenes REFERER (referer) vērtību. Piemēram, pieprasījumu pieprasījumam ar dažiem novirzītājiem є ru-board.com:
Vietnē Http.referer ir "ru-board.com"
http.autorizācija
Meklēt failus no HTTP potoci:
Http.file_data
Lai palīdzētu, jo HTTP dati tiek noņemti no zatrymkoy, tiek uzvarēta šāda konstrukcija:
http.time>1
Vaughn parādīs satiksmi, otrimaniy pіznіshe jaku 1 sekundi.
Lai novērstu problēmas, atbildē varat analizēt HTTP koda statusu. Piemēram, nākamais filtrs parādīs trafiku, un tādā gadījumā tiek noņemts piedošanas 404 nav atrasts (puse nav atrasta):
http.response.code==404
Nākamais filtrs ir vairāk kā cicavia. Vispirms es jums parādīšu, kā var izveidot salokāmus dizainus, izmantojot pēc iespējas vairāk filtru. Citā veidā vīns ļauj turpināt HTTP pieprasījums un zagalom interneta aktivitātes, Krimas dati. Kura filtra palīdzību var apskatīt interneta aktivitātēs augsts līmenis. Noteikumi priekšgala vidū ietver attēlus, Javascript failus un stila lapas - visu, ko puse prasa pati par sevi. Lai pievienotu malas, lai atriebtu citus objektus, iekļautu tos līdzīgā rangā:
Http.request && !(http.request.uri satur ".ico" vai http.request.uri satur ".css" vai http.request.uri satur ".js" vai http.request.uri satur ".gif" vai http.request.uri satur ".jpg")
Lai pārbaudītu visus DNS pieprasījumus un vidpovidi:
Sobachit, tāpat kā DNS pieprasījumi, aizņēma daudz laika:
dns.time>1
Bude parādīs, cik daudz vairāk būs nepieciešams sekundē pēc strāvas pievienošanas.
Šis filtrs parāda, vai DNS pieprasījumus nevar pareizi atļaut:
dns.flags.rcode != 0
Rādīt tikai DNS vaicājumus:
dns.flags.response == 0
Rādīt tikai DNS vērtības:
dns.flags.response == 1
Parādiet pieprasījumu un atsauksmes par tiem, kurā tiek meklēta IP adrese vietnei google.com:
dns.qry.name == "google.com"
Rādīt DNS vaicājumu un atbilstību A ierakstam:
dns.qry.type == 1
Rādīt DNS vaicājumu un saskaņot jebkuru AAAA ierakstu:
dns.qry.type == 28
Parādiet pierādījumus, kuros A ierakstam kā IP tika labots 216.58.196.3:
dns.a == 216.58.196.3
Parādiet labojumus, kuros AAAA ierakstam tika izlabots IP 2a01:4f8:172:1d86::1:
dns.aaaa == 2a01:4f8:172:1d86::1
Rādīt ierakstus no CNAME apollo.archlinux.org:
dns.cname == "apollo.archlinux.org"
Rādīt vіdpovіdі dozhinoy virs 30:
dns.resp.len > 30
Parādiet dzērienu ar dozhinoju, kas vecāks par 25:
dns.qry.name.len >25
Rādīt DNS serveru veidus, kur ir pieejama rekursija:
dns.flags.recavail == 1
Rādīt DNS serveru veidus, kuros rekursija nav pieejama:
dns.flags.recavail == 0
Chi bazhana rekursija (jo DNS serverim nav informācijas par resursdatora nosaukumu, tā ir vainīga otram DNS serveri meklē informāciju):
dns.flags.recdesired == 1
Kā stāvēt pēc pieprasījuma 1 , tātad vajadzīga rekursija, tātad 0 - otzhe, nav bazhana.
Pieņemt neautentificētus datus ( 0 nozīmē nepieņemt 1 nozīmē pieņemt):
dns.flags.checkdisable == 0
Lai noskaidrotu, kā IP adreses tiek piešķirtas, izmantojot DHCP protokolu:
Udp.dstport==67
bootp.option.dhcp
Lai parādītu DHCP pieprasījumu:
bootp.option.dhcp==3
Lai parādītu DHCP Discover:
bootp.option.dhcp==1
SMB filtrs. Šis filtrs informācijas kolonnā parāda visu dienas koku (atdzist), kurā ir iekļauti direktoriji, kas atveriet kritiskos failus pie izsekotāja.
smb2.cmd==3 vai smb2.cmd==5
Filtri Wi-Fi rāmjiem
Parādiet dažu rokasspiediena elementus (lai ierāmētu EAPOL protokolu):
Rādīt bākas rāmjus:
wlan.fc.type_subtype == 0x08
Rādīt zondes atbildes rāmjus:
wlan.fc.type_subtype == 0x05
Rādīt visu uzreiz: EAPOL, bākas, zondes atbilde:
wlan.fc.type_subtype == 0x08 || wlan.fc.type_subtype == 0x05 || eapol
Rādīt nedronu kadrus vienam papildinājumam ar BSSID MAC adresi:
wlan.addr==BSSID
Rādīt EAPOL, Beacons, zondes atbildi dziesmas pielikumam ar MAC adresi 28:28:5D:6C:16:24:
(wlan.fc.type_subtype == 0x08 || wlan.fc.type_subtype == 0x05 || eapol) && wlan.addr==28:28:5D:6C:16:24
Tiek rādīts saglabātais PMKID:
Eapol && wlan.rsn.ie.pmkid
Rādīt PMKID, bākas, zondes atbildi:
(wlan.fc.type_subtype == 0x08 || wlan.fc.type_subtype == 0x05 || (eapol && wlan.rsn.ie.pmkid))
Rādīt PMKID, bākas, zondes atbildi AP ar MAC adresi 40:3D:EC:C2:72:B8:
(wlan.fc.type_subtype == 0x08 || wlan.fc.type_subtype == 0x05 || (eapol && wlan.rsn.ie.pmkid)) && wlan.addr==40:3D:EC:C2:72:B8
Rādīt tikai pirmo atgādinājumu par roku vicināšanu:
Wlan_rsna_eapol.keydes.msgnr == 1
Parādiet tikai draugam atgādinājumu par rokasspiedienu (jūs varat laimēt, lai atcerētos rokasspiedienu ar jebkuru numuru):
Wlan_rsna_eapol.keydes.msgnr == 2
Rādīt kadrus piekļuves punktam ar datu pārraides ātrumu (Data Rate) 1 Mb/s:
Wlan_radio.data_rate == 1
Rādīt kadrus piekļuves punktiem ar ātrumu virs 10 Mb/s:
Wlan_radio.data_rate > 10
Rādīt piekļuves punktus dziesmas frekvencē:
Radiotap.channel.freq == 2412
Rādīt tīklājus ar zemu signāla stiprumu:
Wlan_radio.signal_dbm > -50
Filtri, kas savienoti ar antenas klātbūtni:
Radiotap.present.antena == 1
Radiotap.antena == 1
Ja zināt citus Wireshark filtrus, lūdzu, kopīgojiet tos komentāros.
