Как да използвате филтър за дисплей в Wireshark

Езикът на филтъра за показване на Wireshark ви позволява да контролирате пакетите, които платформата показва в момента. Обикновено ще използвате филтри за показване, за да проверите наличието на протокол или поле. Можете обаче да ги използвате и за сравняване на пакети с помощта на логически оператори като „и“ и „или“.

Как да използвате филтър за дисплей в Wireshark

Лесно е да объркате филтъра за показване на Wireshark с филтъра за улавяне. Тази статия обяснява как да използвате филтъра за дисплей на платформата на PC и Mac. Той също така разглежда разликата между филтрите за показване и филтрите за улавяне в Wireshark.

Как да използвате Display Filter в Wireshark на компютър с Windows

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Сравнително лесно е да използвате филтъра за дисплей на Wireshark на компютър. Платформата предоставя поле в горната част на екрана, което ви позволява бързо да обясните кои пакети искате да покажете. Обикновено ще показвате пакети въз основа на следното.

  • протокол
  • Стойности на полета
  • Наличието на поле
  • Сравнения между полета

Функционалността на полето за показване обаче позволява по-сложна употреба.

Има два метода за използване на филтъра за показване в Wireshark на компютър с Windows.

Метод №1 – Директен филтърен тип

Ако приемем, че просто искате да покажете протокол, следвайте тези стъпки.

  1. Намерете и щракнете върху лентата с инструменти за филтър за показване в Wireshark.
  2. Въведете името на протокола в лентата с инструменти. Например, въведете „tcp“, ако искате да покажете всичките си TCP пакети.
  3. Натиснете „Enter“, за да приложите избрания от вас филтър. Като алтернатива можете да щракнете върху „Прилагане“, след като въведете израза на филтъра.

Сега трябва да видите Wireshark да показва пакети въз основа на филтъра, който сте избрали. Всички тези пакети остават в свързания файл за заснемане. Филтърът за показване не променя съдържанието във файла за заснемане. Той показва пакети, подходящи за филтъра, който прилагате.

Ако искате да премахнете приложения филтър, щракнете върху бутона Изчисти. Това се намира отдясно на лентата с инструменти за филтър на дисплея.

Метод № 2 – Статистическият бар

Този метод е начин за прилагане на филтър, който не изисква да въвеждате директно в лентата с инструменти на филтъра за показване.

  1. Намерете „Статистика“ в горното меню и щракнете върху него.
  2. Изберете една от опциите в падащото меню. За това ръководство изберете „Крайни точки“.
  3. Трябва да се появи изскачащ прозорец, показващ отчета за крайна точка, показващ MAC адреси. Щракнете с десния бутон върху един от адресите и изберете „Прилагане като филтър“.
  4. Кликнете върху „Избрано“.

Синтаксисът по ваш избор се въвежда автоматично в лентата с инструменти на филтъра за показване.

Как да използвате Display Filter в Wireshark на Mac

Wireshark на Mac ви позволява да използвате филтър за показване, за да показвате пакети въз основа на набор от опции и изрази, включително протоколи, сравнения на полета, стойности на полета и др. Има два начина за използване на филтъра на дисплея на Mac.

Метод № 1 – Лентата с инструменти за филтър за показване

Следните стъпки ви позволяват да покажете прост протокол. Възможно е да използвате различни оператори за създаване на по-сложни филтри, ако приемете, че имате задълбочено разбиране на Wireshark. Следвайте тези стъпки за прост филтър за показване на протоколи.

  1. Щракнете върху лентата с инструменти за филтър за показване в горната част на екрана. Това е текстовото поле до думата „Филтър“.
  2. Въведете името на протокола и щракнете върху бутона „Приложи“.

Wireshark показва всеки пакет, свързан с въведения протокол, който е във вашия текущи филтър за улавяне. Щракнете върху бутона Изчистване до лентата с инструменти за филтър за показване, за да премахнете филтъра си и да покажете отново всички пакети.

Метод № 2 – Статистическият бар

Ако не знаете точния израз, който да въведете за вашия филтър, има по-прост метод, който можете да приложите в някои случаи. Следващият пример демонстрира как да създадете филтър за дисплей с помощта на крайна точка. Може да се приложи и към няколко други типа изрази и протоколи. Следвайте тези стъпки, за да създадете филтър за показване на крайна точка.

  1. Кликнете върху „Статистика“ в горната лента на менюто.
  2. Изберете „Крайни точки“.
  3. Придвижете се до крайната точка, по която искате да филтрирате, в изскачащото поле, щракнете с десния бутон и маркирайте „Прилагане като филтър“.
  4. Изберете „Избрано“.

Трябва да видите, че Wireshark автоматично въвежда избрания от вас синтаксис в лентата с инструменти за филтър на дисплея. Платформата също ще показва пакети, подходящи за избраната от вас крайна точка.

Допълнителни ЧЗВ

Каква е разликата между филтър за показване и филтър за улавяне?

Wireshark ви позволява да използвате филтри за показване и филтри за улавяне, за да навигирате във вашите пакети. Тези филтри са лесни за объркане. Те обаче служат за различни цели и изискват различен синтаксис за използване.

Филтър за показване се използва, когато сте уловили всичко необходимо и искате да покажете конкретни пакети за анализ.

Филтрите за заснемане са по-ограничени от филтрите за показване. Те намаляват размера на улавянето на необработен пакет и трябва да бъдат зададени, преди да започнете процеса на улавяне на пакет. Обикновено ще използвате филтри за улавяне, ако искате да приложите команда за връщане или премахване на конкретни типове пакети от улавяне. Филтрите за заснемане не могат да се променят по време на процеса на заснемане.

Филтрите за показване и филтрите за улавяне също се различават по синтаксиса, който използват.

С филтър за показване използвате комбинация от булеви филтри и оператори, за да създадете логическо описание на филтъра, който искате да създадете. Примерите включват „==“ и „!=“, които означават съответно равно и неравно.

Филтрите за улавяне използват по-сложен синтаксис, който съчетава маски, отмествания на байтове и шестнадесетични стойности с булев език за филтриране. Това прави филтрите за улавяне по-малко интуитивни от филтрите за показване, но също така означава, че можете да ги използвате за прилагане на по-сложни филтри.

Приложете вашите филтри

Функционалността на филтъра за показване на Wireshark ви позволява да изпълнявате бързи проверки на пакетите във вашето улавяне. Той е идеален за големи заснемания, когато трябва да пресечете целия шум на екрана, за да можете да анализирате конкретни протоколи или полета. Wireshark предоставя задълбочена информация за различните модификатори на филтри и изрази за филтъра на дисплея чрез своята wiki.

Но сега искаме да чуем от вас. Колко често ви се налага да анализирате конкретни пакети в Wireshark? Смятате ли, че използването на филтъра за показване ще ви помогне да станете по-ефективни, когато използвате платформата? Кажете ни какво мислите за филтъра за дисплей на Wireshark в коментарите по-долу.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Подобни статии

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *