Най-добрите филтри на Wireshark

Wireshark, по-рано Ethereal, е мощна програма с отворен код, която помага на потребителите да наблюдават и анализират информация, пътуваща към и от определена мрежа. Софтуерът може да обработва сложни данни от стотици протоколи в повечето типове мрежи, като ги организира в пакети с данни. Въпреки това, когато мрежата неочаквано се срине или срещне проблеми, търсенето в пакетите може да бъде непосилно, изисквайки много време и енергия. Това е мястото, където лесният за използване характер на Wireshark идва на помощ.

Софтуерът поддържа филтри, които ви позволяват бързо да пресявате големи количества информация. Вместо да проверявате заснетите файлове ръчно, можете да приложите филтър, който ще ви отведе до данните, които искате да проверите.

Прочетете, за да научите за най-добрите филтри на Wireshark и как да ги маркирате за по-късна употреба.

Филтри на Wireshark

В Wireshark има два вида филтри. Първият е филтри за улавяне, а другият е филтри за показване. Двете работят с различен синтаксис и служат за конкретни цели.

Филтрите за улавяне се установяват преди започване на операция за улавяне. Параметрите на филтрите за улавяне записват и съхраняват само трафика, който искате да анализирате. След като започне операцията по улавяне, модифицирането на този тип филтър е невъзможно.

От друга страна, филтрите за показване съдържат параметри, които се прилагат за всички уловени пакети. Можете да зададете този тип филтър, преди да започнете операция за заснемане и по-късно да го коригирате или отмените. Освен това можете да го установите, докато операцията е в ход. Филтърът за показване съхранява данните в буфер за проследяване, скривайки трафика, който не ви интересува, и показва само информацията, която искате да видите.

Wireshark има впечатляваща библиотека от вградени филтри, за да помогне на потребителите да наблюдават по-добре своите мрежи. За достъп и използване на съществуващ филтър, трябва да въведете правилното име в секцията „Прилагане на филтър за показване“ под лентата с инструменти на програмата. Когато искате да намерите и приложите филтър за заснемане, използвайте секцията „Въведете заснемане“ в средата на началния екран.

Въпреки че Wireshark може да се похвали с изчерпателни възможности за филтриране, запомнянето на правилния синтаксис често става трудно. Когато се мъчите да въведете подходящия филтър, губите ценно време.

Но имате късмет. Съставихме списък с най-добрите филтри на Wireshark, за да ви помогнем да използвате програмата по-ефективно и да премахнете догадките при анализирането на купища запазени данни.

Най-добрите филтри на Wireshark

Нека разгледаме няколко полезни филтъра, които ще ви позволят да овладеете програмата.

ip.addr == xxxx

Горният филтър ще покаже само заснети пакети, които включват зададения IP адрес. Това е удобен инструмент за проверка на един вид трафик. Прилагането на филтъра ще обработи изходящия трафик и ще определи кой от тях съответства на източника или IP адреса, който търсите.

Ако искате да филтрирате по дестинация, използвайте варианта ip.dst == xxxx.

Вариантът ip.src == xxxx ви помага да филтрирате по източник.

ip.addr == xxxx && ip.addr == xxxx

Този низ установява филтър за разговор между два предварително зададени IP адреса. Това е безценно за проверка на данни между две избрани мрежи или хостове. Филтърът игнорира ненужните данни и се фокусира само върху намирането на информация, която ви интересува най-много.

За филтриране на дестинация използвайте низа ip.src == xxxx && ip.dst == xxxx.

http или dns

Когато приложите този филтър, той ще покаже всеки dns или http протокол. Това е спестяващ време филтър, който ви позволява да се фокусирате върху конкретен протокол, който искате да разгледате. Например, ако трябва да намерите подозрителен FTP трафик, всичко, което трябва да направите, е да настроите филтъра за „ftp“. За да научите защо дадена уеб страница не се показва, задайте филтъра на „dns“.

tcp.port==xxx

Горният филтър стеснява търсенето ви до конкретен дестинационен порт или източник. Вместо да преминава през целия заснет пакет, филтърът генерира данни относно трафика, влизащ в или от един порт. Това е един от най-удобните филтри, на които можете да разчитате, за да изпълните задачата си, ако сте в недостиг на време.

tcp.flags.reset==1

Прилагането на този филтър ще показва всяко TCP нулиране. Всеки заловен пакет има свързан TCP. Когато стойността му е зададена на единица, той предупреждава получаващия компютър, че трябва да спре да работи по тази връзка. Това е един от най-впечатляващите филтри на Wireshark, тъй като нулирането на TCP незабавно прекратява връзката.

tcp съдържа xxx

Този филтър ще намери всички TCP пакети за улавяне, които включват посочения термин. Ако сте любопитни къде се появява елементът в заснетото изображение, въведете името му вместо „xxx“. Филтърът ще открие всички екземпляри на термина, като ви спестява четенето на пакета. Например, когато замените „xxx“ с „трафик“, ще видите всички пакети, съдържащи „трафик“. Най-добре е да използвате този филтър за сканиране на конкретен потребителски идентификатор или низ.

!(arp или icmp или dns)

Горният филтър е предназначен да изключва конкретни протоколи. Използвайте го, за да премахнете arp, dns или icmp протокол, който не ви трябва. Тя ви позволява да блокирате разсейващи данни, така че да можете да се съсредоточите върху анализирането на по-спешна информация.

tcp.time_delta > .250

Този филтър показва TCP пакети с делта време над 250 mSec в техния поток.

Не забравяйте, че преди да използвате филтъра, ще трябва да изчислите клеймото за време на TCP преобразуване. Въпреки че изчисляването на закъсненията в разговорите не е твърде предизвикателно, то изисква известни познания за Wireshark.

tcp.analysis.flags && !tcp.analysis.window_update

Този филтър ви помага да преглеждате повторни предавания, нулеви прозорци и дублирани атаки в едно проследяване. Това е отличен начин за намиране на слаба производителност на приложения или загуба на пакети.

Съвети за използване на филтри на Wireshark

Неуспехът да запомните правилния синтаксис на филтър е разочароващ и може да ви попречи да намерите бързо ценни данни.

Понякога функцията за автоматично довършване на Wireshark може да ви помогне да разрешите проблема. Например, ако сте сигурни, че филтърът започва с „tcp“, въведете тази информация в съответното поле за търсене. Wireshark ще генерира списък с филтри, започващи с „tcp“. Преминете надолу по резултатите от търсенето, докато намерите правилния псевдоним.

Друг начин за намиране на филтри е опцията „отметка“ до полето за въвеждане. Когато изберете „Управление на филтри за показване“ или „Управление на изрази на филтри“, можете да променяте, добавяте или премахвате филтри. Ако не сте особено уверени в запомнянето на сложни синтактични съкращения, опцията „bookmark“ е безпроблемен инструмент за извличане на често използвани филтри на Wireshark.

Вместо да въвеждате отново сложни филтри за улавяне, следвайте стъпките по-долу, за да ги запазите в менюто „отметки“:

1. Стартирайте Wireshark и отидете до опцията „отметка“.
   
2. Кликнете върху „Управление на филтри за показване“, за да видите диалоговия прозорец.
   
3. Намерете подходящия филтър в диалоговия прозорец, докоснете го и натиснете бутона „+“, за да го запазите.
   

Ето какво трябва да направите, за да запазите филтър за дисплей:

1. Отворете Wireshark и отидете на опцията „отметка“.
   
2. Изберете „Управление на филтри за показване“, за да отворите диалоговия прозорец.
   
3. Сканирайте списъка с опции, докоснете два пъти съответния филтър и щракнете върху бутона „+“, за да го запазите като отметка.
   

Ако бързате да анализирате конкретни данни, може да искате да натиснете стрелката надолу до полето за въвеждане. Действието ще генерира списък с използвани преди това филтри.

Използвайте филтри за безпроблемен анализ на данни

Wireshark се превърна в един от най-популярните анализатори на мрежови протоколи, благодарение на своите удобни филтри. Можете да ги използвате, за да спестите време и бързо да намерите конкретни параметри като IP адреси или HEX стойности. Ако ви е трудно да запомните различните прозвища на вашите често използвани филтри, запазете ги като отметки за по-късна употреба.

Колко често използвате филтри на Wireshark? На кое разчитате повече, филтри за улавяне или показване? Използвали ли сте някога някои от опциите, споменати по-горе? Уведомете ни в секцията за коментари по-долу.