Cum se filtrează după IP în Wireshark

Ce este Wireshark?

Wireshark este un instrument de captare și analiză a pachetelor de rețea. Este un instrument open source. Există alte instrumente de rețea, dar Wireshark este unul dintre cele mai puternice instrumente dintre ele. Wireshark poate fi rulat și în sistemul de operare Windows, Linux, MAC etc.

Cum arată Wireshark?

Iată imaginea versiunii 2.6.3 a Wireshark în Windows10. Wireshark GUI poate fi modificat în funcție de versiunea Wireshark.

Unde să puneți filtrul în Wireshark?

Uită-te la locul marcat în Wireshark unde poți pune filtrul de afișare.

Cum se pune filtru de afișare a adreselor IP în Wireshark?

Există diferite moduri în care puteți utiliza filtrul IP de afișare.

1. Adresa IP sursă:

Să presupunem că sunteți interesat de pachetele de la o anumită adresă IP sursă. Deci, puteți utiliza filtrul de afișare ca mai jos.

Apoi, trebuie să apăsați Enter sau să aplicați pentru a obține efectul filtrului de afișare.

Verificați imaginea de mai jos pentru scenariu

2. Destinatia adresei IP :

Să presupunem că sunteți interesat de pachetele care sunt destinate unei anumite adrese IP. Deci, puteți utiliza filtrul de afișare ca mai jos.

Apoi, trebuie să apăsați Enter sau să aplicați pentru a obține efectul filtrului de afișare.

Verificați imaginea de mai jos pentru scenariu

3. Doar adresa IP:

Să presupunem că sunteți interesat de pachetele care au o anumită adresă IP. Această adresă IP este fie adresa IP sursă, fie destinația. Deci, puteți utiliza filtrul de afișare ca mai jos.

Apoi, trebuie să apăsați Enter sau să aplicați [Pentru unele versiuni mai vechi de Wireshark] pentru a obține efectul filtrului de afișare.

Verificați imaginea de mai jos pentru scenariu

Deci, atunci când puneți filtrul ca ip.addr == 192.168.1.199, atunci Wireshark va afișa fiecare pachet în care sursa ip == 192.168.1.199 sau IP de destinație == 192.168.1.199.

Într-un alt mod, scrieți și filtru ca mai jos

Vedeți mai jos captura de ecran pentru filtrul de afișare de mai sus

Notă:

1. Asigurați-vă că fundalul filtrului de afișare este verde atunci când introduceți orice filtru, altfel filtrul nu este valid.

Aici este captura de ecran a filtrului valid.

Iată captura de ecran pentru filtru nevalid.

2. Puteți efectua mai multe filtrări IP pe baza condițiilor logice [|| , &&]

SAU stare:

ȘI starea:

Cum se pune filtrul de captare a adreselor IP în Wireshark?

Urmați capturile de ecran de mai jos pentru a pune filtrul de captură în Wireshark

Notă:

1. La fel ca filtrul de captare a filtrului de afișare, considerat, de asemenea, valid dacă fundalul este verde.
2. Nu uitați că filtrele de afișare sunt diferite de filtrele de captură în caz de sintaxă.

Urmați acest link pentru filtre de captură valide

https://wiki.wireshark.org/CaptureFilters

Care este relația dintre filtrul Capture și filtrul Display?

Dacă filtrul de captură este setat și atunci Wireshark va captura acele pachete care se potrivesc cu filtrul de captură.

De exemplu:

Filtrul de captare este setat ca mai jos și Wireshark este pornit.

După oprirea Wireshark, putem vedea doar pachete de la sau destinate 192.168.1.199 în întreaga captură. Wireshark nu a capturat niciun alt pachet a cărui sursă sau destinație IP nu este 192.168.1.199. Acum vine să afișeze filtrul. Odată ce capturarea este finalizată, putem pune filtre de afișare pentru a filtra pachetele pe care dorim să le vedem la acea mișcare.

Într-un alt mod putem spune, să presupunem că ni se cere să cumpărăm două tipuri de fructe măr și mango. Deci, aici filtrul de captare este mango și mere. După ce ai luat cu tine mango [diferite tipuri] și mere [verzi, roșii etc], acum vrei să vezi doar mere verzi din toate merele. Deci, aici mărul verde este un filtru de afișare. Acum, dacă vă rog să-mi arătați portocale din fructe, nu puteți arăta deoarece nu ați cumpărat portocale. Dacă ați fi cumpărat toate tipurile de fructe [Înseamnă că nu ați fi pus niciun filtru de captură] mi-ați fi putut arăta portocale