Как да филтрирате по IP в Wireshark

Какво е Wireshark?

Wireshark е инструмент за улавяне и анализ на мрежови пакети. Това е инструмент с отворен код. Има и други инструменти за работа в мрежа, но Wireshark е един от най -силните инструменти сред тях. Wireshark може да се изпълнява и в операционна система Windows, Linux, MAC и т.н.

Как изглежда Wireshark?

Ето снимката на Wireshark версия 2.6.3 в Windows10. GUI на Wireshark може да се променя в зависимост от версията на Wireshark.

Къде да поставите филтър в Wireshark?

Погледнете маркираното място в Wireshark, където можете да поставите филтър на дисплея.

Как да поставите IP адреси Филтър за показване в Wireshark?

Има различни начини, по които можете да използвате IP филтър на дисплея.

1. Източник IP адрес:

Да предположим, че се интересувате от пакети от определен IP адрес на източник. Така че можете да използвате филтър на дисплея, както е показано по -долу.

След това трябва да натиснете Enter или Apply, за да получите ефекта от филтъра на дисплея.

Проверете долната снимка за сценарий

2. Дестинационен IP адрес :

Да предположим, че се интересувате от пакети, предназначени за определен IP адрес. Така че можете да използвате филтър на дисплея, както е показано по -долу.

След това трябва да натиснете Enter или Apply, за да получите ефекта от филтъра на дисплея.

Проверете долната снимка за сценарий

3. Само IP адрес:

Да предположим, че се интересувате от пакети, които имат конкретен IP адрес. Този IP адрес е или източник, или дестинация IP адрес. Така че можете да използвате филтър на дисплея, както е показано по -долу.

След това трябва да натиснете enter или да приложите [За някои по -стари версии на Wireshark], за да получите ефекта от филтъра на дисплея.

Проверете долната снимка за сценарий

Така че, когато поставите филтър като ip.addr == 192.168.1.199, тогава Wireshark ще покаже всеки пакет, където Source ip == 192.168.1.199 или Destination ip == 192.168.1.199.

По друг начин пишете филтър както по -долу

Вижте екранната снимка по -долу за горния филтър на дисплея

Забележка:

1. Уверете се, че фонът на филтъра на дисплея е зелен, когато въведете филтър, в противен случай филтърът е невалиден.

Ето екранна снимка на валиден филтър.

Ето екранна снимка за невалиден филтър.

2. Можете да правите множество IP филтриране въз основа на логически условия [|| , &&]

ИЛИ условие:

И условие:

Как да поставите филтър за улавяне на IP адреси в Wireshark?

Следвайте екранните снимки по -долу, за да поставите филтър за улавяне в Wireshark

Забележка:

1. Подобно на филтъра за заснемане на филтър, също се счита за валиден, ако фонът е зелен.
2. Не забравяйте, че филтрите за показване са различни от филтъра за улавяне в случай на синтаксис.

Следвайте тази връзка за валидни филтри за улавяне

https://wiki.wireshark.org/CaptureFilters

Каква е връзката между филтъра за улавяне и филтъра за дисплей?

Ако е зададен филтър за улавяне и тогава Wireshark ще улови тези пакети, които съвпадат с филтъра за улавяне.

Например:

Филтърът за улавяне е настроен както е показано по -долу и Wireshark е стартиран.

След спирането на Wireshark можем да видим само пакет от или предназначен 192.168.1.199 в цялото улавяне. Wireshark не е уловил друг пакет, чийто източник или дестинация ip не е 192.168.1.199. Сега идва да се покаже филтър. След като улавянето приключи, можем да поставим дисплейни филтри, за да филтрираме пакетите, които искаме да видим при това движение.

По друг начин можем да кажем: Да предположим, че сме помолени да купим два вида плодове ябълка и манго. Тук филтърът за улавяне е манго и ябълки. След като взехте със себе си манго [различни видове] и ябълки [зелени, червени и т.н.], сега искате да видите само зелени ябълки от всички ябълки. Тук зелената ябълка е филтър на дисплея. Сега, ако ви помоля да ми покажете портокал от плодовете, не можете да покажете, тъй като не сте купили портокали. Ако щяхте да купувате всички видове плодове [означава, че не бихте поставили никакъв филтър за улавяне], можехте да ми покажете портокали