ตัวกรอง 10 อันดับแรกของ Wireshark

Wireshark เป็นเครื่องมือวิเคราะห์แพ็คเก็ตเครือข่ายและเป็นซอฟต์แวร์วิเคราะห์แพ็คเก็ตโอเพ่นซอร์สฟรี ใช้สำหรับการแก้ไขปัญหาเครือข่าย การวิเคราะห์ การพัฒนาซอฟต์แวร์และโปรโตคอลการสื่อสาร และบางโครงการ เครื่องวิเคราะห์แพ็คเก็ตเครือข่ายนำเสนอข้อมูลแพ็คเก็ตที่บันทึกไว้ในรายละเอียดมากที่สุดเท่าที่จะเป็นไปได้

คุณอาจนึกถึงเครื่องวิเคราะห์แพ็คเก็ตเครือข่ายเป็นอุปกรณ์ตรวจวัดเพื่อตรวจสอบสิ่งที่เกิดขึ้นภายในสายเคเบิลเครือข่าย

อย่างไรก็ตาม ด้วยการถือกำเนิดของ Wireshark สิ่งนั้นก็เปลี่ยนไป Wireshark ให้บริการฟรีในรูปแบบโอเพ่นซอร์ส และเป็นหนึ่งในเครื่องมือวิเคราะห์แพ็คเก็ตที่ดีที่สุดในโลกปัจจุบัน

คุณสมบัติของ Wireshark

· ใช้งานได้สำหรับ UNIX, LINUX และสำหรับ Windows

· บันทึกข้อมูลแพ็กเก็ตสดจากอินเทอร์เฟซเครือข่าย

· เปิดไฟล์ที่มีข้อมูลแพ็คเก็ตที่บันทึกด้วย tcpdump / WinDump, Wireshark และโปรแกรมจับแพ็คเก็ตอื่น ๆ อีกมากมาย

· นำเข้าแพ็กเก็ตจากไฟล์ข้อความที่มีการดัมพ์ฐานสิบหกของข้อมูลแพ็กเก็ต

· แสดงแพ็กเก็ตพร้อมข้อมูลโปรโตคอลที่มีรายละเอียดมาก

·บันทึกข้อมูลแพ็คเก็ตที่บันทึกไว้

· ส่งออกแพ็กเก็ตบางส่วนหรือทั้งหมดในรูปแบบไฟล์จับภาพจำนวนหนึ่ง

· กรองแพ็กเก็ตตามเกณฑ์ต่างๆ

· ค้นหาแพ็กเก็ตตามเกณฑ์ต่างๆ

·แสดงสีแพ็คเก็ตตามตัวกรอง

· สร้างสถิติต่างๆ และอื่นๆ อีกมากมาย

ตัวกรอง 10 อันดับแรกของ Wireshark

1. ip.addr == 10.0.0.1 [ตั้งค่าตัวกรองสำหรับแพ็กเก็ตใดๆ ที่มี 10.0.0.1 เป็นแหล่งที่มาหรือปลายทาง] คุณยังสามารถเลือกใช้ ip.dst == x.x.x.x เพื่อ กรองตามจุดหมายปลายทางเท่านั้น

หรือ ip.src == x.x.x.x เพื่อกรองตามแหล่งที่มา

2. ip.addr ==10.0.0.1 &&ip.addr==10.0.0.2 [ตั้งค่าตัวกรองการสนทนาระหว่างที่อยู่ IP ที่กำหนดสองแห่ง]

3. TCP.time_delta> .250 [ตั้งค่าตัวกรองเพื่อแสดงแพ็กเก็ต TCP ทั้งหมดที่มีเวลาเดลต้ามากกว่า 250mSec ในบริบทของสตรีม โปรดทราบว่าตัวกรองนี้กำหนดให้ต้องคำนวณการประทับเวลาการสนทนา TCP หากต้องการเรียนรู้การทำเช่นนั้น คลิกที่นี่]

4. TCP.port ==4000 [ตั้งค่าตัวกรองสำหรับแพ็กเก็ต TCP ใด ๆ ที่มี 4000 เป็นพอร์ตต้นทางหรือปลายทาง]

5. tcp.flags == 0x012 [แสดงแพ็กเก็ต TCP SYN/ACK ทั้งหมด — แสดงการเชื่อมต่อที่มีการตอบสนองเชิงบวก ที่เกี่ยวข้องกับสิ่งนี้คือ tcp.flags.syn==1]

6. ip.addr == 10.0.0.0/24 [แสดงแพ็กเก็ตไปและกลับจากที่อยู่ใดๆ ในพื้นที่ 10.0.0.0/24]

7. เฟรมประกอบด้วยการรับส่งข้อมูล [แสดงแพ็กเก็ตทั้งหมดที่มีคำว่า 'การจราจร' ยอดเยี่ยมเมื่อค้นหาสตริงหรือ ID ผู้ใช้เฉพาะ]

8. !(arp หรือ ICMP หรือ stp) [ปิดบัง arp, ICMP, stp หรือโปรโตคอลอื่นใดที่อาจเป็นเสียงรบกวนในพื้นหลัง ช่วยให้คุณมุ่งเน้นไปที่การเข้าชมที่สนใจ]

9. eth[0x47:2] == 01:80 [นี่คือตัวอย่างของตัวกรองออฟเซ็ต มันตั้งค่าตัวกรองสำหรับค่า HEX 0x01 และ 0x80 โดยเฉพาะที่ตำแหน่งออฟเซ็ต 0x47]

10. tcp.analysis.flags&& !tcp.analysis.window_update [แสดงการส่งสัญญาณซ้ำทั้งหมด