вторник, 20 ноября 2012 г.

Фильтры для Wireshark


по IP адресу ip.addr:
ip.addr == 10.0.0.1
или по двум (просмотреть что эти узлы пересылали между собой):
ip.addr==10.0.0.1 && ip.addr==10.0.0.2
по mac адресу, или по определенным его байтам ([начало:длинна], например код производителя)
eth.addr или wlan.addr для трафика беспроводной сети:
eth.addr == 08:00:27:4D:8F:72
eth.addr[0:3]==00:06:5B

по протоколу (здесь по двум, либо один либо другой)^
http or dns
по порту (tcp.port или udp.port):
tcp.port==4000
по специфике работы протокола. Например, по HTTP запросам (GET):
http.request
по содержимому contains, по тексту. Показать все TCP пакеты, что содержат слово ‘traffic’. Удобно для поиска определенного текста или идентификатора:
tcp contains traffic 
http constains password
 по содержимому, по 16-му значению:
udp contains 33:27:58
содержимое по регулярному выражению
протокол matches регулярное_выражение
по протоколам. Отфильтровать лишние ! (например arp, icmp и dns) протоколы, чтобы сконцентрироваться на остальных:
!(arp or icmp or dns)

Ссылки

Youtube: семнинар «Специалист» по Wireshark
wireshark wiki: DisplayFilters

Комментариев нет:

Отправить комментарий