Как использовать фильтр отображения в Wireshark

Язык фильтра отображения Wireshark позволяет вам контролировать пакеты, которые платформа отображает в данный момент. Обычно вы будете использовать фильтры отображения, чтобы проверить наличие протокола или поля. Однако вы также можете использовать их для сравнения пакетов с помощью логических операторов, таких как «и» и «или».

Фильтр отображения Wireshark легко спутать с фильтром захвата. В этой статье объясняется, как использовать фильтр отображения платформы на ПК и Mac. Также рассматривается разница между фильтрами отображения и фильтрами захвата внутри Wireshark.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Как использовать фильтр отображения в Wireshark на ПК с Windows

Использовать фильтр отображения Wireshark на ПК довольно просто. Платформа предоставляет поле в верхней части экрана, которое позволяет быстро объяснить, какие пакеты вы хотите отобразить. Обычно вы показываете пакеты на основе следующего.

  • Протокол
  • Значения полей
  • Наличие поля
  • Сравнение полей

Однако функциональность поля отображения допускает более сложное использование.

Существует два метода использования фильтра отображения в Wireshark на ПК с Windows.

Метод № 1 – Прямой ввод фильтра

Предполагая, что вы просто хотите отобразить протокол, выполните следующие действия.

  1. Найдите и щелкните панель инструментов фильтра отображения в Вайршарк.
  2. Введите имя протокола на панели инструментов. Например, введите «tcp», если вы хотите отобразить все ваши TCP-пакеты.
  3. Нажмите «Ввод», чтобы применить выбранный фильтр. Альтернативно вы можете нажать «Применить» после ввода выражения фильтра.

Теперь вы должны увидеть, что Wireshark отображает пакеты на основе выбранного вами фильтра. Все эти пакеты остаются внутри соответствующего файла захвата. Фильтр отображения не изменяет содержимое файла захвата. Он отображает пакеты, соответствующие примененному вами фильтру.

Если вы хотите удалить примененный фильтр, нажмите кнопку «Очистить». Он расположен справа от панели инструментов фильтра отображения.

Способ № 2 – Панель статистики

Этот метод представляет собой способ применения фильтра, который не требует ввода текста непосредственно на панели инструментов фильтра отображения.

  1. Найдите «Статистика» в верхнем меню и нажмите на нее.
  2. Выберите один из вариантов в раскрывающемся списке. Для этого пошагового руководства выберите «Конечные точки».
  3. Должно появиться всплывающее окно с отчетом о конечных точках, показывающим MAC-адреса. Щелкните правой кнопкой мыши один из адресов и выберите «Применить как фильтр».
  4. Нажмите «Выбрано».

Синтаксис по вашему выбору автоматически вводится на панель инструментов фильтра отображения.

Как использовать фильтр отображения в Wireshark на Mac

Wireshark на Mac позволяет использовать фильтр отображения для отображения пакетов на основе массива параметров и выражений, включая протоколы, сравнения полей, значения полей и многое другое. Есть два способа использовать фильтр дисплея на Mac.

Способ № 1 — Панель инструментов «Фильтр отображения»

Следующие шаги позволяют отобразить простой протокол. Для создания более сложных фильтров можно использовать различные операторы, при условии, что вы хорошо разбираетесь в Wireshark. Выполните следующие действия, чтобы получить простой фильтр отображения протокола.

  1. Нажмите панель инструментов фильтра отображения в верхней части экрана. Это текстовое поле рядом со словом «Фильтр».
  2. Введите имя протокола и нажмите кнопку «Применить».

Wireshark отображает каждый пакет, относящийся к введенному протоколу, который находится внутри вашего текущего фильтра захвата. Нажмите кнопку «Очистить» рядом с панелью инструментов фильтра отображения, чтобы удалить фильтр и снова отобразить все пакеты.

Способ № 2 – Панель статистики

Если вы не знаете точное выражение, которое нужно ввести для вашего фильтра, в некоторых случаях можно применить более простой метод. В следующем примере показано, как создать фильтр отображения с использованием конечной точки. Его также можно применить к некоторым другим типам выражений и протоколов. Выполните следующие действия, чтобы создать фильтр отображения конечной точки.

  1. Нажмите «Статистика» в верхней строке меню.
  2. Выберите «Конечные точки».
  3. Во всплывающем окне перейдите к конечной точке, по которой вы хотите фильтровать, щелкните правой кнопкой мыши и выберите «Применить как фильтр».
  4. Выберите «Выбрано».

Вы должны увидеть, что Wireshark автоматически вводит выбранный вами синтаксис на панели инструментов фильтра отображения. Платформа также будет отображать пакеты, относящиеся к выбранной вами конечной точке.

Дополнительные часто задаваемые вопросы

В чем разница между фильтром отображения и фильтром захвата?

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Wireshark позволяет вам использовать фильтры отображения и фильтры захвата для навигации по вашим пакетам. Эти фильтры легко перепутать. Однако они служат разным целям и требуют использования разного синтаксиса.

Фильтр отображения используется, когда вы собрали все, что вам нужно, и хотите отобразить определенные пакеты для анализа.

Фильтры захвата более ограничены, чем фильтры отображения. Они уменьшают размер захвата необработанных пакетов и должны быть установлены до начала процесса захвата пакетов. Обычно вы используете фильтры перехвата, если хотите применить команду для возврата или удаления определенных типов пакетов из перехвата. Фильтры захвата нельзя изменить в процессе захвата.

Фильтры отображения и фильтры захвата также различаются по используемому синтаксису.

При использовании фильтра отображения вы используете комбинацию логических фильтров и операторов для создания логического описания фильтра, который вы хотите создать. Примеры включают «==» и «!=», которые означают «равно» и «не равно» соответственно.

Фильтры захвата используют более сложный синтаксис, который сочетает в себе маски, смещения байтов и шестнадцатеричные значения с логическим языком фильтрации. Это делает фильтры захвата менее интуитивно понятными, чем фильтры отображения, но также означает, что вы можете использовать их для применения более сложных фильтров.

Примените свои фильтры

Функциональность фильтра отображения Wireshark позволяет выполнять быструю проверку перехваченных пакетов. Он идеально подходит для больших снимков, когда вам нужно избавиться от всего шума на экране, чтобы можно было проанализировать определенные протоколы или поля. Wireshark предоставляет подробную информацию о различных модификаторах фильтров и выражениях для фильтра отображения через свою вики.

Но сейчас мы хотим услышать ваше мнение. Как часто вам приходится анализировать определенные пакеты в Wireshark? Считаете ли вы, что использование фильтра отображения поможет вам повысить эффективность использования платформы? Расскажите нам, что вы думаете о фильтре отображения Wireshark в комментариях ниже.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *