Jak filtrować według adresu IP w Wireshark?

Co to jest Wireshark?

Wireshark to narzędzie do przechwytywania i analizy pakietów sieciowych. Jest to narzędzie typu open source. Istnieją inne narzędzia sieciowe, ale Wireshark jest jednym z najsilniejszych wśród nich. Wireshark można również uruchomić w systemie operacyjnym Windows, Linux, MAC itp.

Jak wygląda Wireshark?

Oto zdjęcie Wireshark w wersji 2.6.3 w Windows10. GUI Wireshark można zmienić w zależności od wersji Wireshark.

Gdzie umieścić filtr w Wireshark?

Spójrz na zaznaczone miejsce w Wireshark, gdzie możesz umieścić filtr wyświetlania.

Jak umieścić adresy IP Filtr wyświetlania w Wireshark?

Istnieją różne sposoby użycia filtra wyświetlania IP.

1. Źródłowy adres IP:

Załóżmy, że interesują Cię pakiety z określonego źródłowego adresu IP. Możesz więc użyć filtru wyświetlania, jak poniżej.

Następnie musisz nacisnąć enter lub zastosować, aby uzyskać efekt filtra wyświetlania.

Sprawdź poniższe zdjęcie dla scenariusza

2. Docelowy adres IP :

Załóżmy, że interesują Cię pakiety skierowane do konkretnego adresu IP. Możesz więc użyć filtru wyświetlania, jak poniżej.

Następnie musisz nacisnąć enter lub zastosować, aby uzyskać efekt filtra wyświetlania.

Sprawdź poniższe zdjęcie dla scenariusza

3. Tylko adres IP:

Załóżmy, że interesują Cię pakiety, które mają określony adres IP. Ten adres IP to źródłowy lub docelowy adres IP. Możesz więc użyć filtru wyświetlania, jak poniżej.

Następnie musisz nacisnąć enter lub zastosować [Dla niektórych starszych wersji Wireshark], aby uzyskać efekt filtra wyświetlania.

Sprawdź poniższe zdjęcie dla scenariusza

Więc jeśli ustawisz filtr jako ip.addr == 192.168.1.199, Wireshark wyświetli każdy pakiet, gdzie Source ip == 192.168.1.199 lub Destination ip == 192.168.1.199.

W inny sposób również piszesz filtr jak poniżej

Zobacz poniższy zrzut ekranu dla powyższego filtra wyświetlania

Notatka:

1. Upewnij się, że tło filtra wyświetlania jest zielone, gdy wprowadzasz dowolny filtr, w przeciwnym razie filtr jest nieprawidłowy.

Oto zrzut ekranu z prawidłowym filtrem.

Oto zrzut ekranu z nieprawidłowym filtrem.

2. Możesz wykonać filtrowanie wielu adresów IP na podstawie warunków logicznych [ || , && ]

LUB warunek:

ORAZ warunek:

Jak umieścić filtr przechwytywania adresów IP w Wireshark?

Wykonaj poniższe zrzuty ekranu, aby umieścić filtr przechwytywania w Wireshark

Notatka:

1. Podobnie jak filtr przechwytujący filtr wyświetlania jest również uważany za ważny, jeśli tło jest zielone.
2. Pamiętaj, że filtry wyświetlania różnią się od filtrów przechwytywania w przypadku składni.

Kliknij ten link, aby uzyskać prawidłowe filtry przechwytywania

https://wiki.wireshark.org/CaptureFilters

Jaki jest związek między filtrem przechwytywania a filtrem wyświetlania?

Jeśli ustawiony jest filtr przechwytywania, Wireshark przechwyci te pakiety, które pasują do filtra przechwytywania.

Na przykład:

Filtr przechwytywania jest ustawiony jak poniżej i Wireshark jest uruchamiany.

Po zatrzymaniu Wireshark widzimy tylko pakiet z lub przeznaczony do 192.168.1.199 w całym przechwyceniu. Wireshark nie przechwycił żadnego innego pakietu o adresie źródłowym lub docelowym innym niż 192.168.1.199. Teraz nadchodzi filtr wyświetlania. Po zakończeniu przechwytywania możemy umieścić filtry wyświetlania, aby odfiltrować pakiety, które chcemy zobaczyć podczas tego ruchu.

W inny sposób możemy powiedzieć: Załóżmy, że poproszono nas o zakup dwóch rodzajów owoców: jabłka i mango. Więc tutaj filtrem przechwytywania są mango i jabłka. Po tym, jak masz ze sobą mango [różne rodzaje] i jabłka [zielone, czerwone itp.], teraz chcesz zobaczyć tylko zielone jabłka ze wszystkich jabłek. Więc tutaj zielone jabłko to filtr wyświetlania. Teraz, jeśli cię poproszę, pokaż mi pomarańczę z owoców, nie możesz tego pokazać, ponieważ nie kupiłeś pomarańczy. Gdybyś kupił wszystkie rodzaje owoców [Oznacza, że ​​nie umieściłbyś żadnego filtra wychwytującego], mógłbyś pokazać mi pomarańcze