Úvod
Filtrování vám umožňuje zaměřit se na přesné soubory dat, které vás zajímají. Jak jste viděli, Wireshark shromažďuje vše ve výchozím stavu. To může překážet konkrétním údajům, které hledáte. Wireshark poskytuje dva výkonné nástroje pro filtrování, díky nimž je cílení přesně na data, která potřebujete, jednoduché a bezbolestné.
Existují dva způsoby, jak může Wireshark filtrovat pakety. Může filtrovat a shromažďovat pouze určité pakety nebo výsledky paketů lze filtrovat po jejich shromáždění. Samozřejmě je lze použít ve vzájemném spojení a jejich užitečnost závisí na tom, která a kolik dat se shromažďuje.
Booleovské výrazy a porovnávací operátory
Wireshark má spoustu vestavěných filtrů, které fungují skvěle. Začněte psát do kteréhokoli z polí filtru a uvidíte, že se automaticky dokončují. Většina odpovídá běžnějším rozdílům, které by uživatel mezi pakety dělal. Dobrým příkladem by bylo filtrování pouze požadavků HTTP.
Pro všechno ostatní používá Wireshark booleovské výrazy a/nebo operátory porovnání. Pokud jste někdy dělali jakýkoli druh programování, měli byste být obeznámeni s booleovskými výrazy. Jsou to výrazy, které používají „a“, „nebo“ a „ne“ k ověření pravdivosti tvrzení nebo výrazu. Porovnávací operátory jsou mnohem jednodušší. Pouze určí, zda jsou dvě nebo více věcí stejné, větší nebo menší než jedna druhé.
Filtrování záznamu
Než se ponoříte do vlastních filtrů pro zachycení, podívejte se na ty, které má Wireshark vestavěné. Klikněte na kartu „Capture“ v horní nabídce a přejděte na „Options“. Pod dostupnými rozhraními je řádek, kam můžete zapisovat filtry zachycení. Přímo nalevo je tlačítko označené „Capture Filter“. Klikněte na něj a zobrazí se nové dialogové okno se seznamem předem vytvořených filtrů zachycení. Rozhlédněte se a zjistěte, co tam je.
Ve spodní části tohoto pole je malý formulář pro vytváření a ukládání filtrů pro zachycení. Stiskněte tlačítko „Nový“ vlevo. Vytvoří nový filtr zachycení naplněný daty výplně. Chcete-li uložit nový filtr, stačí nahradit výplň skutečným názvem a výrazem, který chcete, a kliknout na „OK“. Filtr bude uložen a použit. Pomocí tohoto nástroje můžete napsat a uložit několik různých filtrů a mít je připravené k opětovnému použití v budoucnu.
Capture má vlastní syntaxi pro filtrování. Pro srovnání vynechává a rovná se symbol a používá > a pro větší a menší než. Pro Booleany se spoléhá na slova „a“, „nebo“ a „ne.“
Pokud jste například chtěli pouze poslouchat provoz na portu 80, můžete použít výrazy jako tento:port 80 . Pokud byste chtěli poslouchat pouze na portu 80 z konkrétní IP, přidali byste to. port 80 and host 192.168.1.20
Jak vidíte, filtry pro zachycení mají specifická klíčová slova. Tato klíčová slova se používají k tomu, aby Wireshark řekli, jak monitorovat pakety a na které se má dívat. Například host se používá ke sledování veškerého provozu z IP. src se používá ke sledování provozu pocházejícího z této IP. dst na rozdíl od toho sleduje pouze příchozí provoz na IP. Chcete-li sledovat provoz na sadě IP adres nebo v síti, použijte net .
Filtrování výsledků
Spodní panel nabídek na vašem rozvržení je vyhrazený pro filtrování výsledků. Tento filtr nemění data, která Wireshark shromáždil, pouze vám umožňuje snáze je třídit. K dispozici je textové pole pro zadání nového výrazu filtru s rozbalovací šipkou pro kontrolu dříve zadaných filtrů. Vedle toho je tlačítko označené „Výraz“ a několik dalších pro vymazání a uložení aktuálního výrazu.
Klikněte na tlačítko „Výraz“. Uvidíte malé okno s několika boxy s možnostmi. Vlevo je největší pole s obrovským seznamem položek, každý s dalšími sbalenými podseznamy. Toto jsou všechny různé protokoly, pole a informace, podle kterých můžete filtrovat. Neexistuje způsob, jak to všechno projít, takže nejlepší, co můžete udělat, je rozhlédnout se kolem sebe. Měli byste si všimnout některých známých možností, jako je HTTP, SSL a TCP.
Dílčí seznamy obsahují různé části a metody, podle kterých můžete filtrovat. Zde byste našli metody pro filtrování požadavků HTTP pomocí GET a POST.
V prostředních polích můžete také vidět seznam operátorů. Výběrem položek z každého sloupce můžete toto okno použít k vytvoření filtrů, aniž byste si museli pamatovat každou položku, podle které může Wireshark filtrovat.
Pro filtrování výsledků používají operátory porovnání specifickou sadu symbolů. == určuje, zda jsou dvě věci stejné. > určuje, zda je jedna věc větší než druhá, < zjistí, zda je něco méně. >= a <= jsou větší než nebo rovno a menší než nebo rovno. Lze je použít k určení, zda pakety obsahují správné hodnoty, nebo k filtrování podle velikosti. Příklad použití == pro filtrování pouze požadavků HTTP GET takto:http.request.method == "GET" .
Booleovské operátory mohou zřetězit menší výrazy dohromady a vyhodnotit je na základě více podmínek. Místo slov jako u zachycení k tomu používají tři základní symboly. && znamená "a." Při použití oba příkazy na obou stranách && musí být true, aby Wireshark tyto balíčky filtroval. || znamená "nebo." Pomocí || pokud je kterýkoli výraz pravdivý, bude filtrován. Pokud byste hledali všechny požadavky GET a POST, můžete použít || takto:(http.request.method == "GET") || (http.request.method == "POST") . ! je operátor „ne“. Bude hledat vše kromě toho, co je specifikováno. Například !http vám poskytne vše kromě požadavků HTTP.
Úvahy na závěr
Filtrování Wireshark skutečně umožňuje efektivně sledovat provoz v síti. Chvíli trvá, než se seznámíte s dostupnými možnostmi a zvyknete si na výkonné výrazy, které můžete vytvořit pomocí filtrů. Jakmile to však uděláte, budete schopni rychle shromáždit a najít přesně ta síťová data, která hledáte, aniž byste se museli prohrabávat dlouhými seznamy paketů nebo dělat spoustu práce.