Hvordan filtrere med IP i Wireshark
Hva er Wireshark?
Wireshark er en nettverkspakkefangst og analyse av verktøyet. Det er et open source -verktøy. Det er andre nettverksverktøy, men Wireshark er et av de sterkeste verktøyene blant dem. Wireshark kan også kjøres i Windows, Linux, Mac osv. Operativsystem.
Hvordan Wireshark ser ut?
Her er bildet av Wireshark versjon 2.6.3 I Windows10. Wireshark GUI kan endres avhengig av Wireshark -versjon.
Hvor du skal sette filter i wireshark?
Se på det markerte stedet i Wireshark hvor du kan sette skjermfilter.
Hvordan sette IP -adresser skjermfilter i Wireshark?
Det er forskjellige måter du kan bruke Display IP -filter.
- Kilde IP -adresse:
Anta at du er interessert i pakker fra en bestemt IP -adresse. Så du kan bruke skjermfilter som nedenfor.
IP.src == x.X.X.X => ip.SRC == 192.168.1.199
Da må du trykke Enter eller bruke for å få effekten av skjermfilteret.
Sjekk bildet nedenfor for scenario
- Destinasjons -IP -adresse :
Anta at du er interessert i pakker som er skjebne til en bestemt IP -adresse. Så du kan bruke skjermfilter som nedenfor.
IP.dst == x.X.X.X => ip.DST == 192.168.1.199
Da må du trykke Enter eller bruke for å få effekten av skjermfilteret.
Sjekk bildet nedenfor for scenario
- Bare IP -adresse:
Anta at du er interessert i pakker som har spesiell IP -adresse. Den IP -adressen er enten kilde eller destinasjons -IP -adresse. Så du kan bruke skjermfilter som nedenfor.
IP.addr == x.X.X.X => ip.ADR == 192.168.1.199
Da må du trykke Enter eller søke [for en eldre Wireshark -versjon] for å få effekten av skjermfilteret.
Sjekk bildet nedenfor for scenario
Så når du legger filter som “IP.addr == 192.168.1.199 ”da vil Wireshark vise hver pakke der kilde IP == 192.168.1.199 eller destinasjon IP == 192.168.1.199.
På en annen måte skriver du filter som nedenfor også
IP.SRC == 192.168.1.199 || IP.DST == 192.168.1.199
Se nedenfor skjermbilde for skjermfilter ovenfor
Merk:
- Forsikre deg om at skjermfilterbakgrunnen er grønn når du skriver inn et hvilket som helst filter, ellers er filteret ugyldig.
Her er skjermbilde med gyldig filter.
Her er skjermbildet for ugyldig filter.
- Du kan gjøre flere IP -filtrering basert på logiske forhold [|| , &&]
Eller tilstand:
(IP.SRC == 192.168.1.199) || (IP.DST == 192.168.1.199)
Og tilstand:
(IP.SRC == 192.168.1.199) && (ip.DST == 192.168.1.1)
Hvordan sette IP -adresser Capture Filter i Wireshark?
Følg skjermbilder nedenfor for å sette fangstfilter i Wireshark
Merk:
- Som skjermfilterfangstfilter også ansett som gyldig hvis bakgrunn er grønn.
- Husk at skjermfiltre er forskjellige fra fangstfilter i tilfelle syntaks.
Følg denne lenken for gyldige fangstfilter
https: // wiki.Wireshark.org/capturefilters
Hva er sammenheng mellom fangstfilter og skjermfilter?
Hvis fangstfilteret er satt og deretter vil Wireshark fange opp pakkene som samsvarer med Capture Filter.
For eksempel:
Capture Filter er satt som nedenfor og Wireshark startes.
Vert 192.168.1.199
Etter at Wireshark er stoppet, kan vi bare se pakke fra eller skjebne 192.168.1.199 i hele fangst. Wireshark fanget ingen annen pakke hvis kilde eller destinasjons -IP ikke er 192.168.1.199. Kommer nå for å vise filter. Når fangsten er fullført, kan vi legge skjermfiltre for å filtrere ut pakkene vi ønsker å se på den bevegelsen.
På en annen måte kan vi si, anta at vi blir bedt om å kjøpe to typer frukt eple og mango. Så her er fangstfilter mango og epler. Etter at du fikk mango [forskjellige typer] og epler [grønn, rød osv.] Med deg, vil du nå se bare grønne epler fra alle epler. Så her er grønt eple skjermfilter. Nå hvis jeg ber deg vise meg oransje fra fruktene, kan du ikke vise at du ikke kjøpte appelsiner. Hvis du ville ha kjøpt alle typer frukt [betyr at du ikke ville ha lagt noe fangstfilter], kunne du ha vist meg appelsiner