Wireshark là gì?
Wireshark là một công cụ thu thập và phân tích gói tin mạng. Nó là một công cụ mã nguồn mở. Có những công cụ mạng khác nhưng Wireshark là một trong những công cụ mạnh nhất trong số đó. Wireshark cũng có thể chạy trong hệ điều hành Windows, Linux, MAC, v.v.
Wireshark trông như thế nào?
Đây là hình ảnh của Wireshark phiên bản 2.6.3 trong Windows10. Wireshark GUI có thể được thay đổi tùy thuộc vào phiên bản Wireshark.
Đặt bộ lọc trong Wireshark ở đâu?
Nhìn vào vị trí được đánh dấu trong Wireshark nơi bạn có thể đặt bộ lọc hiển thị.
Làm thế nào để đặt địa chỉ IP Bộ lọc hiển thị trong Wireshark?
Có nhiều cách khác nhau để bạn có thể sử dụng bộ lọc IP hiển thị.
- Nguồn Địa chỉ IP:
Giả sử bạn quan tâm đến các gói từ một địa chỉ IP nguồn cụ thể. Vì vậy, bạn có thể sử dụng bộ lọc hiển thị như bên dưới.
ip.src == X.X.X.X =>ip.src == 192.168.1.199Sau đó, bạn cần nhấn enter hoặc áp dụng để có được hiệu ứng của bộ lọc hiển thị.
Kiểm tra hình ảnh dưới đây để biết tình huống
- Địa chỉ IP đích :
Giả sử bạn quan tâm đến các gói đang chuyển đến một địa chỉ IP cụ thể. Vì vậy, bạn có thể sử dụng bộ lọc hiển thị như bên dưới.
ip.dst == X.X.X.X =>ip.dst == 192.168.1.199Sau đó, bạn cần nhấn enter hoặc áp dụng để có được hiệu ứng của bộ lọc hiển thị.
Kiểm tra hình ảnh dưới đây để biết tình huống
- Chỉ địa chỉ IP:
Giả sử bạn quan tâm đến các gói có địa chỉ IP cụ thể. Địa chỉ IP đó là địa chỉ IP Nguồn hoặc Đích. Vì vậy, bạn có thể sử dụng bộ lọc hiển thị như bên dưới.
ip.addr == X.X.X.X =>ip.adr == 192.168.1.199Sau đó, bạn cần nhấn enter hoặc áp dụng [Đối với một số phiên bản Wireshark cũ hơn] để có được hiệu ứng của bộ lọc hiển thị.
Kiểm tra hình ảnh dưới đây để biết tình huống
Vì vậy, khi bạn đặt bộ lọc là ip.addr == 192.168.1.199 thì Wireshark sẽ hiển thị mọi gói trong đó Nguồn ip == 192.168.1.199 hoặc ip đích == 192.168.1.199.
Theo cách khác, bạn cũng viết bộ lọc như bên dưới
ip.src == 192.168.1.199||ip.dst == 192.168.1.199Xem ảnh chụp màn hình bên dưới để biết bộ lọc hiển thị trên
Ghi chú:
- Đảm bảo nền bộ lọc hiển thị có màu xanh lục khi bạn nhập bất kỳ bộ lọc nào nếu không bộ lọc không hợp lệ.
Đây là ảnh chụp màn hình của bộ lọc hợp lệ.
Đây là ảnh chụp màn hình cho bộ lọc không hợp lệ.
- Bạn có thể thực hiện lọc nhiều IP dựa trên các điều kiện logic [|| &&]
HOẶC điều kiện:
(ip.src == 192.168.1.199) || (ip.dst == 192.168.1.199)Điều kiện AND:
(ip.src == 192.168.1.199) && (ip.dst == 192.168.1.1)Làm thế nào để đặt bộ lọc chụp địa chỉ IP trong Wireshark?
Làm theo ảnh chụp màn hình dưới đây để đặt bộ lọc chụp trong Wireshark
Ghi chú:
- Giống như bộ lọc hiển thị bộ lọc chụp cũng được coi là hợp lệ nếu nền là màu xanh lá cây.
- Hãy nhớ rằng bộ lọc hiển thị khác với bộ lọc chụp trong trường hợp cú pháp.
Theo liên kết này để biết các bộ lọc chụp hợp lệ
https://wiki.wireshark.org/CaptureFilters
Mối quan hệ giữa bộ lọc Chụp và bộ lọc Hiển thị là gì?
Nếu bộ lọc chụp được đặt và sau đó Wireshark sẽ chụp những gói phù hợp với bộ lọc chụp.
Ví dụ:
Bộ lọc chụp được đặt như bên dưới và Wireshark được khởi động.
máy chủ 192.168.1.199Sau khi Wireshark bị dừng, chúng tôi chỉ có thể thấy gói từ hoặc số mệnh 192.168.1.199 trong toàn bộ quá trình chụp. Wireshark đã không nắm bắt bất kỳ gói nào khác có ip nguồn hoặc đích không phải là 192.168.1.199. Bây giờ đến để hiển thị bộ lọc. Sau khi chụp xong, chúng ta có thể đặt các bộ lọc hiển thị để lọc ra các gói chúng ta muốn thấy ở chuyển động đó.
Theo cách khác, chúng ta có thể nói, Giả sử chúng ta được yêu cầu mua hai loại trái cây là táo và xoài. Vì vậy, bộ lọc chụp ở đây là xoài và táo. Sau khi bạn có xoài [các loại khác nhau] và táo [xanh, đỏ, v.v.], bây giờ bạn chỉ muốn xem táo xanh từ tất cả các quả táo. Vì vậy, ở đây táo xanh là bộ lọc hiển thị. Bây giờ nếu tôi yêu cầu bạn cho tôi xem quả cam từ các loại trái cây, bạn không thể chỉ ra vì bạn đã không mua cam. Nếu bạn đã mua tất cả các loại trái cây [Có nghĩa là bạn sẽ không đặt bất kỳ bộ lọc chụp ảnh nào], bạn có thể cho tôi xem cam