Wireshark Cheat Sheet – Команди, заснемания, филтри и преки пътища
Цялата информация, предоставена в измамния лист, също е видима по-надолу тази страница във формат, който е лесен за копиране и поставяне.
Мамятният лист обхваща:
- Режими на заснемане на Wireshark
- Видове филтри
- Синтаксис на филтъра за улавяне
- Синтаксис на филтъра за показване
- Протоколи – Ценности
- Филтриране на пакети (филтри за показване)
- Логически оператори
- Колони по подразбиране в изход за улавяне на пакет
- Разни артикули
- Комбинация от клавиши
- Общи команди за филтриране
- Основни елементи на лентата с инструменти
Вижте или изтеглете JPG изображението Cheat Sheet
Щракнете с десния бутон върху изображението по-долу, за да запазите JPG файла (2500 ширина x 2096 височина в пиксели), или щракнете тук, за да го отворите в нов раздел на браузъра . След като изображението се отвори в нов прозорец, може да се наложи да щракнете върху изображението, за да увеличите мащаба и да видите jpeg в пълен размер.
Прегледайте или изтеглете JPG изображението на измамника
Кликнете върху връзката, за да изтеглите Cheat Sheet PDF . Ако се отвори в нов раздел на браузъра, просто щракнете с десния бутон върху PDF файла и отидете до избора за изтегляне.
Какво е включено в измамника на Wireshark?
Следните категории и елементи са включени в мамящия лист:
Режими на заснемане на Wireshark
Безразборен режим | Настройва интерфейса да улавя всички пакети в мрежовия сегмент, към който е свързан | |||||||||||
Режим на монитор | настройте безжичния интерфейс за улавяне на целия трафик, който може да получи (само за Unix/Linux) |
Видове филтри
Филтър за улавяне | Филтриране на пакети по време на улавяне | ||||
Филтър за показване | Скриване на пакети от екран за заснемане |
Синтаксис на филтъра за улавяне
Синтаксис | протокол | посока | домакини | стойност | Логически оператор | Изрази | |||||||||||||
Пример | tcp | src | 192.168.1.1 | 80 | и | tcp dst 202.164.30.1 |
Синтаксис на филтъра за показване
Синтаксис | протокол | Низ 1 | Низ 2 | Оператор за сравнение | стойност | логически оператор | Изрази | ||||||||||||
Пример | http | започнете | ip | == | 192.168.1.1 | и | tcp порт |
Протоколи – Ценности
ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp и udp |
Филтриране на пакети (филтри за показване)
Оператор | Описание | Пример | |||||
eq или == | Равен | ip.dest == 192.168.1.1 | |||||
не или != | Не е равно | ip.dest != 192.168.1.1 | |||||
gt или > | По-велик от | frame.len > 10 | |||||
или< | По-малко от | рамка.len<10 | |||||
ge или >= | По-голямо от или равно | frame.len >= 10 | |||||
ле или<= | По-малко или равно | рамка.len<=10 |
Разни артикули
Оператор на срез | […] - Диапазон от стойности | ||||||
Оператор за членство | {} - Влизане | ||||||
CTRL+E - | Стартиране/спиране на заснемането |
Логически оператори
Оператор | Описание | Пример | ||||||||
и или && | Логично И | Всички условия трябва да отговарят | ||||||||
или или || | Логическо ИЛИ | Всички или едно от условията трябва да отговарят | ||||||||
xor или ^^ | Логически XOR | изключително редуване – Само едно от двете условия трябва да отговаря, а не и двете | ||||||||
не или! | НЕ (отрицание) | Не е равно на | ||||||||
[н] […] | Поднизов оператор | Филтрирайте конкретна дума или текст |
Колони по подразбиране в изход за улавяне на пакет
не | Номер на кадър от началото на улавянето на пакета | ||||||
време | Секунди от първия кадър | ||||||
Източник (src) | Адрес на източника, обикновено IPv4, IPv6 или Ethernet адрес | ||||||
Дестинация (dst) | Адрес на дестинацията | ||||||
протокол | Протокол, използван в Ethernet рамка, IP пакет или TCP сегмент | ||||||
Дължина | Дължина на рамката в байтове |
Комбинация от клавиши
Ускорител | Описание | Ускорител | Описание | ||||||||||||||||
Tab или Shift+Tab | Придвижване между елементи на екрана, напр. от лентите с инструменти до списъка с пакети до подробностите за пакета. | Всичко+→или Option+→ | Преминете към следващия пакет в хронологията на селекцията. | ||||||||||||||||
↓ | Преминете към следващия пакет или детайлен елемент. | → | В подробностите за пакета отваря избрания дървовиден елемент. | ||||||||||||||||
↑ | Преминете към предишния пакет или детайлен елемент. | Shift+→ | В подробностите за пакета отваря избрания дървовиден елемент и всички негови поддървета. | ||||||||||||||||
Ctrl+↓или F8 | Преминете към следващия пакет, дори ако списъкът с пакети не е фокусиран. | Ctrl+→ | В подробностите за пакета отваря всички дървовидни елементи. | ||||||||||||||||
Ctrl+↑или F7 | Преминете към предишния пакет, дори ако списъкът с пакети не е фокусиран. | Ctrl+← | В подробностите за пакета затваря всички дървовидни елементи. | ||||||||||||||||
Ctrl+. | Преминете към следващия пакет от разговора (TCP, UDP или IP). | Backspace | В подробностите за пакета прескача към родителския възел. | ||||||||||||||||
Ctrl+, | Преминете към предишния пакет от разговора (TCP, UDP или IP). | Връщане или Въвеждане | В подробностите за пакета превключва избрания дървовиден елемент. |
Общи команди за филтриране
Wireshark Филтриране по IP | ip.addr == 10.10.50.1 |
Филтриране по IP на местоназначение | ip.dest == 10.10.50.1 |
Филтриране по IP източник | ip.src == 10.10.50.1 |
Филтриране по IP диапазон | ip.addr >= 10.10.50.1 и ip.addr<= 10.10.50.100 |
Филтриране по множество Ips | ip.addr == 10.10.50.1 и ip.addr == 10.10.50.100 |
Филтриране/изключване на IP адрес | !(ip.addr == 10.10.50.1) |
Филтриране на IP подмрежа | ip.addr == 10.10.50.1/24 |
Филтрирайте по множество посочени IP подмрежи | ip.addr == 10.10.50.1/24 и ip.addr == 10.10.51.1/24 |
Филтриране по протокол |
|
Филтриране по порт (TCP) | tcp.port == 25 |
Филтриране по целеви порт (TCP) | tcp.dstport == 23 |
Филтрирайте по ip адрес и порт | ip.addr == 10.10.50.1 и Tcp.port == 25 |
Филтриране по URL | http.host == „име на хост“ |
Филтриране по времево клеймо | frame.time >= „02 юни 2019 г. 18:04:00“ |
Филтър SYN флаг | tcp.flags.syn == 1 tcp.flags.syn == 1 и tcp.flags.ack == 0 |
Wireshark Beacon филтър | wlan.fc.type_subtype = 0x08 |
Филтър за излъчване на Wireshark | eth.dst == ff:ff:ff:ff:ff:ff |
Филтър WiresharkMulticast | (eth.dst[0] & 1) |
Филтър за име на хост | ip.host = име на хост |
Филтър за MAC адреси | eth.addr == 00:70:f4:23:18:c4 |
RST флаг филтър | tcp.flags.reset == 1 |
Основни елементи на лентата с инструменти
Още уроци за Wireshark:
- Wireshark измамен лист
- Как да декриптирате SSL с Wireshark
- Използване на Wireshark за получаване на IP адреса на неизвестен хост
- Изпълнение на дистанционно улавяне с Wireshark и tcpdump
- Обяснена грешка на Wireshark „няма намерени интерфейси“.
- Идентифицирайте хардуера с OUI търсене в Wireshark
- Най-добрите алтернативи на Wireshark
Често задавани въпроси за Wireshark
Какви са филтрите в Wireshark?
Филтрите на Wireshark намаляват броя на пакетите, които виждате в програмата за преглед на данни на Wireshark. Тази функция ви позволява да стигнете до пакетите, които са подходящи за вашето изследване. Има два вида филтри: филтри за улавяне и филтри за показване. Прилагането на филтър към процеса на улавяне на пакети намалява обема на трафика, който Wireshark чете.
Как да заснема филтър в Wireshark?
Можете да намалите количеството пакети, които Wireshark копира с филтър за улавяне. Потърсете на началния екран раздела със заглавие Улавяне . Първият ред в този раздел е етикетиран използвайки този филтър: Файлът, който следва тази подкана, ви позволява да въведете оператор за филтър. Изберете интерфейс, от който да заснемете, и след това щракнете върху символа на перка на акула в лентата с менюта, за да започнете заснемане.
Ако не виждате началната страница, щракнете върху Улавяне в лентата с менюта и след това изберете Настроики от това падащо меню. Ще видите списък с наличните интерфейси и полето за филтър за заснемане в долната част на екрана. Изберете интерфейс, като щракнете върху него, въведете текста на филтъра и след това щракнете върху Започнете бутон.
Как Wireshark улавя пакети?
Wireshark има достъп до отделна програма за събиране на пакети от кабела на мрежата през мрежовата карта на компютъра, който го хоства. Тази програма е базирана на протокола pcap, който е внедрен в libpcap за Unix, Linux и macOS и от WinPCap за Windows. Инсталаторът за Wireshark ще инсталира и необходимата програма pcap.