WireShark фильтрация при захвате. Обзор синтаксиса фильтров.

Рубрика WireShark — Это своего рода мануал по работе с программой анализа трафика.

Большинство статей — переведены и подготовлены для русскоязычных читателей, имеющих желание подробно ознакомиться с данной программой, но не обладающих достаточными знаниями английского языка. Все недочеты и пожелания оставляйте в комментариях.



Быстрое меню
×

Фильтрация при захвате. Обзор синтаксиса фильтров.

Wireshark использует язык фильтра libpcap для фильтров захвата. Ниже приведен краткий обзор синтаксиса.

НЕ путайте фильтры захвата ( пример : tcp port 80 ) и фильтры отображения ( пример : tcp.port == 80 ). Фильтры захвата устанавливаются до Старта захвата, а фильрами отображения вы можете оперировать во время захвата.

Фильтр захвата принимает форму серии примитивных выражений, связанных конъюнкциями ( и | или ) и необязательно предшествующих НЕ :

[not] примитив [and | or [not] примитив …]

 

Фильтр захвата для telnet, который фиксирует трафик на конкретный хост и с него

tcp port 23 and host 10.0.0.5

В этом примере фиксируется трафик telnet с хостом 10.0.0.5 и с него, а также показано, как использовать два примитива и соединение. В другом примере показан «Захват всего трафика telnet не с 10.0.0.5» , и показывает, как захватить весь трафик telnet, кроме 10.0.0.5.

Захват всего трафика telnet не с 10.0.0.5

tcp port 23 and not src host 10.0.0.5

Примитив  [src | dst] host <host>

Этот примитив позволяет вам фильтровать на IP-адрес или имя хоста. Вы можете опционально перед примитивом указать ключевое слово src | dst, чтобы указать, что вас интересуют только исходные или целевые адреса.

ether [src | dst] host <ehost>

Этот примитив позволяет фильтровать адреса Ethernet-хоста. Вы можете дополнительно указать ключевое слово src | dst между ключевыми словами ether и host, чтобы указать, что вас интересуют только исходные или целевые адреса. Если они отсутствуют, будут выбраны пакеты, в которых указан указанный адрес либо на исходном, либо на целевом адресе.

gateway host <host>

Этот примитив позволяет фильтровать пакеты, которые использовали хост в качестве шлюза. То есть, когда источником или адресом Ethernet был хост, но ни исходный, ни целевой IP-адрес не был хостом .

[src | dst] net <net> [{mask <mask>} | {len <len>}]

Этот примитив позволяет вам фильтровать по номерам сети. Вы можете указывать перед этим примитивом  ключевое слово src | dst, чтобы указать, что вас интересует только источник или целевая сеть. Если ни один из них не присутствует, будут выбраны пакеты, которые имеют указанную сеть в исходном или целевом адресе. Кроме того, вы можете указать сетевую маску или префикс CIDR для сети, если они отличаются от ваших собственных.

[tcp | udp] [src | dst] port <port>

Этот примитив позволяет вам фильтровать номера портов TCP и UDP. Вы можете не указывать перед  этим примитивом ключевые слова src | dst и tcp | udp, которые позволяют указать, что вас интересуют только исходные или целевые порты и TCP или UDP-пакеты соответственно. Ключевые слова tcp | udp должны появиться перед src | dst .

Если они не указаны, пакеты будут выбраны как для протоколов TCP, так и для UDP

less|greater <length>

Этот примитив позволяет фильтровать пакеты, длина которых меньше или равна указанной длине, или больше или равна указанной длине, соответственно.

ip|ether proto <protocol>

Этот примитив позволяет вам фильтровать по указанному протоколу либо на уровне Ethernet, либо на уровне IP.

Пример: ether proto 0x0806   —   Захват только ARP

 

ether|ip broadcast|multicast

Этот примитив позволяет вам фильтровать либо по сетям Ethernet, либо по IP-сетям или многоадресным рассылкам.

<expr> relop <expr>

Этот примитив позволяет создавать сложные выражения фильтра, которые выбирают байты или диапазоны байтов в пакетах.

Автоматическая фильтрация удаленного трафика

Если Wireshark работает удаленно (используя, например, SSH, экспортированное окно X11, сервер терминалов …), удаленный контент должен переноситься по сети, добавляя много (обычно неважных) пакетов к действительно интересному трафику.

Чтобы избежать этого, Wireshark пытается выяснить, подключен ли он удаленно (просмотрев некоторые конкретные переменные среды) и автоматически создает фильтр захвата, который соответствует аспектам соединения.

Анализируются следующие переменные среды:

SSH_CONNECTION (ssh)
<удаленный IP> <удаленный порт> <локальный IP> <локальный порт>

SSH_CLIENT (ssh)
<удаленный IP> <удаленный порт> <локальный порт>

REMOTEHOST (tcsh, другие?)
<удаленное имя>

DISPLAY (x11)
[удаленное имя]: <display num>

SESSIONNAME (сервер терминалов)
<удаленное имя>

В Windows он запрашивает операционную систему, если она запущена в среде служб удаленных рабочих столов.

Остановить захват

Запуск сеанса захвата будет остановлен одним из следующих способов:
Используя кнопку « Стоп » в диалоговом окне «Capture Info».

Диалоговое окно «Capture Info» может быть скрыто, если используется опция «Скрыть информацию о записи».

  • Использование пункта меню Capture → Stop .
  • Использование Стоп кнопки на панели инструментов.
  • Нажатие Ctrl + E .

Захват будет автоматически остановлен, если будет выполнено одно из условий остановки , например, максимальный объем данных был захвачен.

Перезапустить текущий захват

Запуск сеанса захвата можно перезапустить с теми же параметрами захвата, что и в последний раз, это приведет к удалению всех ранее захваченных пакетов. Это может быть полезно, если некоторые неинтересные пакеты захвачены, и нет необходимости их хранить.

Перезапуск — это функция удобства и эквивалент остановки захвата после немедленного запуска захвата. Перезапуск может быть запущен одним из следующих способов:

  • Использование пункта меню Capture → Restart .
  • С помощью кнопки на панели инструментов « Перезапустить» .


Просмотров: 156
16 Апр 2018
 

Ваш отзыв