Filtrowanie pakietów w Wireshark na Kali Linux

Wstęp

Filtrowanie pozwala skupić się na dokładnych zestawach danych, które jesteś zainteresowany odczytem. Jak widziałeś, Wireshark zbiera wszystko domyślnie. To może przeszkadzać w konkretnych danych, których szukasz. Wireshark zapewnia dwa potężne narzędzia filtrowania, aby skierować dokładne dane, których potrzebujesz proste i bezbolesne.

Istnieją dwa sposoby, w jakie Wireshark może filtrować pakiety. Może filtrować tylko zebranie niektórych pakietów lub wyniki pakietu można filtrować po ich zebraniu. Oczywiście można je stosować w połączeniu ze sobą, a ich odpowiednia przydatność zależy od tego, który i ile danych jest gromadzone.

Wyrażenia logiczne i operatorzy porównawcze

Wireshark ma wiele wbudowanych filtrów, które działają po prostu świetnie. Zacznij pisać w jednym z pól filtra, a zobaczysz je autocomplete. Większość odpowiada najczęstszym rozróżnieniom, jakie użytkownik dokonałby między pakietami. Dobrym przykładem byłoby filtrowanie tylko żądań HTTP.

W przypadku wszystkiego innego, Wireshark używa wyrażeń logicznych i/lub operatorów porównawczych. Jeśli kiedykolwiek zrobiłeś jakieś programowanie, powinieneś zapoznać się z wyrażeniami logicznymi. Są to wyrażenia, które używają „i”, „lub” i „nie” w celu zweryfikowania prawdomówności stwierdzenia lub wyrażenia. Operatorzy porównawcze są znacznie prostsze. Po prostu ustalają, czy dwie lub więcej rzeczy jest równe, większe lub mniej niż siebie.

Filtrowanie przechwytywania

Przed zanurzeniem się nad niestandardowymi filtrami przechwytywania, spójrz na te, które Wrereshark już się zbudował. Kliknij kartę „Capture” w górnym menu i przejdź do „Opcje.„Poniżej dostępnych interfejsów znajduje się linia, w której możesz napisać filtry przechwytywania. Bezpośrednio po jego lewej stronie jest oznaczony jako „Filtr przechwytywania.„Kliknij na to, a zobaczysz nowe okno dialogowe z listą wstępnie zbudowanych filtrów przechwytywania. Rozejrzyj się i zobacz, co tam jest.

Na dole tego pudełka istnieje niewielka forma do tworzenia i zapisywania filtrów przechwytywania HEW. Naciśnij przycisk „Nowy” po lewej stronie. Utworzy nowy filtr przechwytywania wypełnionego danymi wypełniającymi. Aby zapisać nowy filtr, po prostu wymień wypełniacz na żądaną nazwę i wyrażenie, które chcesz, i kliknij „OK.„Filtr zostanie zapisany i zastosowany. Korzystając z tego narzędzia, możesz pisać i zapisać wiele różnych filtrów i przygotować je ponownie do użycia w przyszłości.

Capture ma swoją składnię do filtrowania. Dla porównania pomija i równa się symbolowi i użyciu > I dla większych i mniej niż. W przypadku booleansów opiera się na słowach „i” lub ”i„ nie „nie."

Jeśli na przykład chciałeś tylko słuchać ruchu na porcie 80, możesz użyć i wyrażenia w ten sposób: Port 80. Jeśli chciałbyś słuchać tylko portu 80 z określonego adresu IP, dodasz to. Port 80 i host 192.168.1.20

Jak widać, filtry przechwytywania mają określone słowa kluczowe. Te słowa kluczowe służą do informowania Wireshark, jak monitorować pakiety, a na które obejrzeć. Na przykład, gospodarz służy do patrzenia na cały ruch z IP. src służy do patrzenia na ruch pochodzący z tego adresu IP. dst Natomiast obserwuje tylko przychodzący ruch do IP. Aby oglądać ruch na zestawie IPS lub sieci, użyj internet.

Wyniki filtrowania

Dolny pasek menu w układzie to ten poświęcony wyników filtrowania. Ten filtr nie zmienia danych, które zebrał Wireshark, pozwala po prostu łatwiej go sortować. Istnieje pole tekstowe do wprowadzenia nowego wyrażenia filtra z rozwijaną strzałką do przeglądu wcześniej wprowadzonych filtrów. Oprócz tego jest przycisk oznaczony jako „Wyrażenie” i kilka innych do wyczyszczenia i zapisywania bieżącego wyrażenia.

Kliknij przycisk „Wyrażenie”. Zobaczysz małe okno z kilkoma pudełkami z opcjami. Po lewej znajduje się największe pudełko z ogromną listą przedmiotów, każda z dodatkowymi zawalonymi podmiotami. Są to wszystkie różne protokoły, pola i informacje, które można filtrować. Nie ma sposobu, aby przejść przez to wszystko, więc najlepszą rzeczą jest rozejrzenie się. Powinieneś zauważyć niektóre znane opcje, takie jak HTTP, SSL i TCP.

Podpraw zawierają różne części i metody, które można filtrować. Tutaj znajdziesz metody filtrowania żądań HTTP przez GET i Post.

Możesz także zobaczyć listę operatorów w środkowych polach. Wybierając elementy z każdej kolumny, możesz użyć tego okna do tworzenia filtrów bez zapamiętywania każdego elementu, w którym Wireshark może filtrować.

W celu filtrowania operatorzy porównawcze używają określonego zestawu symboli. == określa, czy dwie rzeczy są równe. > określa, czy jedna rzecz jest większa niż inna, < znajduje, jeśli coś jest mniej. > = I <= są odpowiednio większe lub równe i mniejsze lub równe. Można je użyć do ustalenia, czy pakiety zawierają odpowiednie wartości lub filtr według rozmiaru. Przykład używania == Aby filtrować tylko HTTP, uzyskaj takie żądania: http.wniosek.Method == „Get”.

Operatorzy boolejscy mogą łączyć mniejsze wyrażenia, aby ocenić na podstawie wielu warunków. Zamiast słów, takich jak z przechwytywaniem, używają do tego trzech podstawowych symboli. && oznacza "i.„W przypadku użycia oba stwierdzenia po obu stronach && Musi być prawdziwa, aby Wireshark mógł filtrować te pakiety. || oznacza ”lub." Z || Tak długo, jak jedno wyrażenie jest prawdziwe, zostanie przefiltrowane. Jeśli szukałeś wszystkich żądań Get i Post, możesz użyć || lubię to: (Http.wniosek.Method == „Get”) || (Http.wniosek.Method == „Post”). ! jest operatorem „nie”. Będzie szukał wszystkiego, ale rzeczy, które jest określone. Na przykład, !http da ci wszystko oprócz żądań HTTP.

Zamykanie myśli

Filtrowanie Wireshark naprawdę umożliwia wydajne monitorowanie ruchu sieciowego. Zapoznanie się z dostępnymi opcjami i przyzwyczajenie się do potężnych wyrażeń, które możesz stworzyć za pomocą filtrów. Jednak kiedy to zrobisz, będziesz mógł szybko zebrać i znaleźć dokładnie dane sieciowe, których szukasz bez konieczności przeczesywania długich list pakietów lub wykonywania dużo pracy.

Powiązane samouczki Linux:

• Jak podwójnie rozruch Kali Linux i Windows 10
• Lista najlepszych narzędzi Kali Linux do testowania penetracji i…
• Rzeczy do zainstalowania na Ubuntu 20.04
• Jak zainstalować Kali Linux w VMware
• Rzeczy do zrobienia po zainstalowaniu Ubuntu 20.04 Focal Fossa Linux
• Wprowadzenie do automatyzacji, narzędzi i technik Linuksa
• Konfiguracja serwera Kali HTTP
• Jak zrobić zrzut ekranu na Kali Linux
• Mastering Bash Script Loops
• Jak wyszukać dodatkowe narzędzia hakerskie na Kali