Φύλλο εξαπάτησης Wireshark – Εντολές, λήψεις, φίλτρα και συντομεύσεις
Όλες οι πληροφορίες που παρέχονται στο cheat sheet είναι επίσης ορατές Πιο κάτω αυτή η σελίδα σε μορφή που είναι εύκολη η αντιγραφή και επικόλληση.
Το φύλλο εξαπάτησης καλύπτει:
- Λειτουργίες λήψης Wireshark
- Τύποι φίλτρων
- Λήψη σύνταξης φίλτρου
- Εμφάνιση σύνταξης φίλτρου
- Πρωτόκολλα – Αξίες
- Φιλτράρισμα πακέτων (Φίλτρα εμφάνισης)
- Λογικοί τελεστές
- Προεπιλεγμένες στήλες σε μια έξοδο λήψης πακέτων
- Διάφορα αντικείμενα
- Συντομεύσεις πληκτρολογίου
- Κοινές εντολές φιλτραρίσματος
- Κύρια στοιχεία γραμμής εργαλείων
Προβολή ή λήψη της εικόνας JPG του φύλλου εξαπάτησης
Κάντε δεξί κλικ στην παρακάτω εικόνα για να αποθηκεύσετε το αρχείο JPG (πλάτος 2500 x 2096 ύψος σε pixel) ή κάντε κλικ εδώ για να το ανοίξετε σε μια νέα καρτέλα προγράμματος περιήγησης . Μόλις ανοίξει η εικόνα σε νέο παράθυρο, ίσως χρειαστεί να κάνετε κλικ στην εικόνα για μεγέθυνση και προβολή του jpeg πλήρους μεγέθους.
Προβολή ή λήψη της εικόνας JPG του φύλλου εξαπάτησης
Κάντε κλικ στον σύνδεσμο για να κατεβάσετε το Φύλλο εξαπάτησης PDF . Εάν ανοίξει σε μια νέα καρτέλα του προγράμματος περιήγησης, απλώς κάντε δεξί κλικ στο PDF και μεταβείτε στην επιλογή λήψης.
Τι περιλαμβάνεται στο φύλλο εξαπάτησης του Wireshark;
Οι ακόλουθες κατηγορίες και αντικείμενα έχουν συμπεριληφθεί στο φύλλο εξαπάτησης:
Λειτουργίες λήψης Wireshark
Ασύστολος τρόπος | Ρυθμίζει τη διεπαφή ώστε να καταγράφει όλα τα πακέτα σε ένα τμήμα δικτύου με το οποίο συνδέεται | |||||||||||
Λειτουργία παρακολούθησης | ρυθμίστε τη διεπαφή ασύρματης σύνδεσης για να καταγράψει όλη την κίνηση που μπορεί να λάβει (μόνο Unix/Linux) | |||||||||||
Τύποι φίλτρων
Φίλτρο λήψης | Φιλτράρετε τα πακέτα κατά τη λήψη | ||||
Φίλτρο οθόνης | Απόκρυψη πακέτων από μια οθόνη λήψης |
Λήψη σύνταξης φίλτρου
Σύνταξη | πρωτόκολλο | κατεύθυνση | Οικοδεσπότες | αξία | Λογικός τελεστής | Εκφράσεις | |||||||||||||
Παράδειγμα | tcp | src | 192.168.1.1 | 80 | και | tcp dst 202.164.30.1 | |||||||||||||
Εμφάνιση σύνταξης φίλτρου
Σύνταξη | πρωτόκολλο | Χορδή 1 | Χορδή 2 | Χειριστής σύγκρισης | αξία | λογικός τελεστής | Εκφράσεις | ||||||||||||
Παράδειγμα | http | αρχή | ip | == | 192.168.1.1 | και | θύρα tcp | ||||||||||||
Πρωτόκολλα – Αξίες
αιθέρας, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp και udp |
Φιλτράρισμα πακέτων (Φίλτρα εμφάνισης)
Χειριστής | Περιγραφή | Παράδειγμα | |||||
eq ή == | Ισος | ip.dest == 192.168.1.1 | |||||
όχι ή != | Όχι ίσος | ip.dest != 192.168.1.1 | |||||
gt ή > | Μεγαλύτερος από | frame.len > 10 | |||||
ή< | Λιγότερο από | πλαίσιο.λεν<10 | |||||
ge ή >= | Μεγαλύτερο ή ίσο | frame.len >= 10 | |||||
le ή<= | Λιγότερο ή ίσο | πλαίσιο.λεν<=10 | |||||
Διάφορα αντικείμενα
Slice Operator | […] - Εύρος τιμών | ||||||
Διαχειριστής μέλους | {} - Σε | ||||||
CTRL+E - | Έναρξη/Διακοπή λήψης | ||||||
Λογικοί τελεστές
Χειριστής | Περιγραφή | Παράδειγμα | ||||||||
και ή && | Λογικό ΚΑΙ | Όλες οι προϋποθέσεις πρέπει να ταιριάζουν | ||||||||
ή ή || | Λογικό Ή | Είτε όλες είτε μία από τις συνθήκες πρέπει να ταιριάζουν | ||||||||
xor ή ^^ | Λογικό XOR | αποκλειστική εναλλαγή – Μόνο μία από τις δύο συνθήκες πρέπει να ταιριάζει και όχι με τις δύο | ||||||||
όχι ή ! | ΟΧΙ (Άρνηση) | Οχι ίσο με | ||||||||
[n] […] | Χειριστής υποσυμβολοσειράς | Φιλτράρετε μια συγκεκριμένη λέξη ή κείμενο | ||||||||
Προεπιλεγμένες στήλες σε μια έξοδο λήψης πακέτων
Οχι. | Αριθμός πλαισίου από την αρχή της σύλληψης του πακέτου | ||||||
χρόνος | Δευτερόλεπτα από το πρώτο καρέ | ||||||
Πηγή (src) | Διεύθυνση πηγής, συνήθως μια διεύθυνση IPv4, IPv6 ή Ethernet | ||||||
Προορισμός (dst) | Διεύθυνση προορισμού | ||||||
Πρωτόκολλο | Πρωτόκολλο που χρησιμοποιείται στο πλαίσιο Ethernet, το πακέτο IP ή το τμήμα TCP | ||||||
Μήκος | Μήκος του πλαισίου σε byte | ||||||
Συντομεύσεις πληκτρολογίου
Επιταχυντής | Περιγραφή | Επιταχυντής | Περιγραφή | ||||||||||||||||
Tab ή Shift+Tab | Μετακίνηση μεταξύ στοιχείων οθόνης, π.χ. από τις γραμμές εργαλείων στη λίστα πακέτων έως τις λεπτομέρειες του πακέτου. | Όλα+→ή Option+→ | Μεταβείτε στο επόμενο πακέτο στο ιστορικό επιλογής. | ||||||||||||||||
↓ | Μεταβείτε στο επόμενο πακέτο ή στοιχείο λεπτομέρειας. | → | Στη λεπτομέρεια πακέτου, ανοίγει το επιλεγμένο στοιχείο δέντρου. | ||||||||||||||||
↑ | Μετακίνηση στο προηγούμενο πακέτο ή στοιχείο λεπτομέρειας. | Shift+→ | Στη λεπτομέρεια πακέτου, ανοίγει το επιλεγμένο στοιχείο δέντρου και όλα τα υποδέντρα του. | ||||||||||||||||
Ctrl+↓ή F8 | Μεταβείτε στο επόμενο πακέτο, ακόμα κι αν η λίστα πακέτων δεν είναι εστιασμένη. | Ctrl+→ | Στη λεπτομέρεια πακέτου, ανοίγει όλα τα στοιχεία δέντρου. | ||||||||||||||||
Ctrl+↑ή F7 | Μεταβείτε στο προηγούμενο πακέτο, ακόμα κι αν η λίστα πακέτων δεν είναι εστιασμένη. | Ctrl+← | Στη λεπτομέρεια πακέτου, κλείνει όλα τα στοιχεία δέντρου. | ||||||||||||||||
Ctrl+. | Μεταβείτε στο επόμενο πακέτο της συνομιλίας (TCP, UDP ή IP). | Backspace | Στη λεπτομέρεια του πακέτου, μεταβαίνει στον γονικό κόμβο. | ||||||||||||||||
Ctrl+, | Μεταβείτε στο προηγούμενο πακέτο της συνομιλίας (TCP, UDP ή IP). | Επιστροφή ή Enter | Στη λεπτομέρεια πακέτου, αλλάζει το επιλεγμένο στοιχείο δέντρου. | ||||||||||||||||
Κοινές εντολές φιλτραρίσματος
Φίλτρο Wireshark κατά IP | ip.addr == 10.10.50.1 |
Φιλτράρισμα κατά IP προορισμού | ip.dest == 10.10.50.1 |
Φιλτράρισμα κατά IP πηγής | ip.src == 10.10.50.1 |
Φιλτράρισμα κατά εύρος IP | ip.addr >= 10.10.50.1 και ip.addr<= 10.10.50.100 |
Φιλτράρισμα κατά πολλαπλά Ips | ip.addr == 10.10.50.1 και ip.addr == 10.10.50.100 |
Φιλτράρισμα/Εξαίρεση διεύθυνσης IP | !(ip.addr == 10.10.50.1) |
Φιλτράρισμα υποδικτύου IP | ip.addr == 10.10.50.1/24 |
Φιλτράρισμα κατά πολλαπλά καθορισμένα υποδίκτυα IP | ip.addr == 10.10.50.1/24 και ip.addr == 10.10.51.1/24 |
Φιλτράρισμα κατά πρωτόκολλο |
|
Φιλτράρισμα κατά θύρα (TCP) | tcp.port == 25 |
Φιλτράρισμα κατά θύρα προορισμού (TCP) | tcp.dstport == 23 |
Φιλτράρισμα κατά διεύθυνση IP και θύρα | ip.addr == 10.10.50.1 και Tcp.port == 25 |
Φιλτράρισμα κατά διεύθυνση URL | http.host == 'όνομα κεντρικού υπολογιστή' |
Φιλτράρισμα κατά χρονική σήμανση | frame.time >= '02 Ιουνίου 2019 18:04:00' |
Φίλτρο σημαία SYN | tcp.flags.syn == 1 tcp.flags.syn == 1 και tcp.flags.ack == 0 |
Φίλτρο Wireshark Beacon | wlan.fc.type_subtype = 0x08 |
Φίλτρο εκπομπής Wireshark | eth.dst == ff:ff:ff:ff:ff:ff |
Φίλτρο WiresharkMulticast | (eth.dst[0] & 1) |
Φίλτρο ονόματος κεντρικού υπολογιστή | ip.host = όνομα κεντρικού υπολογιστή |
Φίλτρο διευθύνσεων MAC | eth.addr == 00:70:f4:23:18:c4 |
Φίλτρο σημαίας RST | tcp.flags.reset == 1 |
Κύρια στοιχεία γραμμής εργαλείων
Εικονίδιο γραμμής εργαλείων | Στοιχείο γραμμής εργαλείων | Στοιχείο μενού | Περιγραφή |
 | Αρχή | Λήψη → Έναρξη | Χρησιμοποιεί τις ίδιες επιλογές καταγραφής πακέτων με την προηγούμενη περίοδο λειτουργίας ή χρησιμοποιεί προεπιλογές εάν δεν έχουν οριστεί επιλογές |
 | Να σταματήσει | Λήψη → Διακοπή | Διακόπτει την ενεργή λήψη αυτή τη στιγμή |
 | Επανεκκίνηση | Λήψη → Επανεκκίνηση | Επανεκκινεί την ενεργή συνεδρία λήψης |
 | Επιλογές… | Λήψη → Επιλογές… | Ανοίγει το πλαίσιο διαλόγου 'Επιλογές λήψης'. |
 | Ανοιξε… | Αρχείο → Άνοιγμα… | Ανοίγει το παράθυρο διαλόγου 'Άνοιγμα αρχείου' για να φορτώσει μια λήψη για προβολή |
 | Αποθήκευση ως… | Αρχείο → Αποθήκευση ως… | Αποθηκεύστε το τρέχον αρχείο λήψης |
 | Κλείσε | Αρχείο → Κλείσιμο | Κλείστε το τρέχον αρχείο καταγραφής |
 | Γεμίζω πάλι | Προβολή → Επανάληψη φόρτωσης | Φορτώνει ξανά το τρέχον αρχείο λήψης |
 | Εύρεση πακέτου… | Επεξεργασία → Εύρεση πακέτου… | Βρείτε πακέτο με βάση διαφορετικά κριτήρια |
 | Πήγαινε πίσω | Μετάβαση → Επιστροφή | Μετάβαση πίσω στο ιστορικό πακέτων |
 | Πάμε μπροστά | Μετάβαση → Μετάβαση προς τα εμπρός | Μετάβαση προς τα εμπρός στο ιστορικό πακέτων |
 | Μετάβαση στο πακέτο… | Μετάβαση → Μετάβαση στο πακέτο… | Μεταβείτε σε συγκεκριμένο πακέτο |
 | Μετάβαση στο πρώτο πακέτο | Μετάβαση → Πρώτο πακέτο | Μετάβαση στο πρώτο πακέτο του αρχείου καταγραφής |
 | Μετάβαση στο τελευταίο πακέτο | Μετάβαση → Τελευταίο πακέτο | Μετάβαση στο τελευταίο πακέτο του αρχείου καταγραφής |
 | Αυτόματη κύλιση στη Ζωντανή Λήψη | Προβολή → Αυτόματη κύλιση στη Ζωντανή Λήψη | Αυτόματη κύλιση λίστας πακέτων κατά τη ζωντανή λήψη |
 | Χρωματίστε | Προβολή → Χρωματισμός | Χρωματίστε τη λίστα πακέτων (ή όχι) |
 | Μεγέθυνση | Προβολή → Μεγέθυνση | Μεγέθυνση στα δεδομένα του πακέτου (αυξήστε το μέγεθος της γραμματοσειράς) |
 | Σμίκρυνση | Προβολή → Σμίκρυνση | Σμίκρυνση των δεδομένων πακέτου (μειώστε το μέγεθος της γραμματοσειράς) |
 | Κανονικό μέγεθος | Προβολή → Κανονικό μέγεθος | Ρύθμιση του επιπέδου ζουμ πίσω στο 100% |
 | Αλλαγή μεγέθους στηλών | Προβολή → Αλλαγή μεγέθους στηλών | Αλλάξτε το μέγεθος των στηλών, ώστε το περιεχόμενο να ταιριάζει στο πλάτος |
Περισσότερα μαθήματα Wireshark:
- Φύλλο εξαπάτησης Wireshark
- Πώς να αποκρυπτογραφήσετε το SSL με το Wireshark
- Χρησιμοποιώντας το Wireshark για να λάβετε τη διεύθυνση IP ενός άγνωστου κεντρικού υπολογιστή
- Εκτέλεση απομακρυσμένης λήψης με Wireshark και tcpdump
- Επεξηγήθηκε το σφάλμα «δεν βρέθηκαν διεπαφές» του Wireshark
- Προσδιορίστε το υλικό με αναζήτηση OUI στο Wireshark
- Οι καλύτερες εναλλακτικές λύσεις Wireshark
Συχνές ερωτήσεις για το Wireshark
Ποια είναι τα φίλτρα στο Wireshark;
Τα φίλτρα Wireshark μειώνουν τον αριθμό των πακέτων που βλέπετε στο πρόγραμμα προβολής δεδομένων Wireshark. Αυτή η λειτουργία σάς επιτρέπει να φτάσετε στα πακέτα που σχετίζονται με την έρευνά σας. Υπάρχουν δύο τύποι φίλτρων: φίλτρα λήψης και φίλτρα εμφάνισης. Η εφαρμογή ενός φίλτρου στη διαδικασία λήψης πακέτων μειώνει τον όγκο της κίνησης που διαβάζει το Wireshark.
Πώς μπορώ να καταγράψω ένα φίλτρο στο Wireshark;
Μπορείτε να μειώσετε τον αριθμό των πακέτων που αντιγράφει το Wireshark με ένα φίλτρο λήψης. Αναζητήστε στην Αρχική οθόνη την ενότητα με τίτλο Πιάνω . Η πρώτη γραμμή σε αυτήν την ενότητα φέρει ετικέτα χρησιμοποιώντας αυτό το φίλτρο: Το αρχείο που ακολουθεί αυτήν την προτροπή σάς επιτρέπει να εισαγάγετε μια δήλωση φίλτρου. Επιλέξτε μια διεπαφή για λήψη και, στη συνέχεια, κάντε κλικ στο σύμβολο του πτερυγίου καρχαρία στη γραμμή μενού για να ξεκινήσετε τη λήψη.
Εάν δεν βλέπετε την Αρχική σελίδα, κάντε κλικ στο Πιάνω στη γραμμή μενού και, στη συνέχεια, επιλέξτε Επιλογές από αυτό το αναπτυσσόμενο μενού. Θα δείτε μια λίστα με τις διαθέσιμες διεπαφές και το πεδίο φίλτρου λήψης προς το κάτω μέρος της οθόνης. Επιλέξτε μια διεπαφή κάνοντας κλικ σε αυτήν, εισαγάγετε το κείμενο του φίλτρου και, στη συνέχεια, κάντε κλικ στο Αρχή κουμπί.
Πώς συλλαμβάνει το Wireshark τα πακέτα;
Το Wireshark έχει πρόσβαση σε ένα ξεχωριστό πρόγραμμα για τη συλλογή πακέτων από το καλώδιο του δικτύου μέσω της κάρτας δικτύου του υπολογιστή που το φιλοξενεί. Αυτό το πρόγραμμα βασίζεται στο πρωτόκολλο pcap, το οποίο υλοποιείται στο libpcap για Unix, Linux και macOS και από το WinPCap στα Windows. Το πρόγραμμα εγκατάστασης για το Wireshark θα εγκαταστήσει επίσης το απαραίτητο πρόγραμμα pcap.
