iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 8
2
Security

鯊魚咬電纜:30天玩Wireshark系列 第 11

[Day 8] 到底怎樣下指令才能找到自己要觀察的封包?

前幾天介紹如何以Wireshark觀察一些加密及非加密連線,今天則開始來介紹一些過濾封包的指令。

其實在之前的文章中,就已經有介紹過一些指令了,例如可以用http來過濾HTTP的封包,用ssl來過濾SSL的封包等等,其實網路的封包這麼多種,每種通訊協定在每一層所使用的欄位也不盡相同,所以是很難把所有的指令都介紹的大家的,所以在這邊先介紹幾個比較常用到的過濾指令給大家。

  1. 如果想要過濾特定IP的話,可以使用「ip.addr==IP位址」這個指令
  2. 如果想要過濾特定Port的話,可以使用「tcp.port == Port號碼」這個指令
  3. 如果想要過濾特定Protocol的話,如同之前介紹過的,可以直接在欄位輸入協定名稱,例如http、https、ssl及ssh等。

Wireshark指令的運算子包含下列數個:
==:全等於
!=:不等於

:大於
<:小於
=:大於等於
<=小於等於
Contains:包含
Matches:符合
In:屬於其中的一項

另外Wireshark是可以同時下多個指令的,連結方式則是在各項指令之間加上「&&」就可以了。

例如我要找流經127.0.01這個IP,而且是使用ssl協定的封包,下的指令就可以是「ip.addr==127.0.0.1 && ssl」。

其實官方也有出一個表(網址:http://packetlife.net/blog/2008/oct/18/cheat-sheets-tcpdump-and-wireshark/ ),把常使用的過濾指令都列上去,大家如果想要的話也可以下載下來印成壁紙貼在牆上,相信每天看著看著,很快就可以全部記熟囉。

今天先介紹一些簡單的應用,往後如果用到其他過濾指令時也都會再介紹給大家,不過如果有興趣的就可以先自己玩玩看囉~


上一篇
[Day 7] 摸摸HTTPS
下一篇
[Day 9] 繼續玩過濾指令
系列文
鯊魚咬電纜:30天玩Wireshark51

1 則留言

0
魷魚
iT邦新手 1 級 ‧ 2017-12-29 09:00:40

把指令印成壁紙貼在牆上......怎麼有種淡淡的哀傷阿/images/emoticon/emoticon37.gif

WLLO iT邦新手 4 級 ‧ 2017-12-29 22:22:48 檢舉

每天看可能會吃不下飯

我要留言

立即登入留言