iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 9
3
Security

鯊魚咬電纜:30天玩Wireshark系列 第 12

[Day 9] 繼續玩過濾指令

  • 分享至 

  • xImage
  •  

昨天介紹了一些簡單的Wireshark指令下法,那實際上應該要如何應用呢?

有兩種方法可以在Wireshark下指令,第一種是在指令欄中,也就是下圖中的紅框直接打入指令,這種方式會比較需要平常的練習,才能把常用的指令記下來,但相對來講速度也會比較快。

https://ithelp.ithome.com.tw/upload/images/20171228/20107304hlLxTUD5y1.png

第二種方式是透過選取的方式,Wiresahrk其實也很貼心,只要按下指令框旁邊的Expression,也就是上圖的籃框,就可以依照各種協定來選取想要的規則。店出來的畫面長得像下面這張圖,左邊的部分是各種協定的選單,右上的區塊是可以選擇運算子,右下的部分則輸入想要比對的值。如果覺得選單太長懶的滑,也可以在下方的搜尋欄位輸入關鍵字,就可以比較快找到想要的協定以方便下指令。

https://ithelp.ithome.com.tw/upload/images/20171228/20107304RZpwn54R7X.png

昨天講過如果想要搜尋特定ip的話可以用「ip.addr=IP位址這個指令」,但用這種指令的話,出來的結果會把所有來源或目的地包含此IP的結果都列出來,但如果我現在只想要找封包來源是該IP的話,如果是目的地是該IP的封包就忽略不計,這時候要下的指令就是ip.src==IP位址」,這個src是source的縮寫。相反的,如果我只想找到封包目的地是該IP的話,這時候要下的指令就會是ip.dst==IP位址」,這個dst是destination的縮寫。另外,如果我想抓封包大小在特定範圍的封包,例如我要找封包大小小於400的封包,我則可以下「frame.len<400」這個指令。其實大部分的指令都蠻直覺的,一看之下就可以大致了解這段指率要過濾的是怎樣的封包,只是指令中的縮寫可能就還是要事前看過才知道怎麼使用。

舉個例子,我如果想要找IP來源是我的IP(111.xxx),而目標IP是Line Server(203.xxx),使用的協定是HTTP,而且封包大小小於400的話,如果直接在指令列打就可以打成[ip.src==111.xxx && ip.dst==203.xxx && http && frame.len<400],按下送出後看到的就會是下圖的樣子,篩選出來的封包也符合我們所下的指令。

https://ithelp.ithome.com.tw/upload/images/20171228/20107304v65IdFtrLN.png

那如果是想從選單選擇的話也可以,只要從欄位中選擇對應的欄位,並選擇對應的運算子及值後送出,也可以得到一樣的效果喔!


上一篇
[Day 8] 到底怎樣下指令才能找到自己要觀察的封包?
下一篇
[Day 10] 如何從pcap檔中把檔案複製出來?
系列文
鯊魚咬電纜:30天玩Wireshark51
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
魷魚
iT邦新手 1 級 ‧ 2017-12-29 09:07:26

幫你補充一個,也可以在找完的封包列中,對有興趣的封包內容按右鍵"prepare as filter",他會幫你設定到過濾選項~~

WLLO iT邦新手 4 級 ‧ 2017-12-29 22:22:12 檢舉

謝謝你的分享! 稍後我也來試試看~

謝謝你的分享

柒拾柒 iT邦新手 5 級 ‧ 2018-01-18 21:52:56 檢舉

謝謝你的分享

我要留言

立即登入留言