昨天介紹了一些簡單的Wireshark指令下法,那實際上應該要如何應用呢?
有兩種方法可以在Wireshark下指令,第一種是在指令欄中,也就是下圖中的紅框直接打入指令,這種方式會比較需要平常的練習,才能把常用的指令記下來,但相對來講速度也會比較快。
第二種方式是透過選取的方式,Wiresahrk其實也很貼心,只要按下指令框旁邊的Expression,也就是上圖的籃框,就可以依照各種協定來選取想要的規則。店出來的畫面長得像下面這張圖,左邊的部分是各種協定的選單,右上的區塊是可以選擇運算子,右下的部分則輸入想要比對的值。如果覺得選單太長懶的滑,也可以在下方的搜尋欄位輸入關鍵字,就可以比較快找到想要的協定以方便下指令。
昨天講過如果想要搜尋特定ip的話可以用「ip.addr=IP位址這個指令」,但用這種指令的話,出來的結果會把所有來源或目的地包含此IP的結果都列出來,但如果我現在只想要找封包來源是該IP的話,如果是目的地是該IP的封包就忽略不計,這時候要下的指令就是ip.src==IP位址」,這個src是source的縮寫。相反的,如果我只想找到封包目的地是該IP的話,這時候要下的指令就會是ip.dst==IP位址」,這個dst是destination的縮寫。另外,如果我想抓封包大小在特定範圍的封包,例如我要找封包大小小於400的封包,我則可以下「frame.len<400」這個指令。其實大部分的指令都蠻直覺的,一看之下就可以大致了解這段指率要過濾的是怎樣的封包,只是指令中的縮寫可能就還是要事前看過才知道怎麼使用。
舉個例子,我如果想要找IP來源是我的IP(111.xxx),而目標IP是Line Server(203.xxx),使用的協定是HTTP,而且封包大小小於400的話,如果直接在指令列打就可以打成[ip.src==111.xxx && ip.dst==203.xxx && http && frame.len<400],按下送出後看到的就會是下圖的樣子,篩選出來的封包也符合我們所下的指令。
那如果是想從選單選擇的話也可以,只要從欄位中選擇對應的欄位,並選擇對應的運算子及值後送出,也可以得到一樣的效果喔!
幫你補充一個,也可以在找完的封包列中,對有興趣的封包內容按右鍵"prepare as filter",他會幫你設定到過濾選項~~
謝謝你的分享! 稍後我也來試試看~
謝謝你的分享
謝謝你的分享