Pakej Penapisan di Wireshark di Kali Linux

Pengenalan

Penapisan membolehkan anda memberi tumpuan kepada set data yang tepat yang anda berminat membaca. Seperti yang anda lihat, Wireshark mengumpul semuanya Secara lalai. Yang boleh mendapatkan data khusus yang anda cari. Wireshark menyediakan dua alat penapisan yang kuat untuk menjadikan penargetan data yang tepat yang anda perlukan mudah dan tidak menyakitkan.

Terdapat dua cara yang boleh ditapis oleh wireshark. Ia boleh menapis hanya mengumpul paket tertentu, atau hasil paket dapat ditapis setelah dikumpulkan. Sudah tentu, ini boleh digunakan bersamaan dengan satu sama lain, dan kegunaan masing -masing bergantung kepada mana dan berapa banyak data yang dikumpulkan.

Ekspresi Boolean dan Pengendali Perbandingan

Wireshark mempunyai banyak penapis terbina dalam yang berfungsi hebat. Mula menaip di salah satu medan penapis, dan anda akan melihatnya secara automatik masuk. Kebanyakannya sesuai dengan perbezaan yang lebih biasa yang dibuat oleh pengguna antara paket. Penapisan hanya permintaan HTTP akan menjadi contoh yang baik.

Untuk segala -galanya, Wireshark menggunakan ekspresi boolean dan/atau pengendali perbandingan. Sekiranya anda pernah melakukan apa -apa jenis pengaturcaraan, anda harus biasa dengan ekspresi Boolean. Mereka adalah ungkapan yang menggunakan "dan,," "atau," dan "tidak" untuk mengesahkan kebenaran pernyataan atau ungkapan. Pengendali perbandingan jauh lebih mudah. Mereka hanya menentukan sama ada dua atau lebih perkara yang sama, lebih besar, atau kurang dari satu sama lain.

Penapisan penapisan

Sebelum menyelam ke penapis menangkap tersuai, lihatlah yang sudah dibina oleh Wireshark. Klik pada tab "Tangkap" di menu atas, dan pergi ke "Pilihan."Di bawah antara muka yang ada adalah garis di mana anda boleh menulis penapis penangkapan anda. Terus ke kiri adalah butang yang dilabel "penapis menangkap."Klik padanya, dan anda akan melihat kotak dialog baru dengan penyenaraian penapis menangkap pra-bina. Lihatlah dan lihat apa yang ada.

Di bahagian bawah kotak itu, terdapat bentuk kecil untuk membuat dan menyimpan penapis menangkap hew. Tekan butang "Baru" ke kiri. Ia akan membuat penapis tangkapan baru yang dihuni dengan data pengisi. Untuk menyimpan penapis baru, gantikan pengisi dengan nama sebenar dan ungkapan yang anda mahukan dan klik "OK."Penapis akan disimpan dan digunakan. Menggunakan alat ini, anda boleh menulis dan menyimpan pelbagai penapis yang berbeza dan siapkannya untuk digunakan lagi pada masa akan datang.

Tangkap mempunyai sintaks sendiri untuk penapisan. Sebagai perbandingan, ia menghilangkan dan sama dengan simbol dan kegunaan > dan untuk lebih besar dan kurang dari. Untuk boolean, ia bergantung pada perkataan "dan," "atau," dan "tidak."

Jika, sebagai contoh, anda hanya mahu mendengar lalu lintas di port 80, anda boleh menggunakan dan mengekspresikan seperti ini: port 80. Sekiranya anda hanya mahu mendengar di port 80 dari IP tertentu, anda akan menambahnya. pelabuhan 80 dan tuan rumah 192.168.1.20

Seperti yang anda lihat, penapis penapis mempunyai kata kunci tertentu. Kata kunci ini digunakan untuk memberitahu wireshark bagaimana memantau paket dan yang mana yang harus dilihat. Sebagai contoh, Tuan rumah digunakan untuk melihat semua lalu lintas dari IP. SRC digunakan untuk melihat lalu lintas yang berasal dari ip itu. dst Sebaliknya, hanya menonton trafik masuk ke IP. Untuk menonton lalu lintas pada satu set IP atau rangkaian, gunakan jaring.

Hasil penapisan

Bar menu bawah pada susun atur anda adalah yang didedikasikan untuk menapis hasil. Penapis ini tidak mengubah data yang dikumpulkan oleh Wireshark, ia hanya membolehkan anda menyusunnya dengan lebih mudah. Terdapat medan teks untuk memasukkan ungkapan penapis baru dengan anak panah jatuh ke bawah untuk mengkaji semula penapis yang dimasukkan sebelumnya. Di sebelahnya adalah butang yang ditandakan "ekspresi" dan beberapa orang lain untuk membersihkan dan menyimpan ungkapan semasa anda.

Klik pada butang "Ekspresi". Anda akan melihat tetingkap kecil dengan beberapa kotak dengan pilihan di dalamnya. Di sebelah kiri adalah kotak terbesar dengan senarai item yang besar, masing-masing dengan sub-lists runtuh tambahan. Ini semua adalah protokol, bidang, dan maklumat yang berbeza yang boleh anda tapis oleh. Tidak ada cara untuk melewati semuanya, jadi perkara terbaik untuk dilakukan adalah melihat -lihat. Anda harus melihat beberapa pilihan biasa seperti HTTP, SSL, dan TCP.

Sub-senarai mengandungi bahagian dan kaedah yang berbeza yang boleh anda tapis oleh. Ini akan menjadi tempat anda mencari kaedah untuk menapis permintaan HTTP dengan mendapatkan dan menghantar.

Anda juga boleh melihat senarai pengendali di kotak tengah. Dengan memilih item dari setiap lajur, anda boleh menggunakan tetingkap ini untuk membuat penapis tanpa menghafal setiap item yang boleh ditapis oleh Wireshark.

Untuk hasil penapisan, pengendali perbandingan menggunakan set simbol tertentu. == menentukan jika dua perkara sama. > menentukan jika satu perkara lebih besar daripada yang lain, < Cari jika ada sesuatu yang kurang. > = dan <= untuk lebih besar daripada atau sama dengan dan kurang daripada atau sama dengan. Mereka boleh digunakan untuk menentukan sama ada paket mengandungi nilai yang betul atau penapis mengikut saiz. Contoh menggunakan == Untuk menapis hanya HTTP mendapatkan permintaan seperti ini: http.permintaan.kaedah == "Dapatkan".

Pengendali Boolean boleh mengikat ekspresi yang lebih kecil bersama -sama untuk menilai berdasarkan pelbagai syarat. Daripada kata -kata seperti dengan menangkap, mereka menggunakan tiga simbol asas untuk melakukan ini. && bermaksud "dan."Apabila digunakan, kedua -dua kenyataan di kedua -dua belah && Mesti benar agar Wireshark menapis pakej tersebut. || menandakan "atau."Dengan || Selagi sama ada ungkapan itu benar, ia akan ditapis. Sekiranya anda mencari semua permintaan mendapatkan dan pos, anda boleh menggunakan || Seperti ini: (http.permintaan.kaedah == "mendapatkan") || (http.permintaan.kaedah == "pos"). ! adalah pengendali "tidak". Ia akan mencari segala -galanya tetapi perkara yang ditentukan. Sebagai contoh, !http akan memberi anda segalanya tetapi permintaan HTTP.

Pemikiran penutupan

Penapisan Wireshark benar -benar membolehkan anda memantau trafik rangkaian anda dengan cekap. Ia mengambil sedikit masa untuk membiasakan diri dengan pilihan yang tersedia dan digunakan untuk ungkapan yang kuat yang boleh anda buat dengan penapis. Sebaik sahaja anda melakukannya, anda akan dapat dengan cepat mengumpul dan mencari data rangkaian dengan cepat yang anda cari tanpa perlu menyikat senarai panjang paket atau melakukan banyak kerja.

Tutorial Linux Berkaitan:

• Cara Dual Boot Kali Linux dan Windows 10
• Senarai alat Kali Linux terbaik untuk ujian penembusan dan ..
• Perkara yang hendak dipasang di Ubuntu 20.04
• Cara Memasang Kali Linux di VMware
• Perkara yang perlu dilakukan setelah memasang ubuntu 20.04 Focal Fossa Linux
• Pengenalan kepada Automasi, Alat dan Teknik Linux
• Persediaan Pelayan HTTP Kali
• Cara mengambil tangkapan skrin di Kali Linux
• Menguasai Gelung Skrip Bash
• Cara Mencari Alat Hacking Tambahan Di Kali