Home :

• Home
• Contact
• Readme
• Thanks
• Translations
• History
• References
• Statistics
• About us

Tutorials :

• Analyzing
• 
• Wireshark
• Ettercap
• Snort & BASE
• Snort_Inline & BASE
• 
• Monitoring
• 
• Cacti
• PHP Weathermap
• 
• Logging
• 
• Php-syslog-ng
• Rancid
• Ipplan
• 
• Routing
• 
• Vyatta
• Quagga
• 
• VPN
• 
• OpenVPN
• 
• Telephony
• 
• Trixbox
• 
• Link Emulation
• 
• WANem

Other :

• Open Source
• MySQL

Networking :

• Interfaces
• Ping
• TCPdump
• Netstat
• Iperf
• CDP

OS :

• Linux ;
• Windows ;
• 
• Debian ;
• Ubuntu ;
• 
• APT Tools
• CheckInstall
• Minicom

Php Scripts :

• World Time
• Menu

Warning: include(../adsense1.htm): Failed to open stream: No such file or directory in /home/clients/2092070cc529a092f88d8480f1925281/web/pl/lookxp.htm on line 370

Warning: include(): Failed opening '../adsense1.htm' for inclusion (include_path='.:/opt/php8.1/lib/php') in /home/clients/2092070cc529a092f88d8480f1925281/web/pl/lookxp.htm on line 370

Wireshark Filtres
Ostatnia aktualizacja: Mar 16 2008

---

Outil
Tutorial
Ergonomie
Forum


Szczegóły Co to jest Wireshark?
Zrzuty ekranu
Wymagania
Instalacja
Uruchamianie WireShark
Platforma
Filtry
Statystyki

Polish Translation by Łukasz Nowatkowski

---

⚠️⚠️⚠️
Please check our website about
attractions in Western Switzerland !! (Please use english translation).

⚠️⚠️⚠️
Merci de consulter notre site sur les
activités à faire en Suisse romande !!

---

Jak widzimy, Wireshark instaluje i uruchamia się bardzo łatwo.

Bardzo częstym problemem podczas uruchamiania Wireshark z jego ustawieniami domyślnymi jest wyświetlana zbyt duża liczba informacji na ekranie i trudno jest wówczas odnaleźć potrzebne nam informacje.
Za dużo informacji zabija informacje.

Dlatego filtry są tak ważne. Pomagają nam wyświetlać informację, które nas interesują.

- -	Filtry przechwytywania: Używane do wyboru zapisywanych w logach. Są definiowane zanim rozpocznie się przechwytywanie. Filtry wyświetlania: Używane do wyszukiwania informacji wewnątrz przechwyconych już danych. Mogą być modyfikowane kiedy informacje zostały już przechwycone.

Więc, czy powinienem używać filtrów przechwytywania czy wyświetlania?

Przeznaczenie dwóch filtrów jest różne.
Filtry przechwytywania używane są jako filtry minimalizujące rozmiar przechwyconych danych, zapobiegając tworzeniu za dużych plików logów.
Filtry wyświetlania są mocniejsze (kompleksowe) i pozwalają wyszukiwać dokładnie tych informacji (danych), które są przez nas pożądane.

Składnie obu filtrów różnią się od siebie. Przedstawione zostaną poniżej:

---

                       1. FILTRY PRZECHWYTYWANIA            2. FFILTRY WYŚWIETLANIA

---

1. FILTRY PRZECHWYTYWANIA

Składnia filtrów przechwytywania jest taka sama jak w przypadku programów używających biblioteki Lipcap (Linux) lub Winpcap (Windows, jak znany TCPdump). Filtry przechwytywania muszą być zdefiniowane zanim przechwytywanie zostanie rozpoczęte. W przypadku filtrów wyświetlana jest inaczej - one mogą być zmieniane później i w każdym momencie podczas zrzucania.

Kolejne kroki umożliwiające konfigurację filtrów przechwytywania, poniżej:
- select capture -> options.
- Wypełnij pole "capture filter" lub kliknij w przycisk "capture filter" aby nadać nazwę dla filtra aby użyć go również w późniejszych przechwytywaniach.
- Kliknij w Start aby rozpocząć przechwytywanie danych.

Składnia:

Protocol

Direction

Host(s)

Value

Logical Operations

Other expression

Przykład:

tcp

dst

10.1.1.1

80

and

tcp dst 10.2.2.2 3128

Protocol (Protokół):
Wartości: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
Jeśli nic nie zostanie zdefiniowane, użyte zostaną wszystkie występujące.

Direction (Kierunek):
Wartości: src, dst, src and dst, src or dst
Jeśli nie zdefiniowane jest źródło lub przeznaczenie, zostanie zastosowane "src or dst".
Np.: "host 10.2.2.2" jest tożsame z "src or dst host 10.2.2.2".

Host(s) (Maszyna główna):
Valeurs: net, port, host, portrange
Si aucun hôte n'est spécifié, le mot clef "host" est utilisé.
Par exemple, "src 10.1.1.1" est équivalent à "src host 10.1.1.1".

Logical Operations (Operacje logiczne):
Wartości: not, and, or.
Negacja [Logiczne "nie"] ("not") ma najwyższą wartość. Następstwo [Logiczne "lub"] ("or") oraz powiązanie [logiczne "i"] ("and") są równe sobie i łączą się z lewej do prawej.
Np.:
"not tcp port 3128 and tcp port 23" jest tożsame z "(not tcp port 3128) and tcp port 23".
"not tcp port 3128 and tcp port 23" jest różne od "not (tcp port 3128 and tcp port 23)".

---

Przykłady:

tcp dst port 3128

Wyświetla pakiety przesyłane do portu TCP 3128.

ip src host 10.1.1.1

Wyświetla pakiety z źródłowego adresu IP 10.1.1.1.

host 10.1.2.3

wyświetla pakiety z źródłowego lub docelowego adresu IP 10.1.2.3.

src portrange 2000-2500

Wyświetla pakiety z źródłowych portów UDP lub TCP o zakresie 2000-2500.

not imcp

Wyświetla wszystko za wyjątkiem pakietów icmp (icmp jest typowo używany przez polecenie 'ping')

src host 10.7.2.12 and not dst net 10.200.0.0/16

Wyświetla pakiety ze źródłowego adresu IP 10.7.2.12, które nie są przeznaczone dla sieci IP 10.200.0.0/16.

(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8

Wyświetla adresu ze źródłowego adresu IP 10.4.1.12 lub sieci 10.6.0.0/16, koncentrując się na pakietach przeznaczonych dla portów TCP 200 do 10000 i docelowej sieci IP 10.0.0.0/8.

---

Uwagi:

Znak "\" jest używany jeśli słowo kluczowe użyte jest jako wartość.
"ether proto \ip" (jest tożsame z "ip").
To będzie celem protokołów IP.

"ip proto \icmp" (jest tożsame z "icmp").
To będzie celem dla pakietów icmp używanych przez ping.

Wartość "multicast" i "broadcast" mogą być używane po "ip" lub "ether".
"no broadcast" jest przydatne wówczas gdy chcemy wykluczyć zapytania broadcastowe.

---

Sprawdź Stronę manuala TCPdump w celu uzyskania informacji dotyczących składni filtrów przechwytywania.
Inne przykłady znajdziesz na stronie Wiki Wireshark.

Na początek strony

---

2. FILTRY WYŚWIETLANIA:

Filtry wyświetlania służą do wyszukiwania danych wewnątrz zrzuconych z pomocą filtrów przechwytywania pakietów.
Możliwości tych filtrów są znacznie rozszerzone niż wcześniejszych. Definiując je nie musimy uruchamiać ponownie przechwytywania.

Składnia:

Protocol

.

String 1

.

String 2

Comparison operator

Value

Logical Operations

Other expression

Przykład:

ftp

passive

ip

==

10.2.3.4

xor

icmp.type

Protocol (Protokół):

Dostępna jest duża liczba protokołów zlokalizowana jest pomiędzy warstwami 2 i 7 modelu OSI. Widoczne są one jeśli wybierzemy przycisk "Expression..." w oknie głównym.
Przykładami są: IP,TCP,DNS,SSH





Wspierane protokoły z małym opisem mogą być sprawdzone, jak poniżej:





Stona projektu Wireshark wyjaśnia znaczenie protokołów i ich podkategorii.

String1, String2 (Ustawienia opcjonalne):

Kategorie podprotokołów wewnątrz protokołu.
W celu ich znalezienia należy rozwiąć właściwości protokołu klikając w "+".



Comparison operators (Porównanie operatorów): :

Dostępne jest porównanie sześciu:

Format angielski:	Format w stylu C:	Znaczenie:
eq	==	Jest równe (equal)
ne	!=	Nie jest równe (Not Equal)
gt	>	Większe od (Greater than)
lt	<	Mniejsze od (Less than)
ge	>=	Większe lib równe (Greater or equal)
le	<=	Mniejsze lub równe (Less or equal)

Logical expressions (Wyrażenia logiczne):

Format angielski:	Format w stylu C:	Znaczenie:
and	&&	Logical AND (Logiczne "I")
or	||	Logical OR (Logiczne "LUB")
xor	^^	Logical XOR (Logiczne "XOR")
not	!	Logical NOT (Logiczne zaprzeczenie)

Logiczne "XOR", dobrze znane programistom. Użyte pomiędzy dwoma warunkami filtra daje wynik tylko wtedy gdy jeden z dwóch warunków jest spełniony ale nie dwa jak wyrażenie "LUB".
Przykład zastosowania filtra wyświetlania:
"tcp.dstport 80 xor tcp.dstport 1025"
Tylko pakiety TCP docelowe na port 80 lub TCP źródłowy port 1025 (ale nie obydwa!) będą wyświetlane na ekranie jako wynik.

---

Przykłady:

snmp || dns || icmp

Wyświetla ruch SNMP lub DNS lub ICMP.

ip.addr == 10.1.1.1

Wyświetla pakiety pasujące do adresu źródłowego lub docelowego równego 10.1.1.1.

ip.src != 10.1.2.3 or ip.dst != 10.4.5.6

Wyświetla pakiety o adresie źródłowym IP różnym od 10.1.2.3 lub adresie docelowym IP różnym od 10.4.5.6.
Innymi słowy - wyświetlone pakiety posiadają:
Adres źródłowy: wszystko ale 10.1.2.3, docelowy adres: wszystko
i
Adres źródłowy: wszystko, adres docelowy: wszystko ale 10.4.5.6

ip.src != 10.1.2.3 and ip.dst != 10.4.5.6

Wyświetla pakiety z adresem żródłowym różnym od 10.1.2.3 i w tym samym czasie z adresem docelowym różnym od 10.4.5.6
Innymi słowy - wyświetlone pakiety posiadają:
Adres źródłowy: wszystko ale 10.1.2.3 i adres docelowy: wszystko ale 10.4.5.6

tcp.port == 25

Wyświetla pakiety docierające lub wychodzące z portu 25.

tcp.dstport == 25

Wyświetla pakiety TCP z portem docelowym 25.

tcp.flags

Wyświetla pakiety zawierające flagę TCP.

tcp.flags.syn == 0x02

Wyświetla pakiety z flagą TCP SYN.

Jeśli skladni filtra jest poprawna, będzie ona podświetlona na zielono, w przeciwnym razie, jeśli będzie błędna, będzie podświetlona na czerwono.

	Prawidłowa składnia
	Błędna składnia

Dodatkowe informacje dotyczące filtrów można znaeźć na oficjalnej stronie Wireshark lub na stronie Wiki.


Na początek strony