WIRESHARK - Tutorialul usor - Filtre

Wireshark Filtre
Ultima Actualizare: Mar 16 2008




Tool
Tutorial
Ergonomy
Forum



Detalii Ce este Wireshark?
Capturi de ecran
Conditii esentiale
Instalare
Lansare Wireshark
Platforma
Filtre
Statistici

Romanian translation by Catalin Bivolaru.



⚠️⚠️⚠️
Please check our page about COVID-19!!
100 Questions and answers about Coronavirus.

⚠️⚠️⚠️
Merci de consulter notre page sur la COVID-19 !!
227 questions et réponses sur le Coronavirus.


Dupa cum ai vazut in primul tutorial Wireshark, este extrem de usor sa instalezi si sa pornesti Wireshark pentru a analiza reteaua.

O problema foarte comuna apare cand lansezi Wireshark cu setarile initiale; va aparea pe ecran o sumedenie de informatii in care nu vei gasi informatia dorita.
Prea multe informatii omoara informarea.

Din aceasta cauza filtrele sunt atat de importante, ele ne vor ajuta sa fixam, in loguri organizate datele pe care le cautam.

-

-
 
Capture filters: Folosit pentru a inregistra datele in loguri. Acestea sunt definite inainte a inceperii capturii.
Display filters: Folosit pentru cautarea in interiorul logurilor capturate. Pot fi modificate in timp ce datele sunt capturate.
Deci, ar trebui sa folosesc filtrele de captura sau de afisare?

Punctele tari ale celor doua filtre sunt diferite.
Filtrul de captura este folosit pentru a limita marimea de date capturate pentru a preveni generarea de loguri foarte mari.
Filtrul de afisare este mult mai puternic(si complex); permite sa cauti exact datele pe care le doresti.

Sintaxa celor doua dipuri de filtre este complet diferita.O voi prezenta in paginile care urmeaza:



                       1. FILTRELE DE CAPTURA            2. FILTRELE DE AFISARE



1. FILTRELE DE CAPTURA

Sintaxa filtrelor de captura este asemanatoare cu cea a folosita de de libraria Lipcap(Linux) sau Winpcap(Windows) la fel ca cea a faimosului TCPdump. Filtrul de captura trebuie setat inainte de a porni captura, in cazul filtrelor de afisare nu este nevoie acestea putand fi setate si in timpul capturii.

Pasii pentru a configura filtrele de capura sunt:
- select capture -> options.
- Completeaza campul "capture filter" sau click pe butonul "capture filter" pentru a oferi numele filturlui tau care va fi folosit pentru capturile urmatoare.
- Click pe Start pentru a captura date.

wireshark capture options

wireshark capture options

Syntax:
Protocol
Directie
Host(uri)
Valoare
Operatii logice
Alte expresii
Example:
tcp
dst
10.1.1.1
80
and
tcp dst 10.2.2.2 3128
Protocol:
Valori: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.
Daca nu este specificat nici un protocol toate acestea vor fi folosite.

Directie::
Valori: src, dst, src and dst, src or dst
Daca nu este specificata nici o sursa sau destinatie sunt aplicate cuvintele "src or dst" .
De examplu, "host 10.2.2.2" este echivalent cu "src or dst host 10.2.2.2". Host(uri)::
Valori: net, port, host, portrange.
Daca nici un host(uri) nu este specificat va fi folosit cuvantul "host" .
De exemplu, "src 10.1.1.1" este echivalent cu "src host 10.1.1.1".

Operatii logice::
Valori: not, and, or.
Negatie ("not") are cea mai mare precedenta. Alternarea ("or") si concatenarea ("and") au o precedenta egala si asociata de la stanga la dreapta.
De exemplu,
"not tcp port 3128 and tcp port 23" este echivalent cu "(not tcp port 3128) and tcp port 23".
"not tcp port 3128 and tcp port 23" NU este echivalent cu"not (tcp port 3128 and tcp port 23)".



Exemple:

tcp dst port 3128
Afiseaza pechetele cu destinatia TCP porutl 3128.

ip src host 10.1.1.1
Afiseaza pachetele cu IP-ul sursei egal cu 10.1.1.1.

host 10.1.2.3
Afiseaza pachetele cu IP-ul sursei sau destinatiei egal cu 10.1.2.3.

src portrange 2000-2500
Afiseaza pachetele cu sursa UDP sau TCP si cu portul din rangul 2000-2500.

not imcp
Afiseaza orice in afara de pachetele icmp. (icmp este de obicei folosit de unealta ping)

src host 10.7.2.12 and not dst net 10.200.0.0/16
Afiseaza pachetele cu adresa IP a sursei egala cu 10.7.2.12 si in acelasi timp care nu sunt egale cu adresa IP 10.200.0.0/16.

(src host 10.4.1.12 or src net 10.6.0.0/16) and tcp dst portrange 200-10000 and dst net 10.0.0.0/8
Afiseaza pachetele cu adresa IP a sursei 10.4.1.12 sau sursa retelei 10.6.0.0/16, acest rezultat este concatenat cu pachetele care au destinatia TCP si rangul porului intre 200 la 1000 precum si IP-ul retelei 10.0.0.0/8.



Note:

semnul backslash "\" este folosit cand un cuvant este folosit drept valoare.
"ether proto \ip" (este echivalent cu "ip").
Acesta va avea ca tinta protocoalele IP.

"ip proto \icmp" (este echivalent cu "icmp").
Acesta va avea ca tinta pachetele icmp care sunt folosite de obicei de utilitarul ping.

Cuvintele "multicast" si "broadcast" pot fi de asemenea folosite dupa "ip" saur "ether".
"no broadcast" este folositor cand vrei sa excuzi cererile broadcast.



Verifica pagina de manual a TCPdump pentru mai multe informatii despre sintaxa filtrelor de caputra.
Alte exemple de filtre de faptura pot fi gasite la site-ul Wiki Wireshark.

Inceputul paginii



2. FILTRElE DE AFISARE:

Filtrele de afisare sunt folosite pentru cautarea in datele capturate cu un filtru de captura.
Capabilitatile lui de cautare si mai extinse nu fac necesara restartarea capturii cand doresti sa schimbi filtrul.

Syntax: Protocol.
Sir 1
.
Sir 2
Operator de comparare
Valoare
Operatii logice
Alte expresii
Example:
ftp
passive
ip
==
10.2.3.4
xor
icmp.type
Protocol:

Un numar mare de protocoale, localizate intre straturile doi si sapte ale modelului OSI, sunt disponibile. Le poti vedea cand apesi pe butonul "Expression..." din ecranul principal.
Cateva exemple ar fi: IP,TCP,DNS,SSH

wireshark filter expression

wireshark filter expression

Protocoalele suportate precum si o mica descriere poate fi consultata dupa cum este indicat mai jos:

wireshark supported protocols

wireshark supported protocols

Site-ul Wireshark vine cu explicarea protocoalelor si a subcategoriilor lor.

Sir1, Sir2 (Optiuni suplimentare):

Categorii sub protocol in protocol.
Pentru a le gasi, uita-te dupa un protocol si apasa click pe caracterul "+".

wireshark filter expression

Operatori de comparare::

Sunt disponibili sase operatori:

Formatul englezesc:  formatul asemanator cu Ct:  Semnificatie:
eq 
== 
Egal
ne
!=
Diferit
gt
>
Mai mare ca
lt
<
Mai mic ca
ge
>=
Mai mare sau agal
le
<=
Mai mic sau egal
Operatii logice::

Formatul englezesc:  formatul asemanator cu Ct:   Semnificatie:
and
&&
SI logic
or
||
SAU logic
xor
^^
XOR logic
not
!
NU logic
Expresia logica "XOR", bine cunoscuta de programatori, este folosita pentru o alternare exclusiva. Cand este folosita intre doua conditii intr-un filtru, rezultatul va fi afisat pe ecran doar daca una din cele doua conditii este adevarata nu ca la expresia "OR".
Sa luam un exemplu cu urmatorul filtru de afisare:
"tcp.dstport 80 xor tcp.dstport 1025"
Doar pachetele cu destinatia TCP si portul 80 sau TCP si portul sursa 1025(dar nu amandoua!) vor fi afisate pe ecran ca rezultate.



Examplu:

snmp || dns || icmpAfiseaza traficul SNMP sau DNS sau ICMP.
ip.addr == 10.1.1.1
Afiseaza pachetele cu adresa IP a sursrsei sau destinatiei egala cu 10.1.1.1.

ip.src != 10.1.2.3 or ip.dst != 10.4.5.6
Afiseaza pachetele cu IP-ul sursei diferit de 10.1.2.3 sau cu IP-ul destinatiei diferit de 10.4.5.6
Cu alte cuvinte, pachetele afisate vor avea:
Adresa IP a sursei: orice dar 10.1.2.3 , IP-ul destinatiei: orice
si
IP-ul sursei:orice,IP-ul destinatiei:orice dar 10.4.5.6

ip.src != 10.1.2.3 and ip.dst != 10.4.5.6
Afiseaza pachetele cu IP-ul sursei diferit de 10.1.2.3 si in acelasi timp cu IP-ul destinatiei diferit de 10.4.5.6
Cu alte cuvinte, pachetele afisate vor avea:
Adresa IP a sursei: orice dar 10.1.2.3 si IP-ul destinatiei: orice dar 10.3.4.5.6

tcp.port == 25 Afiseaza pachetele sursei TCP sau portul de destinatie 25.
tcp.dstport == 25Afiseaza pachetele cu destinatia TCP si portul 25.
tcp.flagsAfiseaza pachetele TCP care au steaguri.
tcp.flags.syn == 0x02Afiseaza pachetele TCP cu steagul SYN.
Daca sintaxa filtrului este corecta va fi subliniata cu verde, altfel, daca exista vre-o eroare va fi subliniata cu rosu.

wireshark display filter exampleSintaxa corecta
wireshark display filter example Sintaxa gresita
Informatii suplimentare despre filtrele de afisare pot fi gasite pe siteul oficial Wireshark sau pe Wiki-ul Wireshark.


Inceputul paginii