Filterpakete in Wireshark unter Kali Linux
- 3541
- 799
- Levke Harnapp
Einführung
Mit der Filterung können Sie sich auf die genauen Datensätze konzentrieren, an denen Sie interessiert sind. Wie Sie gesehen haben, sammelt Wireshark alles standardmäßig. Das kann den spezifischen Daten, die Sie suchen, im Wege stehen. Wireshark bietet zwei leistungsstarke Filterwerkzeuge, um die genauen Daten zu erreichen, die Sie einfach und schmerzlos benötigen.
Es gibt zwei Möglichkeiten, wie Wireshark Pakete filtern kann. Es kann nur bestimmte Pakete filtern, oder die Paketergebnisse können nach der Sammlung gefiltert werden. Natürlich können diese in Verbindung miteinander verwendet werden, und ihre jeweilige Nützlichkeit hängt davon ab, welche und wie viel Daten gesammelt werden.
Boolesche Ausdrücke und Vergleichsbetreiber
Wireshark hat viele eingebaute Filter, die einfach großartig funktionieren. Geben Sie in einem der Filterfelder an, und Sie sehen sie automatisch. Die meisten entsprechen den häufigsten Unterschieden, die ein Benutzer zwischen den Paketen treffen würde. Das Filtern von nur HTTP -Anfragen wäre ein gutes Beispiel.
Wireshark verwendet für alles andere boolesche Ausdrücke und/oder Vergleichsbetreiber. Wenn Sie jemals eine Programmierung durchgeführt haben, sollten Sie mit booleschen Ausdrücken vertraut sein. Sie sind Ausdrücke, die "und," oder "oder" nicht "verwenden, um die Wahrhaftigkeit einer Aussage oder eines Ausdrucks zu überprüfen. Vergleichsbetreiber sind viel einfacher. Sie bestimmen nur, ob zwei oder mehr Dinge gleich, größer oder weniger als einander sind.
Filtererfassung
Bevor Sie zu Custom Capture -Filtern eintauchen, sehen Sie sich die bereits eingebaute Wireshark an. Klicken Sie im oberen Menü auf die Registerkarte "Capture" und gehen Sie zu "Optionen".Unter den verfügbaren Schnittstellen befindet sich die Zeile, in der Sie Ihre Erfassungsfilter schreiben können. Direkt links befindet sich eine Taste mit dem Bezeichnung „Erfassungsfilter.Klicken. Schauen Sie sich um und sehen Sie, was da ist.
Am unteren Rand dieser Box befindet sich eine kleine Form zum Erstellen und Speichern von HEW -Erfassungsfiltern. Drücken Sie die "neue" Taste links. Es wird ein neuer Erfassungsfilter erstellt, der mit Füllstoffdaten besiedelt ist. Um den neuen Filter zu speichern, ersetzen Sie einfach den Füllstoff durch den gewünschten Namen und den tatsächlichen Ausdruck und klicken Sie auf „OK“.Der Filter wird gespeichert und angewendet. Mit diesem Tool können Sie mehrere verschiedene Filter schreiben und speichern und sie in Zukunft wieder verwenden.
Capture hat seine eigene Syntax für die Filterung. Zum Vergleich lässt es ein Symbol aus und gleich Symbol und verwendet >
Und für größere und weniger als. Für Booleschen stützt es sich auf die Worte "und" "oder" und "nicht" nicht.”
Wenn Sie beispielsweise nur den Datenverkehr auf Port 80 anhören wollten, können Sie wie folgt verwenden: Port 80
. Wenn Sie nur Port 80 von einer bestimmten IP anhören wollten, würden Sie das hinzufügen. Port 80 und Host 192.168.1.20
Wie Sie sehen können, verfügen Erfassungsfilter über bestimmte Schlüsselwörter. Diese Schlüsselwörter werden verwendet, um Wireshark zu sagen, wie sie Pakete überwachen und welche sie sich ansehen sollen. Zum Beispiel, Gastgeber
wird verwendet, um den gesamten Verkehr von einer IP zu betrachten. src
wird verwendet, um den von dieser IP stammenden Verkehr zu betrachten. dst
Im Gegensatz dazu beobachtet nur Uhren eingehender Verkehr zu einer IP. Um den Verkehr auf einer Reihe von IPs oder einem Netzwerk zu beobachten, verwenden Sie Netz
.
Filterergebnisse
Die untere Menüleiste in Ihrem Layout ist diejenige, die den Filterergebnissen gewidmet ist. Dieser Filter ändert nicht die Daten, die Wireshark gesammelt hat. Er ermöglicht es Ihnen nur, sie einfacher zu sortieren. Es gibt ein Textfeld zum Eingeben eines neuen Filterausdrucks mit einem Dropdown -Pfeil, um zuvor eingegebene Filter zu überprüfen. Daneben befindet sich ein Knopf mit dem Ausdruck und einigen anderen zum Löschen und Speichern Ihres aktuellen Ausdrucks.
Klicken Sie auf die Schaltfläche "Ausdruck". Sie werden ein kleines Fenster mit mehreren Kisten mit Optionen sehen. Links ist die größte Box mit einer riesigen Liste von Artikeln mit jeweils zusätzlich zusammengebrochenen Unterlisten. Dies sind alle verschiedenen Protokolle, Felder und Informationen. Es gibt keine Möglichkeit, all das durchzugehen, also ist das Beste, sich umzusehen. Sie sollten einige bekannte Optionen wie HTTP, SSL und TCP bemerken.
Die Unterlisten enthalten die verschiedenen Teile und Methoden, nach denen Sie filtern können. Hier finden Sie die Methoden zur Filterung von HTTP -Anfragen durch Get and Post.
Sie können auch eine Liste von Operatoren in den mittleren Boxen sehen. Durch Auswählen von Elementen aus jeder Spalte können Sie dieses Fenster verwenden, um Filter zu erstellen, ohne jedes Element auswendig zu lernen, das Wireshark nach filtern kann.
Für die Filterergebnisse verwenden Vergleichsbetreiber einen bestimmten Satz von Symbolen. ==
bestimmt, ob zwei Dinge gleich sind. >
bestimmt, ob eine Sache größer ist als eine andere, <
findet, wenn etwas weniger ist. > =
Und <=
sind für größer als oder gleich und weniger als oder gleich zu. Sie können verwendet werden, um festzustellen, ob Pakete die richtigen Werte oder Filter nach Größe enthalten. Ein Beispiel für die Verwendung ==
So filtern Sie nur HTTP -Anfragen wie folgt: http.Anfrage.Methode == "Get"
.
Boolesche Operatoren können kleinere Ausdrücke zusammenketten, um basierend auf mehreren Bedingungen zu bewerten. Anstelle von Wörtern wie bei Capture verwenden sie drei grundlegende Symbole, um dies zu tun. &&
steht für "und."Bei Verwendung beide Aussagen auf beiden Seiten von &&
Muss wahr sein, damit Wireshark diese Pakete filtert. ||
bedeutet "oder." Mit ||
Solange der beiden Ausdruck wahr ist, wird er gefiltert. Wenn Sie nach allen Anfragen gesucht haben, könnten Sie verwenden ||
so was: (http.Anfrage.Methode == "get") || (http.Anfrage.Methode == "Post")
. !
ist der "nicht" Operator. Es wird nach allem suchen, außer dem, was angegeben ist. Zum Beispiel, !http
wird Ihnen alles außer HTTP -Anfragen geben.
Gedanken schließen
Durch das Filtern von Wireshark können Sie Ihren Netzwerkverkehr effizient überwachen. Es dauert einige Zeit, um sich mit den verfügbaren Optionen vertraut zu machen und sich an die leistungsstarken Ausdrücke zu gewöhnen, die Sie mit Filtern erstellen können. Sobald Sie dies jedoch getan haben, können Sie die Netzwerkdaten, nach denen Sie suchen, schnell sammeln und finden.
Verwandte Linux -Tutorials:
- Wie man Kali Linux und Windows 10 Dual -Boot -Start hat
- Liste der besten Kali -Linux -Tools für Penetrationstests und…
- Dinge zu installieren auf Ubuntu 20.04
- So installieren Sie Kali Linux in VMware
- Dinge zu tun nach der Installation Ubuntu 20.04 fokale Fossa Linux
- Eine Einführung in Linux -Automatisierung, Tools und Techniken
- Kali HTTP Server Setup
- Wie man einen Screenshot auf Kali Linux macht
- Mastering -Bash -Skriptschleifen beherrschen
- So suchen Sie nach zusätzlichen Hacking -Tools auf Kali
- « So laden Sie fehlende Firmware von abnehmbaren Medien während der Installation von Debian Linux
- Einführung in NMAP auf Kali Linux »