В одной из прошлых статей мы рассказывали как прослушать трафик и проанализировать с помощью программы Wireshark. Сложного в сборе трафика данной программой нет, но вот сделать анализ и найти необходимые нам параметры — это уже задача интереснее.

Сегодня вы расскажем как отфильтровать трафик, а именно через какие фильтры.

Для выставления фильтра в анализируемом дампе, вам необходимо в командную строку ввести команду фильтра. Как показано на рисунке ниже, я выбрал фильтрацию по протоколу ARP.

filter_arp

Здесь опубликую стандартный набор команд, для удобной фильтрации трафика.

Фильтр Description Синтаксис
tcp.port TCP порт получателя и отправителя tcp.port == 80
tcp.dstport TCP порт получателя tcp.dstport == 80
tcp.srcport TCP порт отправителя tcp.srcport == 60234
udp.port UDP порт получателя или отправителя udp.port == 765
udp.dstport UDP порт получателя udp.dstport == 775
udp.srcport UDP порт отправителя udp.srcport == 1028
eth.src MAC-адрес отправителя eth.src == 01:02:03:c1:c2:с3
eth.dst MAC-адрес получателя eth.dst == 01:02:03:c1:c2:с3
arp.dst.hw_mac Протокол ARP – MAC адрес получателя arp.dst.hw_mac == 01:02:03:c1:c2:с3
arp.dst.proto_ipv4 Протокол ARP – IP адрес версии 4 получателя arp.dst.proto_ipv4 == 192.168.0.1
arp.src.hw_mac Протокол ARP – MAC адрес отправителя arp.src.hw_mac == 01:02:03:c1:c2:с3
arp.src.proto_ipv4 Протокол ARP – IP адрес версии 4 отправителя arp.src.proto_ipv4 == 192.168.0.1
vlan.id Идентификатор VLAN vlan.id == 1
ip.addr IP адрес версии получателя или отправителя ip.addr == 192.168.0.1
ip.dst IP адрес версии получателя ip.addr == 192.168.0.1
ip.src IP адрес версии отправителя ip.src == 192.168.0.1
ip.proto IP protocol (decimal) ip.proto == 1
vtp.vlan_info.vlan_name Имя VLAN vtp.vlan_info.vlan_name == 1
eth.addr

wlan.addr

MAC адрес отправителя или получателя

MAC адрес отправителя или получателя Wi-Fi

eth.addr == 01:02:03:c1:c2:с3

wlan.addr == 01:02:03:c1:c2:с3

wlan.sa MAC-адрес оправителя Wi-Fi wlan.sa == 01:02:03:c1:c2:с3
wlan.da MAC-адрес получателя Wi-Fi wlan.da == 01:02:03:c1:c2:с3

Полный список команд вы можете найти на официальном сайте программы.

 

 

Добавить комментарий

Ваш адрес email не будет опубликован.

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.