В одной из прошлых статей мы рассказывали как прослушать трафик и проанализировать с помощью программы Wireshark. Сложного в сборе трафика данной программой нет, но вот сделать анализ и найти необходимые нам параметры — это уже задача интереснее.
Сегодня вы расскажем как отфильтровать трафик, а именно через какие фильтры.
Для выставления фильтра в анализируемом дампе, вам необходимо в командную строку ввести команду фильтра. Как показано на рисунке ниже, я выбрал фильтрацию по протоколу ARP.
Здесь опубликую стандартный набор команд, для удобной фильтрации трафика.
| Фильтр | Description | Синтаксис |
| tcp.port | TCP порт получателя и отправителя | tcp.port == 80 |
| tcp.dstport | TCP порт получателя | tcp.dstport == 80 |
| tcp.srcport | TCP порт отправителя | tcp.srcport == 60234 |
| udp.port | UDP порт получателя или отправителя | udp.port == 765 |
| udp.dstport | UDP порт получателя | udp.dstport == 775 |
| udp.srcport | UDP порт отправителя | udp.srcport == 1028 |
| eth.src | MAC-адрес отправителя | eth.src == 01:02:03:c1:c2:с3 |
| eth.dst | MAC-адрес получателя | eth.dst == 01:02:03:c1:c2:с3 |
| arp.dst.hw_mac | Протокол ARP – MAC адрес получателя | arp.dst.hw_mac == 01:02:03:c1:c2:с3 |
| arp.dst.proto_ipv4 | Протокол ARP – IP адрес версии 4 получателя | arp.dst.proto_ipv4 == 192.168.0.1 |
| arp.src.hw_mac | Протокол ARP – MAC адрес отправителя | arp.src.hw_mac == 01:02:03:c1:c2:с3 |
| arp.src.proto_ipv4 | Протокол ARP – IP адрес версии 4 отправителя | arp.src.proto_ipv4 == 192.168.0.1 |
| vlan.id | Идентификатор VLAN | vlan.id == 1 |
| ip.addr | IP адрес версии получателя или отправителя | ip.addr == 192.168.0.1 |
| ip.dst | IP адрес версии получателя | ip.addr == 192.168.0.1 |
| ip.src | IP адрес версии отправителя | ip.src == 192.168.0.1 |
| ip.proto | IP protocol (decimal) | ip.proto == 1 |
| vtp.vlan_info.vlan_name | Имя VLAN | vtp.vlan_info.vlan_name == 1 |
| eth.addr
wlan.addr |
MAC адрес отправителя или получателя
MAC адрес отправителя или получателя Wi-Fi |
eth.addr == 01:02:03:c1:c2:с3
wlan.addr == 01:02:03:c1:c2:с3 |
| wlan.sa | MAC-адрес оправителя Wi-Fi | wlan.sa == 01:02:03:c1:c2:с3 |
| wlan.da | MAC-адрес получателя Wi-Fi | wlan.da == 01:02:03:c1:c2:с3 |
Полный список команд вы можете найти на официальном сайте программы.