Шпаргалка Wireshark

Неразборчивый режим

Устанавливает интерфейс для захвата всех пакетов в сегменте сети, с которым он связан

Режим монитора

настроить беспроводной интерфейс для захвата всего трафика, который он может получить (только для Unix / Linux)

Фильтр захвата

Фильтровать пакеты во время захвата

Фильтр дисплея

Скрыть пакеты с экрана захвата

Синтаксис

протокол

направление

хостов

значение

Логический оператор

Выражения

пример

ТСР

ЦСИ

192.168.1.1

80

и

tcp dst 202.164.30.1

Синтаксис

протокол

Строка 1

Строка 2

Оператор сравнения

значение

логический оператор

Выражения

пример

HTTP

Dest

IP

==

192.168.1.1

и

порт TCP

ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp и udp

оператор

Описание

пример

экв или ==

равных

ip.dest == 192.168.1.1

ne или! =

Не равный

ip.dest! = 192.168.1.1

GT или >

Больше чем

frame.len > 10

или <

Меньше, чем

frame.len <10

или >знак равно

Больше или равно

frame.len >= 10

ле или <знак равно

Меньше или равно

frame.len<= 10

Оператор среза

[…] – Диапазон значений

Членство оператора

{} – В

CTRL + E –

Начать / остановить захват

оператор

Описание

пример

и или &&

Логическое И

Все условия должны соответствовать

или или ||

Логическое ИЛИ

Либо все, либо одно из условий должно совпадать

xor или ^^

Логический XOR

исключительное чередование – только одно из двух условий должно соответствовать не обоим

нет или !

NOT (Отрицание)

Не равно

[n] […]

Оператор подстроки

Фильтровать определенное слово или текст

нет.

Номер кадра с начала захвата пакета

Время

Секунды с первого кадра

Источник (источник)

Адрес источника, обычно адрес IPv4, IPv6 или Ethernet

Пункт назначения (дст)

Адрес назначения

протокол

Протокол, используемый в кадре Ethernet, пакете IP или сегменте TCP

длина

Длина кадра в байтах

ускоритель

Описание

ускоритель

Описание

Tab или Shift + Tab

Перемещение между элементами экрана, например, от панелей инструментов до списка пакетов до деталей пакета.

Alt+→ или вариант+→

Перейти к следующему пакету в истории выбора.

↓

Перейти к следующему пакету или элементу сведений.

→

В деталях пакета открывается выбранный элемент дерева.

↑

Перейти к предыдущему пакету или элементу сведений.

сдвиг+→

В деталях пакета открывает выбранный элемент дерева и все его поддеревья.

Ctrl+ ↓ или F8

Перейти к следующему пакету, даже если список пакетов не сфокусирован.

Ctrl+→

В пакете подробно открывает все элементы дерева.

Ctrl+ ↑ или F7

Перейти к предыдущему пакету, даже если список пакетов не сфокусирован.

Ctrl+←

В пакете подробно закрывает все элементы дерева.

Ctrl+.

Перейти к следующему пакету разговора (TCP, UDP или IP).

возврат на одну позицию

В деталях пакета переходит на родительский узел.

Ctrl+,

Перейти к предыдущему пакету разговора (TCP, UDP или IP).

Возврат или Ввод

В деталях пакета переключает выбранный элемент дерева.

использование

Синтаксис фильтра

Wireshark Фильтр по IP

ip.addr == 10.10.50.1

Фильтр по IP-адресу назначения

ip.dest == 10.10.50.1

Фильтр по исходному IP

ip.src == 10.10.50.1

Фильтр по диапазону IP

ip.addr >= 10.10.50.1 и ip.addr <= 10.10.50.100

Фильтровать по нескольким Ips

ip.addr == 10.10.50.1 и ip.addr == 10.10.50.100

Отфильтровать IP-адрес

!(ip.addr == 10.10.50.1)

Подсеть фильтра

ip.addr == 10.10.50.1/24

Фильтр по порту

tcp.port == 25

Фильтр по порту назначения

tcp.dstport == 23

Фильтр по IP-адресу и порту

ip.addr == 10.10.50.1 и Tcp.port == 25

Фильтровать по URL

http.host == «имя хоста»

Фильтровать по отметке времени

frame.time >= «02 июня [year] 18:04:00»

Флаг фильтра SYN

tcp.flags.syn == 1

tcp.flags.syn == 1 и tcp.flags.ack == 0

Wireshark Beacon Filter

wlan.fc.type_subtype = 0x08

Трансляционный фильтр Wireshark

eth.dst == фф: фф: фф: фф: фф: фф

WiresharkMulticast фильтр

(Eth.dst [0] & 1)

Фильтр имени хоста

ip.host = имя хоста

Фильтр MAC-адресов

eth.addr == 00: 70: f4: 23: 18: c4

Фильтр флага RST

tcp.flags.reset == 1

Значок панели инструментов

Элемент панели инструментов

Пункт меню

Описание

Начало

Захват → Старт

Используются те же параметры захвата пакетов, что и в предыдущем сеансе, или используются значения по умолчанию, если параметры не были установлены

Стоп

Захват → Стоп

Останавливает текущий активный захват

Начать сначала

Захват → Перезагрузка

Перезапускает активный сеанс захвата

Параметры…

Захват → Настройки…

Открывает диалоговое окно «Параметры захвата»

Открыто…

Файл → Открыть…

Открытие "Файл открыт" диалоговое окно для загрузки захвата для просмотра

Сохранить как…

Файл → Сохранить как…

Сохранить текущий файл захвата

близко

Файл → Закрыть

Закрыть текущий файл захвата

Reload

Вид → Перезагрузить

Перезагрузка текущего файла захвата

Найти пакет …

Изменить → Найти пакет…

Найти пакет на основе разных критериев

Возвращаться

Перейти → Вернуться назад

Вернитесь в историю пакетов

Иди вперед

Go → Go Forward

Перейти вперед в истории пакетов

Перейти к пакету …

Перейти → Перейти к пакету …

Перейти к конкретному пакету

Перейти к первому пакету

Перейти → Первый пакет

Перейти к первому пакету файла захвата

Перейти к последнему пакету

Перейти → Последний пакет

Перейти к последнему пакету файла захвата

Автопрокрутка в режиме реального времени

Вид → Автопрокрутка в режиме реального времени

Автоматическая прокрутка списка пакетов во время захвата в реальном времени

Раскрасить

Вид → Раскрасить

Раскрасить список пакетов (или нет)

Приблизить

Вид → Увеличить

Увеличьте данные пакета (увеличьте размер шрифта)

Уменьшить

Вид → Уменьшить

Уменьшить данные пакета (уменьшить размер шрифта)

Нормальный размер

Вид → Нормальный размер

Установите уровень масштабирования обратно на 100%

Изменить размер столбцов

Вид → Изменить размер столбцов

Изменение размера столбцов, чтобы содержимое соответствовало ширине