Wireshark Cheat Sheet

Promiscuous режим

Задава интерфейс за улавяне на всички пакети от мрежов сегмент, към който е свързан

Режим на монитор

настройте безжичния интерфейс, за да улавя целия трафик, който може да получава (само Unix / Linux)

Филтър за улавяне

Филтрирайте пакетите по време на улавяне

Покажи филтър

Скриване на пакети от дисплей за заснемане

Синтаксис

протокол

посока

Силите

стойност

Логически оператор

изрази

пример

TCP

SRC

192.168.1.1

80

и

tcp dst 202.164.30.1

Синтаксис

протокол

Низ 1

Низ 2

Оператор за сравнение

стойност

логически оператор

изрази

пример

HTTP

Цел

IP

==

192.168.1.1

и

tcp порт

ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp и udp

Оператор

описание

пример

eq или ==

равен

ip.dest == 192.168.1.1

ne или! =

Не е равно

ip.dest! = 192.168.1.1

gt или >

По-голям от

frame.len > 10

lt или <

По-малко от

frame.len <10

ge или >=

По-голям или равен

frame.len >= 10

ле или <=

По-малко или равно

frame.len<= 10

Оператор на филийки

Членски оператор

{} - В

CTRL + E -

Старт / Спри заснемане

Оператор

описание

пример

и или &&

Логично И

Всички условия трябва да отговарят

или или ||

Логично ИЛИ

Всички или едно от условията трябва да съвпадат

xor или ^^

Логически XOR

изключително редуване - Само едно от двете условия трябва да отговаря на двете

не или !

НЕ (отрицание)

Не е равно на

[н] […]

Оператор на подреда

Филтрирайте конкретна дума или текст

Не.

Номер на кадъра от началото на заснемането на пакета

път

Секунди от първия кадър

Източник (src)

Източник адрес, обикновено IPv4, IPv6 или Ethernet адрес

Дестинация (dst)

Адрес на дестинацията

протокол

Протокол, използван в рамката на Ethernet, IP пакета или TCP сегмента

дължина

Дължина на рамката в байтове

ускорител

описание

ускорител

описание

Tab или Shift + Tab

Придвижвайте се между елементи на екрана, напр. от лентите с инструменти до списъка с пакети до подробности за пакета.

Alt+→ или Вариант+→

Преминаване към следващия пакет в историята на избора.

↓

Преминаване към следващия пакет или детайлен елемент.

→

В подробности за пакета отваря избрания елемент от дърво.

↑

Преминаване към предишния пакет или елемент с подробности.

изместване+→

В подробности за пакета отваря избрания елемент от дърво и всички негови подредове.

Ctrl+ ↓ или F8

Преминете към следващия пакет, дори ако списъкът с пакети не е фокусиран.

Ctrl+→

В детайла на пакета отваря всички елементи на дърво.

Ctrl+ ↑ или F7

Преминете към предишния пакет, дори ако списъкът с пакети не е фокусиран.

Ctrl+←

В детайла на пакета затваря всички елементи от дърво.

Ctrl+.

Преминаване към следващия пакет от разговора (TCP, UDP или IP).

Backspace

В детайла на пакета прескача към родителския възел.

Ctrl+,

Преминаване към предишния пакет от разговора (TCP, UDP или IP).

Върнете се или въведете

В подробности за пакета превключва избрания елемент от дърво.

употреба

Синтаксис на филтри

Wireshark Filter по IP

ip.addr == 10.10.50.1

Филтриране по IP назначение

ip.dest == 10.10.50.1

Филтриране по източник IP

ip.src == 10.10.50.1

Филтриране по IP обхват

ip.addr >= 10.10.50.1 и ip.addr <= 10.10.50.100

Филтрира се чрез няколко Ips

ip.addr == 10.10.50.1 и ip.addr == 10.10.50.100

Филтрирайте IP адреса

!(ip.addr == 10.10.50.1)

Филтриране на подмрежата

ip.addr == 10.10.50.1/24

Филтриране по порт

tcp.port == 25

Филтриране по порт на местоназначение

tcp.dstport == 23

Филтрирайте по ip адрес и порт

ip.addr == 10.10.50.1 и Tcp.port == 25

Филтриране по URL

http.host == „име на хост“

Филтрира се по печат на времето

frame.time >= „02 юни 2019 г. 18:04:00“

Филтър SYN флаг

tcp.flags.syn == 1

tcp.flags.syn == 1 и tcp.flags.ack == 0

Wireshark Beacon Filter

wlan.fc.type_subtype = 0x08

Wireshark филтър за излъчване

eth.dst == ff: ff: ff: ff: ff: ff

WiresharkMulticast филтър

(Eth.dst [0] & 1)

Филтър за име на хост

ip.host = име на хост

MAC адрес филтър

eth.addr == 00: 70: f4: 23: 18: c4

RST филтър

tcp.flags.reset == 1

Икона на лентата с инструменти

Елемент от лентата с инструменти

Елемент от менюто

описание

начало

Заснемане → Старт

Използва същите опции за заснемане на пакет като предишната сесия или използва по подразбиране, ако не са зададени опции

Спри се

Заснемане → Спри

В момента спира активното заснемане

Рестартирам

Заснемане → Рестартиране

Започва активна сесия за заснемане

Настроики…

Заснемане → Опции ...

Отваря диалоговия прозорец „Опции за заснемане“

Open ...

Файл → Отваряне ...

отваря "Файлът е отворен" диалогов прозорец за зареждане на снимка за гледане

Запази като…

Файл → Запазване като…

Запазване на текущия файл за заснемане

Близо

Файл → Затвори

Затворете текущия файл за заснемане

Презареждане

Преглед → Презареждане

Презарежда текущия файл за заснемане

Намери пакет ...

Редактиране → Намиране на пакет ...

Намерете пакет въз основа на различни критерии

Върни се

Върнете се → Върнете се назад

Назад в историята на пакетите

Върви напред

Отидете → Отидете напред

Направо напред в историята на пакетите

Отидете на Packet ...

Отидете → Отидете на пакет ...

Отидете на конкретен пакет

Отидете на първия пакет

Отидете → Първи пакет

Преминете към първия пакет от файла за заснемане

Отидете до последния пакет

Отидете → Последен пакет

Преминете към последния пакет от файла за заснемане

Автоматично превъртане в Live Capture

Преглед → Автоматично превъртане в Live Capture

Автоматично превъртане на списъка с пакети по време на улавяне на живо

Оцветете

Изглед → Оцветяване

Оцветяване на списъка с пакети (или не)

Увеличавам

Преглед → Увеличаване

Мащабиране на пакетните данни (увеличете размера на шрифта)

Отдалечавам

Преглед → Намаляване

Намаляване на пакетните данни (намалете размера на шрифта)

Нормален размер

Преглед → Нормален размер

Задаване на нивото на увеличение обратно на 100%

Преоразмеряване на колоните

Преглед → Преоразмеряване на колоните

Преоразмерете колоните, така че съдържанието да пасва на ширината