แผ่นโกง Wireshark

โหมดสำส่อน

ตั้งค่าอินเทอร์เฟซเพื่อจับแพ็คเก็ตทั้งหมดในส่วนเครือข่ายที่เกี่ยวข้อง

โหมดจอภาพ

ตั้งค่าอินเทอร์เฟซไร้สายเพื่อรับส่งข้อมูลทั้งหมดที่สามารถรับได้ (Unix / Linux เท่านั้น)

ตัวกรองการจับภาพ

กรองแพ็กเก็ตระหว่างการดักจับ

แสดงตัวกรอง

ซ่อนแพ็คเก็ตจากจอแสดงผลการจับภาพ

วากยสัมพันธ์

มาตรการ

ทิศทาง

เจ้าภาพ

ราคา

ตัวดำเนินการเชิงตรรกะ

การแสดงออก

ตัวอย่าง

TCP

src

192.168.1.1

80

และ

tcp dst 202.164.30.1

วากยสัมพันธ์

มาตรการ

สตริง 1

สตริง 2

ผู้ประกอบการเปรียบเทียบ

ราคา

ผู้ประกอบการตรรกะ

การแสดงออก

ตัวอย่าง

http

ปลายทาง

IP

==

192.168.1.1

และ

พอร์ต tcp

อีเธอร์, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp และ udp

ผู้ประกอบการ

ลักษณะ

ตัวอย่าง

eq หรือ ==

เท่ากัน

ip.dest == 192.168.1.1

หรือ! =

ไม่เท่ากับ

ip.dest! = 192.168.1.1

gt หรือ >

มากกว่า

frame.len > 10

lt หรือ <

น้อยกว่า

frame.len <10

ge หรือ >=

มากกว่าหรือเท่ากับ

frame.len >= 10

หรือ <=

น้อยกว่าหรือเท่ากับ

frame.len<= 10

Slice Operator

[…] – ช่วงของค่า

ผู้ประกอบการเป็นสมาชิก

{} – ใน

CTRL + E –

เริ่ม / หยุดการจับภาพ

ผู้ประกอบการ

ลักษณะ

ตัวอย่าง

และหรือ &&

ตรรกะและ

เงื่อนไขทั้งหมดควรตรงกับ

หรือหรือ ||

ตรรกะหรือ

ควรตรงกับเงื่อนไขทั้งหมดหรืออย่างใดอย่างหนึ่ง

xor หรือ ^^

ตรรกะ XOR

การสลับพิเศษ – หนึ่งในสองเงื่อนไขเท่านั้นที่ควรจะตรงกัน

ไม่หรือ !

ไม่ (ปฏิเสธ)

ไม่เท่ากับ

[n] […]

ตัวดำเนินการซับสตริง

กรองคำหรือข้อความเฉพาะ

ไม่.

หมายเลขเฟรมจากจุดเริ่มต้นของการจับแพ็คเก็ต

เวลา

วินาทีจากเฟรมแรก

แหล่งที่มา (src)

ที่อยู่ต้นทางโดยทั่วไปคือที่อยู่ IPv4, IPv6 หรือ Ethernet

ปลายทาง (dst)

ที่อยู่ปลายทาง

มาตรการ

โปรโตคอลที่ใช้ในเฟรม Ethernet, แพ็คเก็ต IP หรือส่วน TCP

ความยาว

ความยาวของเฟรมเป็นไบต์

คันเร่ง

ลักษณะ

คันเร่ง

ลักษณะ

Tab หรือ Shift + Tab

ย้ายไปมาระหว่างองค์ประกอบหน้าจอเช่น จากแถบเครื่องมือไปยังรายการแพ็กเก็ตจนถึงรายละเอียดแพ็กเก็ต.

Alt+→ หรือตัวเลือก+→

ย้ายไปที่แพ็กเก็ตถัดไปในประวัติการเลือก.

↓

ย้ายไปที่แพ็กเก็ตหรือรายการรายละเอียดถัดไป.

→

ในรายละเอียดแพ็คเก็ตเปิดรายการต้นไม้ที่เลือก.

↑

ย้ายไปที่แพ็กเก็ตหรือรายการรายละเอียดก่อนหน้า.

เปลี่ยน+→

ในรายละเอียดแพ็คเก็ตเปิดรายการต้นไม้ที่เลือกและ subtrees ทั้งหมดของมัน.

Ctrl+ ↓ หรือ F8

ย้ายไปที่แพ็กเก็ตถัดไปแม้ว่ารายการแพ็กเก็ตจะไม่ได้รับการโฟกัส.

Ctrl+→

ในรายละเอียดแพ็คเก็ตเปิดรายการต้นไม้ทั้งหมด.

Ctrl+ ↑ หรือ F7

ย้ายไปที่แพ็กเก็ตก่อนหน้าแม้ว่ารายการแพ็กเก็ตจะไม่ได้รับการโฟกัส.

Ctrl+←

ในรายละเอียดแพ็คเก็ตปิดรายการต้นไม้ทั้งหมด.

Ctrl+.

ย้ายไปที่แพคเก็ตถัดไปของการสนทนา (TCP, UDP หรือ IP).

Backspace

ในรายละเอียดแพ็กเก็ตข้ามไปที่โหนดพาเรนต์.

Ctrl+,

ย้ายไปที่แพ็กเก็ตก่อนหน้าของการสนทนา (TCP, UDP หรือ IP).

ส่งคืนหรือป้อน

ในรายละเอียดแพ็คเก็ตสลับรายการต้นไม้ที่เลือก.

การใช้

ไวยากรณ์ตัวกรอง

Wireshark กรองตาม IP

ip.addr == 10.10.50.1

กรองตาม IP ปลายทาง

ip.dest == 10.10.50.1

กรองตาม IP ต้นทาง

ip.src == 10.10.50.1

กรองตามช่วง IP

ip.addr >= 10.10.50.1 และ ip.addr <= 10.10.50.100

กรองตาม Multiple Ips

ip.addr == 10.10.50.1 และ ip.addr == 10.10.50.100

กรองที่อยู่ IP

!(ip.addr == 10.10.50.1)

ตัวกรองเครือข่ายย่อย

ip.addr == 10.10.50.1/24

กรองตามพอร์ต

tcp.port == 25

กรองตามพอร์ตปลายทาง

tcp.dstport == 23

กรองตามที่อยู่ IP และพอร์ต

ip.addr == 10.10.50.1 และ Tcp.port == 25

กรองตาม URL

http.host ==“ ชื่อโฮสต์”

กรองตามการประทับเวลา

frame.time >=“ 02 มิถุนายน [year] 18:04:00”

กรองการตั้งค่าสถานะ SYN

tcp.flags.syn == 1

tcp.flags.syn == 1 และ tcp.flags.ack == 0

Wireshark Beacon Filter

wlan.fc.type_subtype = 0x08

Wireshark ออกอากาศตัวกรอง

eth.dst == ff: ff: ff: ff: ff: ff

ตัวกรอง WiresharkMulticast

(eth.dst [0] & 1)

ตัวกรองชื่อโฮสต์

ip.host = ชื่อโฮสต์

ตัวกรองที่อยู่ MAC

eth.addr == 00: 70: f4: 23: 18: c4

ตัวกรองธง RST

tcp.flags.reset == 1

ไอคอนแถบเครื่องมือ

รายการแถบเครื่องมือ

รายการเมนู

ลักษณะ

เริ่มต้น

จับภาพ→เริ่ม

ใช้ตัวเลือกการจับแพ็คเก็ตเช่นเดียวกับเซสชันก่อนหน้าหรือใช้ค่าเริ่มต้นหากไม่มีการตั้งค่าตัวเลือกไว้

หยุด

จับภาพ→หยุด

หยุดการจับภาพที่ใช้งานอยู่ในปัจจุบัน

เริ่มต้นใหม่

จับภาพ→รีสตาร์ท

รีสตาร์ทเซสชันการดักจับที่ใช้งานอยู่

ตัวเลือก…

ตัวเลือก→ตัวเลือก …

เปิดกล่องโต้ตอบ“ ตัวเลือกการจับภาพ”

เปิด…

ไฟล์→เปิด …

เปิด "เปิดไฟล์" กล่องโต้ตอบเพื่อโหลดการจับภาพเพื่อดู

บันทึกเป็น…

ไฟล์→บันทึกเป็น …

บันทึกไฟล์บันทึกปัจจุบัน

ปิด

ไฟล์→ปิด

ปิดไฟล์บันทึกปัจจุบัน

โหลด

ดู→โหลดซ้ำ

โหลดไฟล์จับภาพปัจจุบันอีกครั้ง

ค้นหาแพ็คเก็ต …

แก้ไข→ค้นหาแพ็คเก็ต …

ค้นหาแพ็กเก็ตตามเกณฑ์ที่แตกต่างกัน

กลับไป

ไป→กลับไป

ย้อนกลับไปในประวัติศาสตร์แพ็กเก็ต

ไปข้างหน้า

ไป→ไปข้างหน้า

ข้ามไปข้างหน้าในประวัติแพ็กเก็ต

ไปที่แพ็คเก็ต …

ไป→ไปที่แพ็คเก็ต …

ไปที่แพ็กเก็ตเฉพาะ

ไปที่แพ็คเก็ตแรก

ไป→แพ็คเก็ตแรก

ข้ามไปที่แพ็คเก็ตแรกของไฟล์จับภาพ

ไปที่แพ็คเก็ตล่าสุด

ไป→แพ็คเก็ตล่าสุด

ข้ามไปที่แพ็คเก็ตสุดท้ายของไฟล์ดักจับ

เลื่อนอัตโนมัติในการจับภาพสด

ดู→เลื่อนอัตโนมัติในการบันทึกสด

รายการแพ็กเก็ตเลื่อนอัตโนมัติระหว่างการบันทึกสด

Colorize

ดู→ทำสี

ทำให้รายการของแพ็กเก็ตเป็นสี (หรือไม่)

ขยายเข้า

ดู→ซูมเข้า

ซูมเข้าไปในข้อมูลแพ็คเก็ต (เพิ่มขนาดตัวอักษร)

ซูมออก

ดู→ย่อ

ซูมออกจากข้อมูลแพ็คเก็ต (ลดขนาดตัวอักษร)

ขนาดปกติ

ดู→ขนาดปกติ

ตั้งระดับการซูมกลับไปที่ 100%

ปรับขนาดคอลัมน์

ดู→ปรับขนาดคอลัมน์

ปรับขนาดคอลัมน์ดังนั้นเนื้อหาจึงเหมาะกับความกว้าง