wireshark 3.x: анализ кода под macos и обзор ошибок

Что такое Wireshark

Сия утилита предназначена для контроля интернет трафика. Она перехватывает TCP пакеты, которые были приняты компьютером или посланы с него. Функционал программы настолько богат, что простым перехватом дело не ограничивается. Можно просматривать содержимое пакетов, искать ошибки и так далее. Кроме того, с помощью WS можно вытащить из пакетов практически любой файл и просмотреть его. Чтобы лучше понять, что это за программа, нужно выделить ее основные преимущества. Итак, плюсы:

  • кроссплатформенность (есть версии для Linux, Mac, Unix);
  • утилита совершенно бесплатна;
  • обладает широким функционалом;
  • гибкость настройки;
  • возможность фильтрации трафика;
  • создание собственных фильтров;
  • перехват пакетов в реальном времени.

Преимуществ у данной утилиты действительно много. А вот недостатков как таковых нет вообще. Недаром Wireshark считается лучшей в своем роде для захвата и анализа TCP пакетов. Теперь нужно немного разобраться в самой программе.

Further Information

  • Filtering while capturing from the Wireshark User’s Guide.

  • For the current version of Wireshark, 1.8.6, and for earlier 1.8.x releases, the capture filter dialog box is no longer available in the capture options window. Instead, you need to double-click on the interface listed in the capture options window in order to bring up the «Edit Interface Settings» window. At the bottom of this window you can enter your capture filter string or select a saved capture filter from the list, by clicking on the «Capture Filter» button.
  • The pcap-filter man page includes a comprehensive capture filter reference

  • The Mike Horn Tutorial gives a good introduction to capture filters

  • Capture and display filter Cheat sheets

  • packetlevel.ch Filter examples

Examples

Capture only traffic to or from IP address 172.18.5.4:

host 172.18.5.4

Capture traffic to or from a range of IP addresses:

net 192.168.0.0/24

or

net 192.168.0.0 mask 255.255.255.0

Capture traffic from a range of IP addresses:

src net 192.168.0.0/24

or

src net 192.168.0.0 mask 255.255.255.0

Capture traffic to a range of IP addresses:

dst net 192.168.0.0/24

or

dst net 192.168.0.0 mask 255.255.255.0

Capture only DNS (port 53) traffic:

port 53

Capture non-HTTP and non-SMTP traffic on your server (both are equivalent):

host www.example.com and not (port 80 or port 25)
host www.example.com and not port 80 and not port 25

Capture except all ARP and DNS traffic:

port not 53 and not arp

Capture traffic within a range of ports

(tcp > 1500 and tcp 1500 and tcp

or, with newer versions of libpcap (0.9.1 and later):

tcp portrange 1501-1549

Capture only Ethernet type EAPOL:

ether proto 0x888e

Reject ethernet frames towards the Link Layer Discovery Protocol Multicast group:

not ether dst 01:80:c2:00:00:0e

Capture only IPv4 traffic — the shortest filter, but sometimes very useful to get rid of lower layer protocols like ARP and STP:

ip

Capture only unicast traffic — useful to get rid of noise on the network if you only want to see traffic to and from your machine, not, for example, broadcast and multicast announcements:

not broadcast and not multicast

Capture IPv6 «all nodes» (router and neighbor advertisement) traffic. Can be used to find rogue RAs:

dst host ff02::1

Capture HTTP GET requests. This looks for the bytes ‘G’, ‘E’, ‘T’, and ‘ ‘ (hex values 47, 45, 54, and 20) just after the TCP header. «tcp & 0xf0) >> 2» figures out the TCP header length. From Jefferson Ogata via the tcpdump-workers mailing list.

port 80 and tcp & 0xf0) >> 2):4] = 0x47455420

Default Capture Filters

Wireshark tries to determine if it’s running remotely (e.g. via SSH or Remote Desktop), and if so sets a default capture filter that should block out the remote session traffic. It does this by checking environment variables in the following order:

Environment Variable

Resultant Filter

SSH_CONNECTION

not (tcp port srcport and addr_family host srchost and tcp port dstport and addr_family host dsthost)

SSH_CLIENT

not (tcp port srcport and addr_family host srchost and tcp port dstport)

REMOTEHOST

not addr_family host host

DISPLAY

not addr_family host host

CLIENTNAME

not tcp port 3389

(addr_family will either be «ip» or «ip6»)

Какие основные фильтры существуют для отображения трафика?

Wireshark фильтр по протоколу

Достаточно в строке фильтра ввести название протокола и нажать ввод. На экране останутся пакеты, которые относятся к искомому протоколу. Таким образом, фильтр выглядит:

http

Если буфер захвата необходимо отфильтровать по нескольким протоколам, то необходимо перечислить все желаемые протоколы и разделить их знаком ||. Например:

arp || http || icmp

Wireshark фильтр по IP адресу и фильтр по MAC

В зависимости от направления трафика фильтр будет немного отличаться. Например, мы хотим отфильтровать по IP адресу отправителя 50.116.24.50:

ip.src==10.0.10.163

По получателю фильтр будет выглядеть ip.dst == x.x.x.x, а если хотим увидеть пакеты в независимости от направления трафика, то достаточно ввести:

ip.addr==50.116.24.50

В случае если нам необходимо исключить какой то адрес из поля отбора, то необходимо добавить != . Пример:

ip.src!=80.68.246.17

Если мы анализируем трафик внутри локальной сети и знаем MAC адрес пользователя, то можно указать в качестве фильтра Wireshark его MAC адрес, например:

eth.addr == AA:BB:CC:DD:EE:FF

Wireshark фильтр по номеру порта

При анализе трафика мы можем настроить фильтр по номеру порта, по которому осуществляет передачу трафика тот или иной протокол. Номера всех зарегистрированных портов можно узнать здесь. Пример:

ftp.port==21

Так же как и с адресами IP и MAС мы можем отдельно фильтровать по портам получения или отправления tcp.srcport и tcp.dstport. Кроме указания номеров портов Wireshark дает отличную возможность отфильтровать буфер по флагам в TCP протоколе. Например, если мы хотим увидеть TCP пакеты с флагом SYN (установление соединения между устройствами), то вводим в строке поиска:

tcp.flags.syn

Популярные фильтры

В таблице ниже приведены наиболее популярные фильтры для отображения содержимого буфера захвата:

Фильтр для отображения

Описание

Пример написания

eth.addr

MAC адрес отправителя или получателя

eth.addr == 00:1a:6b:ce:fc:bb

eth.src

MAC-адрес оправителя

eth.src == 00:1a:6b:ce:fc:bb

eth.dst

MAC-адрес получателя

eth.dst == 00:1a:6b:ce:fc:bb

arp.dst.hw_mac

Протокол ARP — MAC адрес получателя

arp.dst.hw_mac == 00:1a:6b:ce:fc:bb

arp.dst.proto_ipv4

Протокол ARP — IP адрес версии 4 получателя

arp.dst.proto_ipv4 == 10.10.10.10

arp.src.hw_mac

Протокол ARP — MAC адрес отправителя

arp.src.hw_mac == 00:1a:6b:ce:fc:bb

arp.src.proto_ipv4

Протокол ARP — IP адрес версии 4 отправителя

arp.src.proto_ipv4 == 10.10.10.10

vlan.id

Идентификатор VLAN

vlan.id == 16

ip.addr

IP адрес версии 4 получателя или отправителя

ip.addr == 10.10.10.10

ip.dst

IP адрес версии 4 получателя

ip.addr == 10.10.10.10

ip.src

IP адрес версии 4 отправителя

ip.src == 10.10.10.10

ip.proto

IP protocol (decimal)

ip.proto == 1

ipv6.addr

IP адрес версии 6 получателя или отправителя

ipv6.addr == 2001::5

ipv6.src

IP адрес версии 6 отправителя

ipv6.addr == 2001::5

ipv6.dst

IP адрес версии 6 получателя

ipv6.dst == 2001::5

tcp.port

TCP порт получателя или отправителя

tcp.port == 20

tcp.dstport

TCP порт получателя

tcp.dstport == 80

tcp.srcport

TCP порт отправителя

tcp.srcport == 60234

udp.port

UDP порт получателя или отправителя

udp.port == 513

udp.dstport

UDP порт получателя

udp.dstport == 513

udp.srcport

UDP порт отправителя

udp.srcport == 40000

vtp.vlan_.vlan_name

Имя VLAN

vtp.vlan_.vlan_name == TEST

bgp.originator_id

Идентификатор BGP (Адрес IPv4)

bgp.originator_id == 192.168.10.15

bgp.next_hop

Следующий хоп BGP (Адрес IPv4)

bgp.next_hop == 192.168.10.15

rip.ip

RIP IPv4 address

rip.ip == 200.0.2.0

ospf.advrouter

Идентификатор маршрутизатора по протоколу OSPF

ospf.advrouter == 192.168.170.8

eigrp.as

Номер автономной системы EIGRP

eigrp.as == 100

hsrp.virt_ip

Виртуальный IP адрес по протоколу HSRP

hsrp.virt_ip == 192.168.23.250

vrrp.ip_addr

Виртуальный IP адрес по протоколу VRRP

vrrp.ip_addr == 192.168.23.250

wlan.addr

MAC адрес отправителя или получателя Wi-Fi

wlan.addr == 00:1a:6b:ce:fc:bb

wlan.sa

MAC-адрес оправителя Wi-Fi

wlan.sa == 00:1a:6b:ce:fc:bb

wlan.da

MAC-адрес получателя Wi-Fi

wlan.da == 00:1a:6b:ce:fc:bb

А какие фильтры чаще всего используете в своей работе вы?

Всегда на связи, Игорь Панов

Ограничения WinPcap и Wi-Fi трафик в Wireshark

Ограничения захвата WiFi пакетов в Windows зависят от Winpcap, а не от самого Wireshark. Wireshark, однако, включает в себя поддержку Airpcap, специального WiFi сетевого адаптера, драйверы которого поддерживают мониторинг сетевого трафика в режиме мониторинга в Windows, что называется перехватом трафика в WiFi сети в беспорядочном режиме. Однако этот тип карт устарел и не может перехватывать трафик в сетях с новейшими стандартами WiFi (802.11ac).

Acrylic Wi-Fi является инновационной альтернативой для захвата сетевого трафика Wi-Fi в режиме монитора из Windows, включая новейшие стандарты 802.11ac.

Acrylic Wi-Fi Sniffer

Acrylic WiFi Sniffer также позволяет захватывать пакеты WiFi в режиме монитора с помощью Wireshark из Windows (в последних версиях Wireshark 3.0.0 или выше) и с помощью других продуктов Acrylic WiFi, таких как Heatmaps или Professional. Поскольку он был разработан как экономичная и легко конфигурируемая альтернатива конкретному оборудованию типа AirPCAP, он может восстанавливать все данные, доступные на картах этого типа, включая значения SNR, а также быть совместим с последними стандартами 802.11ac со всеми полосами пропускания (20, 40, 80 и 160 МГц).

Если вы хотите узнать больше о режимах захвата или ознакомиться с функциями, предоставляемыми этими двумя альтернативами в продуктах Acrylic Wi-Fi, вы можете посетить статью «Режим монитора и родной режим захвата в Acrylic Wi-Fi«.

Filtering Out (Excluding) Specific IP in Wireshark

Use the following display filter to show all packets that do not contain the specific IP in either the source or destination columns:

!(ip.addr == 192.168.2.11)

This expression translates to “pass all traffic except for traffic with a source IPv4 address of 192.168.2.11 or a destination IPv4 address of 192.168.2.11.”

Note the “!” in the filter expression. You might remember this from mathematics as a fancy way of illustrating “is not” or “not equal to.”

As you can see we now see only the packets in the Packet List Pane that do not include 192.168.2.11.

But what if we wanted to see only packets that originated from a specific source IP?

Использование фильтров Wireshark

Одним из наиболее важных наборов функций в Wireshark является возможность фильтрации, особенно когда вы имеете дело с файлами, имеющими значительный размер. Фильтры захвата можно установить перед фактом, указав Wireshark только запись тех пакетов, которые соответствуют вашим указанным критериям.

Фильтры также могут быть применены к уже созданному файлу захвата, чтобы были показаны только определенные пакеты. Они называются фильтрами отображения.

По умолчанию Wireshark предоставляет большое количество предопределенных фильтров, позволяя сузить количество видимых пакетов всего несколькими нажатиями клавиш или щелчками мыши. Чтобы использовать один из этих существующих фильтров, поместите свое имя в Применить фильтр отображения поле ввода, расположенное непосредственно под панелью инструментов Wireshark или в Введите фильтр захвата поле ввода, расположенное в центре экрана приветствия.

Существует несколько способов достижения этого. Если вы уже знаете имя своего фильтра, введите его в соответствующее поле. Например, если вы хотите отображать только TCP-пакеты, вы вводите ТСР, Функция автозаполнения Wireshark показывает предлагаемые имена при вводе текста, что упрощает поиск правильного прозвища для фильтра, который вы ищете.

Другой способ выбрать фильтр — щелкнуть значок закладки, расположенный в левой части поля ввода. Это представляет собой меню, содержащее некоторые из наиболее часто используемых фильтров, а также возможность Управление фильтрами захвата или же Управление отображаемыми фильтрами, Если вы решите управлять любым типом, появится интерфейс, позволяющий добавлять, удалять или редактировать фильтры.

Вы также можете получить доступ к ранее использованным фильтрам, выбрав стрелку вниз в правой части поля ввода, чтобы отобразить раскрывающийся список истории.

После установки фильтры захвата применяются, как только вы начинаете запись сетевого трафика. Чтобы применить фильтр отображения, нажмите кнопку со стрелкой в ​​правой части поля ввода.

Internet Layer Traffic

IPv4 Protocol Filtering

Show IP traffic (this includes TCP, UDP, as well as application layer protocols DNS, HTTP — that is, almost everything except the data link layer protocols that do not use IP addresses for data transmission (in local Ethernet networks they use MAC addresses)):

ip

More precisely, it means IPv4 traffic, which is usually called just IP (Internet Protocol).

Show traffic associated with a specific IP address (enter it instead of x.x.x.x). Packets will be shown in which this IP address is the source of the data OR the recipient:

ip.addr == x.x.x.x

Show traffic associated with these two IP addresses. According to the only possible situation, one of these addresses is the source, and the second is the destination address.

ip.addr == x.x.x.x && ip.addr == y.y.y.y

Show traffic originated from the host with the IP address 138.201.81.199:

ip.src == 138.201.81.199

Show traffic whose destination is the host with the IP address 138.201.81.199:

ip.dst == 138.201.81.199

Filter subnets and IP ranges in Wireshark

You can specify a subnet instead of a single IP address:

ip.addr == 192.168.1.0/24

Filtering traffic sent from a specific IP range. If you need to filter out traffic whose source is the subnet, then use a filter of the form:

ip.src == 192.168.1.0/24

Filtering traffic destined for sending to a specific IP range. If you need to filter traffic whose destination is a subnet, then use a filter of the form:

ip.dst == 192.168.1.0/24

Please note, IP protocol operates with IP addresses, but does not operate with ports. Ports are part of the TCP and UDP protocols. IP protocol is only responsible for routing traffic between nodes.

IPv6 Protocol Filtering

Show IPv6 (Internet Protocol Sixth Version) traffic:

ipv6

Filtering by IPv6 Address. To filter by IPv6 address, use the filter:

ipv6.addr == 2604:a880:800:c1::2ae:d001

Filtering Subnets and IPv6 Ranges in Wireshark

You can specify a subnet for filtering instead of a single IPv6 address:

ipv6.addr == 2604:a880:800:c1::2ae:d000/64

If you need to filter out traffic originating from a specific IPv6 address:

ipv6.src == 2604:a880:800:c1::2ae:d001

If you need to filter traffic sent to a specific IPv6 address:

ipv6.dst == 2604:a880:800:c1::2ae:d001

Filtering traffic sent from a specific IPv6 range. If you need to filter out traffic whose source is the subnet, then use a filter of the form:

ipv6.src == 2604:a880:800:c1::2ae:d000/64

Filtering traffic destined for sending to a specific IPv6 range. If you need to filter traffic whose destination is a subnet, then use a filter of the form:

ipv6.dst == 2604:a880:800:c1::2ae:d000/64

Filtering ICMPv6 (Internet Control Message Protocol of the sixth version) in Wireshark is done by the filter:

icmpv6

How to filter ARP packets for IPv6 in Wireshark? For IPv6, ARP is not required, since its role is played by the Neighbor Discovery Protocol (NDP) using ICPM6.

To see packets that act as ARP for IPv6, use a filter:

icmpv6.type == 133 or icmpv6.type == 134 or icmpv6.type == 135 or icmpv6.type == 136 or icmpv6.type == 137

Other filters with an IP address are similar for IPv6 and IPv4.

Capture Filter for Specific Subnet

This one is a little unique in that you can specifiy the filter using either the CIDR notation or the mask.

Use the following Capture Filters to capture only the packets that contain a specific subnet in the source or destination:

net 192.168.2.0/23

Or

net 192.168.2.0 mask 255.255.254.0

You can prepend this filter with src and dst to limit the capture to packets with addresses within the specified subnet that are in the source or destination respectively.

Recommended for You: Solarwinds Network Performance Monitor (NPM)


Do you know the health of your networking equipment? Know when something goes down before a user reports problems? Know where your bandwidth is going or where you’re losing your packets?

Automate data collection and alerting of your networking infrastructure with Solarwinds NPM so you know exactly what is going on in your network and can sleep easy.

Unlike other tools, NPM is ready to out of the box with most common makes and models of networking equipment. No messing around with custom templates, xml files, or code to extract important information.

Установка Wiredhark и первый запуск

Теперь давай запустим Wireshark и начнём с ним работать. Кстати в таких системах как Kali Linux и Parrot Security он уже предустановлен. А для винды и яблока его можно скачать на официальном сайте. Ну, а я буду использовать его на Parrot Security. Кстати есть мнение, в том числе разработчиков Wireshark, что использовать его на Windows — тот ещё тот мазохизм. Особенно для перехвата wi-fi трафика, во первых нужно устанавливать дополнительные драйвера — WinPcap. Но самая главная проблема в том, что режим мониторинга сетевого адаптера в Windows работает максимально криво.

Небольшое отступление. В этом гайде, в процессе использования Wireshark нас в первую очередь будет интересовать трафик передаваемый через беспроводные сети, причём желательно чужой трафик. Мы ведь тут собрались не для того чтоб неисправности в сети искать, правда? И ты правильно догадался (если догадался) что я плавно подвожу к режиму мониторинга wi-fi адаптера. Если ты забыл то он нужен чтобы видеть весь трафик, а не только предназначенный нашей сетевой карте. Включаем:

Ну а теперь точно можно запускать Wireshark. Это можно сделать из вкладки «Приложения», а можно из терминала:

сразу после запуска, нам предложат выбрать сетевой интерфейс для запуска захвата. Можем так и сделать. Или, если мы хотим поработать с ранее захваченным трафиком, сохраненным в файл, можем нажать File->Open и выбрать нужный файл.

Выбираем интересующий нас сетевой интерфейс (wlan0mon) и дважды давим на него.

Интерфейс Wireshark

Перед нами появится основное окно программы с которым мы будем проводить больше всего времени. И сразу начнут перехватываться данные. Пока что нажмём «Стоп» (красный квадратик в левом верхнем углу) и порассматриваем интерфейс программы.

Пройдёмся по интерфейсу сверху вниз:

  • В самом верху, под главным меню, находится панель с кнопками — это Main Toolbar. Здесь находятся основные элементы управления программой — старт/стоп и настройки захвата, открытие/закрытие файлов захвата, навигация по пакетам и управлением размером текста;
  • Сразу под ней находится — Filter Toolbar — здесь мы будем вписывать фильтры и операторы, но об этом чуть позже;
  • Ещё ниже находится — Packet List . Это таблица в которой отображаются все пакеты из текущей сессии перехвата или из открытого файла перехвата;
  • Под ним — Packet Details — здесь отображаются сведения о выбранном пакете (выбирать пакеты можно в Packet List);
  • И самое нижнее окошко — Packet Bytes. Здесь показаны исходные данные пакета в необработанном виде, т.е. в том виде, в каком пакет передаётся по сети. (Сейчас бы начать тебе про интерпретацию пакетов рассказывать, но это в другой раз)

Logical expressions

Tests can be combined using logical expressions. These too are expressible in C-like syntax or with English-like abbreviations:

Expressions can be grouped by parentheses as well. The following are all valid display filter expressions:

Remember that whenever a protocol or field name occurs in an expression, the «exists» operator is implicitly called. The «exists» operator has the highest priority. This means that the first filter expression must be read as «show me the packets for which tcp.port exists and equals 80, and ip.src exists and equals 192.168.2.1». The second filter expression means «show me the packets where not (llc exists)», or in other words «where llc does not exist» and hence will match all packets that do not contain the llc protocol. The third filter expression includes the constraint that offset 199 in the frame exists, in other words the length of the frame is at least 200.

A special caveat must be given regarding fields that occur more than once per packet. «ip.addr» occurs twice per IP packet, once for the source address, and once for the destination address. Likewise, «tr.rif.ring» fields can occur more than once per packet. The following two expressions are not equivalent:

The first filter says «show me packets where an ip.addr exists that does not equal 192.168.4.1». That is, as long as one ip.addr in the packet does not equal 192.168.4.1, the packet passes the display filter. The other ip.addr could equal 192.168.4.1 and the packet would still be displayed. The second filter says «don’t show me any packets that have an ip.addr field equal to 192.168.4.1». If one ip.addr is 192.168.4.1, the packet does not pass. If neither ip.addr field is 192.168.4.1, then the packet is displayed.

It is easy to think of the ‘ne’ and ‘eq’ operators as having an implicit «exists» modifier when dealing with multiply-recurring fields. «ip.addr ne 192.168.4.1» can be thought of as «there exists an ip.addr that does not equal 192.168.4.1». «not ip.addr eq 192.168.4.1» can be thought of as «there does not exist an ip.addr equal to 192.168.4.1».

Be careful with multiply-recurring fields; they can be confusing.

Care must also be taken when using the display filter to remove noise from the packet trace. If, for example, you want to filter out all IP multicast packets to address 224.1.2.3, then using:

may be too restrictive. Filtering with «ip.dst» selects only those IP packets that satisfy the rule. Any other packets, including all non-IP packets, will not be displayed. To display the non-IP packets as well, you can use one of the following two expressions:

The first filter uses «not ip» to include all non-IP packets and then lets «ip.dst ne 224.1.2.3» filter out the unwanted IP packets. The second filter has already been explained above where filtering with multiply occurring fields was discussed.

FILTER FIELD REFERENCE

The entire list of display filters is too large to list here. You can can find references and examples at the following locations:

  • The online Display Filter Reference: https://www.wireshark.org/docs/dfref/

  • View:Internals:Supported Protocols in Wireshark

  • on the command line

  • The Wireshark wiki: https://gitlab.com/wireshark/wireshark/-/wikis/DisplayFilters

NOTES

The wireshark-filters manpage is part of the Wireshark distribution. The latest version of Wireshark can be found at https://www.wireshark.org.

Regular expressions in the «matches» operator are provided by GRegex in GLib. See https://developer.gnome.org/glib/2.32/glib-regex-syntax.html or https://www.pcre.org/ for more information.

This manpage does not describe the capture filter syntax, which is different. See the manual page of pcap-filter(7) or, if that doesn’t exist, tcpdump(8), or, if that doesn’t exist, https://gitlab.com/wireshark/wireshark/-/wikis/CaptureFilters for a description of capture filters.

Display Filters are also described in the User’s Guide: https://www.wireshark.org/docs/wsug_html_chunked/ChWorkBuildDisplayFilterSection.html

Фильтры Wireshark

В беспроводной сети весь сетевой трафик, сформированный беспроводными клиентами, сосуществует в общих каналах. Это означает, что перехваченные пакеты в каком-нибудь одном канале могут содержать сетевой трафик от нескольких клиентов, а соответственно что бы находить интересующую информацию нужно научится отфильтровывать лишнюю. Поэтому, давай разберем наиболее часто применяемые фильтры при анализе беспроводных сетей:

Фильтрация по идентификатору

Wireshark собирает данные всех сетей находящихся в радиусе действия сетевого адаптера, поэтому наиболее логично первоначально отфильтровать трафик конкретной сети, которая нас интересует. Сделать это можно по имени беспроводной сети (SSID):

хотя наиболее корректно будет отфильтровать по bssid. BSSID — это идентификатор базового набора услуг (Basic Service Set Identifier). Он присваивается каждой точке и идентифицирует её, при этом он посылается в каждом беспроводном пакете управления и пакете данных из передающей точки доступа. BSSID записывается в заголовок пакета и это и есть MAC адрес нашей точки доступа. Посмотрев его в заголовке, можем создать фильтр чтобы видеть трафик проходящий только через нужную точку доступа:

Часто используемые фильтры Wireshark

Не менее полезным, в некоторых ситуациях будет отфильтровать трафик по используемому каналу связи:

Используя фильтр:

можно увидеть трафик передаваемый по протоколу ARP, это даст возможность понять какие устройства в данный момент подключены к локальной сети, увидеть их MAC и IP адреса.

Также довольно часто используются такие фильтры:

покажет отправленные dns-запросы, так можно узнать какие сайты посещал пользователь и какими онлайн-ресурсами пользовался.

отфильтрует трафик связанный с конкретным IP (где он был получателем или отправителем).

покажет tcp трафик, по такому же принципу можно отфильтровать трафик по любому другому протоколу, например udp или icmp.

Если мы видим, что соединение с сайтом не защищено т.е. происходит по протоколу http, это открывает перед нами большие возможности. Мы можем увидеть передаваемые данные, в том числе данные авторизации и данные форм, загружаемые и открываемые файлы, передаваемые и установленные cookie,

http отфильтровать http трафик
http.host == «адрес» показать запросы к определённому сайту
http.cookie http-запросы в которых передавались cookie
http.set_cookie запросы в которых были установлены cookie в браузер
http.content_type contains «image» поиск любых переданных изображений, можно конкретизировать заменив «image» на «jpeg» или другие.
http.authorization поиск запросов авторизации
http.request.uri contains «zip» поиск определённого типа файлов. zip — заменить на нужное

Кстати, что бы сохранить какой-нибудь найденный файл надо нажать на него правой кнопкой мыши в окне Packet Details и выбрать Export Packet Bytes и указать место куда его нужно сохранить:

Ну, что. Если ты дочитал до этого места, значит можешь смело утверждать, что у тебя уже есть базовые знания по Wireshark. И ты уже, в принципе, немало можешь понять из перехваченного трафика. Поэтому не забывай возвращаться к нам. Ведь в следующих уроках по это программе мы изучим синтаксис и операторы фильтров, разберемся как победить зашифрованный SSL/TLS трафик, разберемся с дешифраторами, более детально разберем некоторые сетевые протоколы и, конечно же, попрактикуемся в анализе сетевого трафика на конкретных примерах.

Твой Pulse.

Wireshark Filters For Beginners

Wireshark has a huge variety of different filters. And there is a huge documentation devoted to these filters. This documentation is not easy to understand. I have compiled the most interesting Wireshark Filters for me — for novice users this can become something like a reference for Wireshark filters. By the way, here in the comments you can share filters that you like — I will add them to this list.

Remember that Wireshark has display filters and capture filters. Here I consider the display filters that are entered in the main window of the program in the top field below the menu and icons of the main functions.

To fully understand the importance of filters and their meanings, it is necessary to understand how the network works.

Some filters are written here in a general form, and some are made as literal examples. Remember that in any case you can substitute your data, for example, change the port number to any one of your interest, and also do the same with the IP address, MAC address, time value, etc.