(K) Wireshark”

Filtrowanie ruchu sieciowego:

Filtrowanie ruchu na podstawie protokołów

Serach> ip.proto eq ID

Filtruje ruch sieciowy w poszukiwaniu pakietów określonego protokołu.

Serach> bootp

Filtruje ruch sieciowy w poszukiwaniu wszelkich wiadomości protokołu DHCP.

Serach> icmp

Filtruje ruch sieciowy w poszukiwaniu wszelkich wiadomości ICMP.

Serach> cdp

Filtruje ruch sieciowy w poszukiwaniu wszelkich wiadomości protokołu CDP.

Serach> hsrp

Filtruje ruch sieciowy w poszukiwaniu wszelkich wiadomości protokołu HSRP.

Filtrowanie ruchu na podstawie adresów IP

Serach> ip.src==adres-IP

Wyświetla cały ruch z określonym adresem źródłowym.

Serach> ip.dst==adres-IP

Wyświetla cały ruch z określonym adresem docelowym.

Serach> ip.addr==adres-IP

Wyświetla cały ruch z określonym adresem IPv4.

Serach> ipv6.addr==adres-IP

Wyświetla cały ruch z określonym adresem IPv6.

Filtrowanie protokołu EIGRP

Serach> (eigrp.opcode == 5) && (eigrp.ack == 0)

Wyświetla wiadomości powitalne (Hello).

Serach> eigrp.stub_flags

Wyświetla wiadomości powitalne (Hello), propagowane przez rutery Stub.

Serach> eigrp.opcode == 1

Wyświetla zarówno pełne (Full) jak i częściowe (Partial), wiadomości aktualizacyjne (Update).

Serach> (eigrp.opcode == 1) && !(ip.dst == 224.0.0.10)

Wyświetla pełne (Full), wiadomości aktualizacyjne (Update).

Serach> (eigrp.opcode == 1) && (ip.dst == 224.0.0.10)

Wyświetla częściowe (Partial), wiadomości aktualizacyjne (Update).

Serach> (eigrp.opcode == 1) && (expert.message == „Destination unreachable”)

Wyświetla wiadomości aktualizacyjne (Update), zawierające trasy „poison reverse”.

Serach> (eigrp.opcode == 5) && !(eigrp.ack == 0)

Wyświetla wiadomości Acknowledge.

Serach> eigrp.opcode == 3

Wyświetla wiadomości Query.

Serach> eigrp.opcode == 4

Wyświetla wiadomości Replay.

Przykładowe filtru ruchu sieciowego

Serach> eth.addr[0:3]==00:06:5B

Wyświetla adresy MAC przypisane przez firmę DELL.

Wyrażenie wykorzystywane podczas filtracji:

Operacje logiczne

Serach> wyrażenie1 and wyrażenie2

Wyświetla wyrażenie pierwsze i drugie.

Serach> wyrażenie1 or wyrażenie2

Wyświetla wyrażenie pierwsze bądź drugie.

Serach> tcp.port eq port

Wyświetla ruch kierowany na dany port TCP.

Wyrażenia filtrujące

Serach> tcp.port operator-logiczny port

Wyświetla ruch kierowany na dany port TCP.

Filtrowanie ruchu na podstawie adresu IP

Serach> host adres-IP

Wyświetla ruch sieciowy zawierający wskazany adres IP, jako adres docelowy / źródłowy.

Serach> net adres-IP/prefix

Wyświetla ruch sieciowy zawarty we wskazanej sieci.
PDFPRINT

Robert T Kucharski

Cisco Network Engineer in GPW.

Dodaj komentarz