वायरशार्क अनुप्रयोग रहदारी. वायरशार्क: लिनक्स आणि विंडोजसाठी रहदारी विश्लेषण. वायरशार्कची प्रमुख वैशिष्ट्ये

एक टिप्पणी द्या 6,950

वायरशार्क: कसे वापरावे?

नमस्कार मित्रांनो! या लेखात मी तुम्हाला वापरताना सर्वात आवश्यक गोष्टी समजावून सांगण्याचा प्रयत्न करेन लिनक्स वर वायरशार्क, आणि तीन प्रकारच्या नेटवर्क रहदारीचे विश्लेषण दर्शवा. हे ट्यूटोरियल वायरशार्कला विंडोज अंतर्गत काम करण्यासाठी देखील लागू आहे.

जर तुम्ही माहितीच्या सुरक्षेसाठी नवीन असाल आणि तुम्हाला स्निफर (ट्रॅफिक अॅनालायझर) म्हणजे काय हे चांगले समजले असेल, तर मी तुम्हाला लेख वाचण्याचा सल्ला देतो आणि त्यानंतरच वायरशार्क कसा वापरायचा हा लेख वाचा.

अतिशय लोकप्रिय आणि अत्यंत कुशल नेटवर्क प्रोटोकॉल विश्लेषकगेराल्ड कॉम्ब्सने जून 2006 मध्ये वायरशार्क विकसित केला जेव्हा कॉम्ब्सने ईथेरियल नेटवर्किंग टूलचे नाव बदलले कारण त्याने नोकरी बदलली आणि आता जुने नाव वापरू शकत नाही. आज बहुतेक लोक वायरशार्क वापरतात आणि इथरिअल हा इतिहास आहे.

वायरशार्क: सर्वोत्तम स्निफर

तुम्ही कदाचित विचारत असाल की वायरशार्क इतर नेटवर्क विश्लेषकांपेक्षा कसा वेगळा आहे - विनामूल्य असण्याव्यतिरिक्त - आणि आम्ही पॅकेट कॅप्चरसाठी tcpdump चा प्रचार का करत नाही?

वायरशार्कचा मुख्य फायदा म्हणजे तो ग्राफिकल अॅप्लिकेशन आहे. वापरकर्ता इंटरफेसमध्ये डेटा गोळा करणे आणि नेटवर्क रहदारीचे निरीक्षण करणे खूप सोपे आहे, कारण ते तुम्हाला जटिल नेटवर्क डेटा हाताळण्याची परवानगी देते.

मी वायरशार्क कसे वापरू?

वायरशार्क समजून घेण्यासाठी नवशिक्यासाठी, त्याला नेटवर्क रहदारी समजून घेणे आवश्यक आहे. तसे असल्यास, या लेखाचा उद्देश तुम्हाला TCP/IP च्या मूलभूत गोष्टी शिकवणे हा आहे जेणेकरुन तुम्ही विश्लेषण करत असलेल्या नेटवर्क रहदारीवरून तुम्ही योग्य निष्कर्ष काढू शकाल.

TCP पॅकेट आणि IP पॅकेट स्वरूप.

जर तुम्ही नियमित वापरकर्ता म्हणून वायरशार्क चालवत असाल, तर नेटवर्क इंटरफेसमध्ये उपलब्ध असलेल्या डीफॉल्ट युनिक्स फाइल परवानग्यांमुळे तुम्ही डेटा गोळा करण्यासाठी नेटवर्क इंटरफेस वापरू शकणार नाही. डेटा गोळा करताना वायरशार्क रूट (सुडो वायरशार्क) म्हणून आणि डेटा विश्लेषणासाठी नियमित वापरकर्ता म्हणून चालवणे अधिक सोयीचे आहे.

वैकल्पिकरित्या, तुम्ही रूट म्हणून tcpdump कमांड लाइन युटिलिटी वापरून नेटवर्क डेटा संकलित करू शकता आणि नंतर Wireshark वापरून त्याचे विश्लेषण करू शकता. कृपया लक्षात ठेवा की वायरशार्कसह मोठ्या प्रमाणावर लोड केलेल्या नेटवर्कवर डेटा संकलित केल्याने तुमचा संगणक धीमा होऊ शकतो किंवा त्याहून वाईट, तुम्हाला आवश्यक डेटा गोळा करण्यापासून प्रतिबंधित करू शकतो, कारण वायरशार्कला कमांड लाइन टूलपेक्षा अधिक सिस्टम संसाधने आवश्यक आहेत. अशा परिस्थितीत, नेटवर्क ट्रॅफिक डेटा गोळा करण्यासाठी सर्वात हुशार उपाय म्हणजे tcpdump वापरणे.

वायरशार्कसह नेटवर्क डेटा कॅप्चर करत आहे

नेटवर्क पॅकेट डेटा कॅप्चर करणे सुरू करण्याचा सर्वात सोपा मार्ग म्हणजे वायरशार्क सुरू केल्यानंतर तुम्हाला हवा असलेला इंटरफेस निवडा आणि स्टार्ट वर क्लिक करा. वायरशार्क तुमच्या नेटवर्क रहदारीवर आधारित तुमच्या स्क्रीनवर नेटवर्क डेटा प्रदर्शित करेल. कृपया लक्षात ठेवा: एकापेक्षा जास्त इंटरफेस निवडले जाऊ शकतात. तुम्हाला TCP, IP किंवा इतर प्रोटोकॉलबद्दल काहीही माहिती नसल्यास, परिणाम वाचणे आणि समजणे कठीण होऊ शकते.

डेटा कॅप्चर करणे थांबवण्यासाठी, मेनूमधून कॅप्चर > थांबवा निवडा. वैकल्पिकरित्या, तुम्ही मुख्य टूलबारमध्ये लाल चौकोनासह (हे "लाइव्ह डेटा कॅप्चर करणे थांबवा" साठी लहान आहे) डावीकडून चौथ्या चिन्हावर क्लिक करू शकता (लक्षात घ्या, त्याचे अचूक स्थान तुमच्याकडे असलेल्या वायरशार्कच्या आवृत्तीवर अवलंबून आहे). हे बटण फक्त नेटवर्क डेटा गोळा करताना दाबले जाऊ शकते.

वर्णन केलेली कॅप्चर पद्धत वापरताना, तुम्ही वायरशार्कमध्ये कॉन्फिगर केलेले डीफॉल्ट कॅप्चर पर्याय बदलू शकत नाही. आपण मेनूमधून कॅप्चर > पर्याय निवडून कॅप्चर पर्याय पाहू आणि बदलू शकता. येथे तुम्ही नेटवर्क इंटरफेस निवडू शकता, तुमचा IP पत्ता पाहू शकता, डेटा संकलन फिल्टर लागू करू शकता, सर्व नेटवर्क पॅकेट्स प्राप्त करण्यासाठी तुमचे नेटवर्क कार्ड स्विच करू शकता आणि गोळा केलेला डेटा एक किंवा अधिक फाइल्समध्ये सेव्ह करू शकता. जेव्हा ते नेटवर्क पॅकेट्सच्या विशिष्ट संख्येपर्यंत पोहोचते तेव्हा पॅकेट कॅप्चर करणे थांबवण्यास तुम्ही त्याला सांगू शकता, किंवा विशिष्ट वेळेपर्यंत, किंवा विशिष्ट प्रमाणात डेटा (बाइट्समध्ये).

डीफॉल्टनुसार, वायरशार्क गोळा केलेला डेटा जतन करत नाही, परंतु तुम्ही तो नंतर कधीही जतन करू शकता. असे मानले जाते की आधी जतन करणे आणि नंतर नेटवर्क पॅकेटचे परीक्षण करणे चांगले आहे, जर तुमच्याकडे अन्यथा करण्याचे काही विशेष कारण नसेल.

वायरशार्क तुम्हाला tcpdump, libpcap, Sun's snoop, HP's nettl, K12 मजकूर फाइल्स आणि बरेच काही यासह विविध प्रकारच्या फाइल फॉरमॅटमधून आधीच गोळा केलेला नेटवर्क डेटा वाचण्याची आणि विश्लेषण करण्याची परवानगी देतो. थोडक्यात, वायरशार्क संकलित नेटवर्क डेटाचे जवळजवळ कोणतेही स्वरूप वाचू शकतो. त्याचप्रमाणे, वायरशार्क तुम्हाला वेगवेगळ्या फॉरमॅटमध्ये गोळा केलेला डेटा सेव्ह करण्याची परवानगी देतो. फाइल एका फॉरमॅटमधून दुसऱ्या फॉरमॅटमध्ये रूपांतरित करण्यासाठी तुम्ही वायरशार्क वापरू शकता.

तुम्ही फाइल मेनूमधून विद्यमान फाइल साध्या मजकूर फाइल म्हणून निर्यात देखील करू शकता. हा पर्याय मुख्यतः नेटवर्क डेटा व्यक्तिचलितपणे प्रक्रिया करण्यासाठी किंवा दुसर्या प्रोग्राममध्ये प्रविष्ट करण्यासाठी आहे.

तुमची पॅकेजेस मुद्रित करण्यासाठी एक पर्याय प्रदान केला आहे. मी ते वास्तविक जीवनात कधीही वापरलेले नाही, परंतु शैक्षणिक हेतूंसाठी पॅकेजेस आणि त्यांची संपूर्ण सामग्री मुद्रित करणे खूप उपयुक्त ठरू शकते.

वायरशार्क डिस्प्ले फिल्टर्स

नेटवर्क डेटा कॅप्चर करताना कॅप्चर फिल्टर लागू केले असल्यास, वायरशार्क फिल्टरशी जुळत नसलेल्या नेटवर्क रहदारीचा विचार करत नाही; तर डिस्प्ले फिल्टर्स डेटा कॅप्चर केल्यानंतर लागू केले जातात आणि नेटवर्क ट्रॅफिक न काढता "लपवा". तुम्ही डिस्प्ले फिल्टर कधीही बंद करू शकता आणि तुमचा लपलेला डेटा परत मिळवू शकता.

मूलभूतपणे, डेटा संकलन फिल्टरपेक्षा प्रदर्शन फिल्टर अधिक उपयुक्त आणि बहुमुखी मानले जातात कारण आपण कोणती माहिती संकलित कराल किंवा अभ्यास करण्याचा निर्णय घ्याल याची आपल्याला फारशी माहिती नसते. तथापि, डेटा कॅप्चर करताना फिल्टर वापरल्याने तुमचा वेळ आणि डिस्क जागा वाचते, जे फिल्टर वापरण्याचे मुख्य कारण आहे.

वायरशार्क फिकट हिरव्या पार्श्वभूमीसह सिंटॅक्टली योग्य फिल्टर हायलाइट करते. वाक्यरचनामध्ये त्रुटी असल्यास, पार्श्वभूमी गुलाबी होईल.

डिस्प्ले फिल्टर्स तुलना ऑपरेटर आणि बुलियन ऑपरेटरना समर्थन देतात. फिल्टर http.response.code प्रदर्शित करा

तीन पॅकेट (SYN, SYN + ACK आणि ACK) थ्री-वे TCP कनेक्शन

404 && ip.addr == 192.168.1.1 ट्रॅफिक दाखवते जे एकतर IP पत्त्यावरून जाते 192.168.1.1 किंवा IP पत्त्या 192.168.1.1 वर जाते, ज्यामध्ये 404 (न सापडलेला) HTTP प्रतिसाद कोड देखील असतो. फिल्टर! Boo1p &&! Ip &&! Aggr परिणामातून BOOTP, IP आणि ARP रहदारी वगळते. फिल्टर eth.addr == 01: 23: 45: 67: 89: ab && tcp.port == 25 MAC पत्ता 01: 23: 45: 67: 89: ab वापरत असलेल्या नेटवर्क डिव्हाइसवरून किंवा त्याकडे जाणारी रहदारी दाखवते. इनबाउंड आणि आउटबाउंड कनेक्शनवर TCP पोर्ट क्रमांक 25.

लक्षात ठेवा, डिस्प्ले फिल्टर्स जादूने समस्या सोडवत नाहीत. योग्यरितीने वापरल्यास ही अत्यंत उपयुक्त साधने आहेत, परंतु तरीही तुम्हाला परिणामांचा अर्थ लावणे, समस्या शोधणे आणि योग्य समाधानाचा स्वतः विचार करणे आवश्यक आहे.

पुढील पानावर लेख सुरू ठेवा. पुढील पृष्ठावर जाण्यासाठी, बटण 2 वर क्लिक करा, जे सोशल नेटवर्क्सच्या बटणाखाली आहे.

परिचय

वैयक्तिक पॅकेट्स, डेटाग्राम, सेगमेंट्स आणि ऍप्लिकेशन-स्तरीय संदेशांच्या स्तरावर नेटवर्क परस्परसंवाद तपासताना, अनेकदा रहदारी फिल्टरिंग समस्या सोडवणे आवश्यक असते. फिल्टर लागू करण्याचे सार म्हणजे गट शोधणे आणि हायलाइट करणे, तसेच पुढील विश्लेषणासाठी स्वारस्य असलेल्या वैयक्तिक ट्रांसमिशन युनिट्स. ही कार्यक्षमता नेटवर्क रहदारी (स्निफर्स) रोखण्यासाठी आणि अभ्यासण्यासाठी डिझाइन केलेल्या साधनांमध्ये अत्यंत उपयुक्त आहे आणि सिस्टम प्रशासक किंवा माहिती सुरक्षा तज्ञांना आधुनिक नेटवर्कच्या गहन माहिती प्रवाहात उपयुक्त माहितीचा भाग शोधण्यात मदत करते.

या लेखात ओपन सोर्स मल्टी-प्लॅटफॉर्मची चर्चा केली आहे वायरशार्क प्रोटोकॉल विश्लेषकदोन फिल्टर उपप्रणाली समाविष्ट आहेत: ट्रॅफिक इंटरसेप्शन (कॅप्चर फिल्टर) आणि डिस्प्ले (डिस्प्ले फिल्टर). तुम्हाला माहिती आहेच, पहिली उपप्रणाली Pcap (पॅकेट कॅप्चर) लायब्ररी नियमांच्या भाषेवर आधारित आहे. त्याच्या संग्रहादरम्यान रहदारी "साफ करणे" विशेषतः, अवरोधित केलेल्या पॅकेटची संख्या कमी करते, ज्यामुळे मेमरी किंवा हार्ड डिस्कवर जागा वाचते. डिस्प्ले फिल्टर्ससाठी, ते, अंगभूत वायरशार्क फंक्शन असल्याने, प्रोग्रामच्या ग्राफिकल इंटरफेसमध्ये आधीच अडवलेल्या रहदारीला "सानुकूलित" करण्यासाठी डिझाइन केलेले आहेत.

फिल्टर भाषांबद्दल

कोणत्याही ऑपरेटिंग सिस्टमच्या नेटवर्क स्टॅकमध्ये देखरेख आणि डीबगिंग हेतूंसाठी रहदारी रोखण्याची क्षमता असते. हे तथाकथित पॅकेट फिल्टर वापरून चालते, जे सिस्टम कर्नलचा भाग आहे आणि नेटवर्क कार्ड ड्रायव्हरकडून प्राप्त / पाठविलेले पॅकेट प्राप्त करते. युनिक्स सारखी ऑपरेटिंग सिस्टमसाठी सर्वात प्रसिद्ध पॅकेट फिल्टर्स BPF (बर्कले पॅकेट फिल्टर) आणि LSF (लिनक्स सॉकेट फिल्टर) आहेत.

तर, मधील निर्दिष्ट निकषांनुसार रहदारीचा नमुना बीपीएफविशेष केस-ओरिएंटेड आदिम मशीन भाषेच्या रूपात लागू केले जाते, ज्यासाठी पॅकेट फिल्टर प्रत्यक्षात दुभाषी म्हणून कार्य करते. या भाषेतील प्रोग्राम पॅकेट्समधून तुकडे काढू शकतात, प्राप्त डेटाची दिलेल्या मूल्यांशी तुलना करू शकतात, वैयक्तिक बिट तपासू शकतात, अंकगणित ऑपरेशन्स करू शकतात आणि नंतर या सर्व चाचण्यांच्या निकालांवर अवलंबून पॅकेट्स स्वीकारू किंवा टाकून देऊ शकतात. नेटवर्क फंक्शन्स आणि विविध युटिलिटीजची लायब्ररी विकसित करणार्‍या प्रोग्रामरसाठी "निम्न-स्तरीय" दृष्टीकोन उपयुक्त आहे.

सामान्य वापरकर्ते "उच्च-स्तरीय" फिल्टर भाषा वापरतात. ट्रॅफिक नियमांचे वर्णन करण्यासाठी स्निफरमध्ये वापरण्यात येणारी ठराविक ऍप्लिकेशन भाषा एखाद्याला विविध प्रोटोकॉलच्या वैयक्तिक संदेश फील्डवर आधारित अभिव्यक्ती आदिम तयार करण्यास अनुमती देते. या प्रकरणात, फील्ड मूल्याचे विशिष्ट मूल्याचे गुणोत्तर (समान, मोठे, कमी), टेम्पलेटसह मूल्याचा योगायोग किंवा फक्त संदेशातील फील्डची उपस्थिती एक निकष म्हणून कार्य करू शकते. तार्किक फंक्शन्स ("आणि", "किंवा", "नाही", इ.) वापरून प्रिमिटिव्ह्ज एका जटिल अभिव्यक्तीमध्ये एकत्र केले जाऊ शकतात.

ओपन सोर्स जगात, फिल्टर भाषेसाठी डी फॅक्टो स्टँडर्ड हे Pcap लायब्ररीमध्ये वापरले जाणारे वाक्यरचना आहे. हा केवळ वायरशार्कसाठीच नाही तर इतर मुक्त स्त्रोत उपयोगितांसाठी देखील आधार आहे, उदाहरणार्थ, tcpdump कन्सोल स्निफर, युनिक्स जगात प्रसिद्ध आहे. वास्तविक, Pcap आणि tcpdump हा संयुक्त प्रकल्प आहे. लोकप्रिय स्नॉर्ट घुसखोरी शोध प्रणाली पॅकेट कॅप्चर मोडमध्ये रहदारी फिल्टरिंग नियम परिभाषित करण्यासाठी Pcap स्वरूप देखील वापरते.

Pcap फिल्टर मूलभूत

तर, फिल्टरमध्ये एक किंवा अधिक आदिम समाविष्ट आहेत... आदिममध्ये सहसा ऑब्जेक्ट (संख्या किंवा नाव) आणि प्रोटोकॉल (इथर, fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp, udp), दिशा (src, dst) परिभाषित करणारे एक किंवा अधिक स्पेसिफायर असतात. , कोणताही आणि इ.) आणि ऑब्जेक्ट प्रकार (होस्ट, नेट, पोर्ट, इ.). उदाहरणार्थ, ज्या पॅकेटमध्ये आउटगोइंग IP पत्ता 192.168.56.102 आहे त्या पॅकेट्समध्ये अडथळा आणण्यासाठी, तुम्ही यासारखे फिल्टर वापरावे:

Ip src होस्ट 192.168.56.102

किंवा 192.168.56.0 नेटवर्कवर यजमानांचा समावेश असलेली ARP रहदारी रेकॉर्ड करण्यासाठी:

Arp नेट 192.168.56

वारंवार वापरले जाणारे क्वालिफायर सारणीबद्ध केले जातात (पर्यायी घटक दर्शविले जातात -, पर्यायी - |, वस्तू -< >). संपूर्ण यादी Pcap दस्तऐवजीकरणामध्ये आढळू शकते (लिनक्सवर, man pcap-filter कमांडसह वापरकर्ता मॅन्युअलमध्ये उपलब्ध).

एका अभिव्यक्तीमध्ये अनेक आदिम एकत्रित करण्यासाठी, तार्किक कार्ये वापरली जातात: “आणि” (कीवर्ड आणि किंवा &&), “किंवा” (किंवा ||), “नाही” (नाही किंवा!). उदाहरणार्थ, होस्ट 192.168.56.102 साठी SSH प्रोटोकॉलची रहदारी रोखण्यासाठी, खालील बांधकाम योग्य आहे:

Tcp पोर्ट 22 आणि होस्ट 192.168.56.102

अतिशय जटिल अभिव्यक्तीसाठी कंस वापरा. उदाहरणार्थ:

नेट 192.168.56.0/24 आणि (tcp पोर्ट 21 किंवा tcp पोर्ट 22)

अमर्यादित Pcap फिल्टर

ज्यांना त्यांच्या स्वतःच्या नियमांनुसार जगण्याची सवय आहे त्यांच्यासाठी, Pcap लायब्ररी OS पॅकेट फिल्टरची पूर्ण शक्ती वापरून नेटवर्क पॅकेटच्या सामग्रीमध्ये यादृच्छिक प्रवेश प्रदान करते. हे अगदी सोपे वाक्यरचना वापरून केले जाते:

प्रोटो [exp: आकार]

जेथे, प्रोटो पॅरामीटर हे वायरशार्कद्वारे समर्थित प्रोटोकॉलपैकी एक आहे; exp हा प्रोटोमध्ये निर्दिष्ट केलेल्या लेयरच्या सुरुवातीपासूनचा बाइट्समधील ऑफसेट आहे आणि आकार म्हणजे पुनर्प्राप्त करण्यासाठी बाइट्सची संख्या.

C प्रोग्रामिंग लँग्वेजच्या नोटेशनमध्ये (>, =,

तथापि, उदाहरणाचा केवळ पद्धतशीर अर्थ आहे, कारण हा प्रोटोकॉल मानक icmp नियमाद्वारे सहजपणे फिल्टर केला जातो.

परंतु फ्लाय ऑन फ्लाय ट्रॅफिकमधून GET पद्धतीद्वारे HTTP विनंत्या निवडणे Pcap साठी इतके सोपे काम नाही. आणि दस्तऐवजीकरणात प्रस्तावित केलेले समाधान मूळ असल्याचा दावा करते:

पोर्ट 80 आणि tcp [((tcp & 0xf0) >> 2): 4] = 0x47455420

हे फिल्टर TCP शीर्षलेखानंतर लगेच बाइट्स "G", "E", "T" आणि "" (हेक्स मूल्ये 47, 45, 54 आणि 20) तपासते, ज्याची लांबी अभिव्यक्तीद्वारे मोजली जाते. tcp आणि 0xf0) >> 2"

तुम्ही शेवटच्या उदाहरणावरून बघू शकता, तुलनात्मक ऑपरेशन्स व्यतिरिक्त, बायनरी ऑपरेटर C (+, -, *, /, &, |,>) देखील वापरकर्त्यासाठी थेट आदिममध्ये उपलब्ध आहेत.

प्रदर्शन फिल्टर बद्दल

जर आपण फरकांबद्दल बोललो तर फिल्टर प्रदर्शित करा Pcap फिल्टर्समधून, नंतर स्पेसिफायर्स लिहिण्यासाठी फॉरमॅट व्यतिरिक्त (प्रोटोकॉल फील्ड सारखे दिसतात. समान, le - पेक्षा कमी किंवा समान) आणि बायनरी ऑपरेटर (आणि, किंवा, xor, नाही), तसेच सबस्ट्रिंग समर्थन.

फील्डमध्ये सबस्ट्रिंग्स आणणे हे Pcap फिल्टरमधील पॅकेटमधून अनियंत्रित बाइट्स काढण्यासारखे आहे, परंतु त्यात अधिक लवचिक वाक्यरचना आहे. उदाहरणार्थ, यासारखी अभिव्यक्ती इथरनेट फ्रेम (समतुल्य) च्या मूळ MAC पत्ता फील्डचे पहिले 4 बाइट तपासेल:

Eth.src [: 4] == 00: 1d: 72: 01

अर्थात, फिल्टरमधील फरक असा आहे की ट्रॅफिकमध्ये अडथळा आणताना Pcap नियम वापरले जातात; ग्राफिकल इंटरफेसमध्ये, ते "कॅप्चर पर्याय" डायलॉग बॉक्समध्ये कॉन्फिगर केले जातात (तसे, वारंवार वापरल्या जाणार्‍या अभिव्यक्ती लक्षात ठेवणे शक्य आहे). डिस्प्ले फिल्टर मुख्य प्रोग्राम विंडोच्या सूचीमध्ये असलेल्या पॅकेजेससह कार्य करतात:

वायरशार्कची अंगभूत फिल्टरिंग उपप्रणाली अधिक वापरकर्ता-अनुकूल आहे. विशेषतः, संदेश स्वरूपाचे तपशील (ऑफसेट, फील्ड आकार इ.) लक्षात ठेवण्याची आवश्यकता नाही. या प्रोटोकॉलसाठी आवश्यक संदेश फील्ड फिल्टर अभिव्यक्ती विंडोमध्ये सहजपणे आढळू शकते आणि तुम्ही या फील्डसाठी सूचीमधून एक अट आणि पूर्वनिर्धारित मूल्य देखील निवडू शकता किंवा तुमचे स्वतःचे निर्दिष्ट करू शकता. Wireshark द्वारे समर्थित अनेक प्रोटोकॉलसाठी, तुम्ही या सोप्या पद्धतीने डिस्प्ले फिल्टर कॉन्फिगर करू शकता.

खालील मॅपिंग नियम वापरून टीसीपी विभागांचा बफर ओव्हरफ्लो केव्हा निर्धारित केला जातो हे निर्धारित करण्याचे जवळजवळ शैक्षणिक उदाहरण अतिशय प्रकट करणारे आहे:

Tcp.window_size == 0 && tcp.flags.reset! = 1

निष्कर्ष

वायरशार्क प्रोटोकॉल विश्लेषकमध्ये एक शक्तिशाली पॅकेट फिल्टरिंग सिस्टम आहे, ज्यामुळे लॉजिकल फंक्शन्स आणि बायनरी ऑपरेटर वापरून जटिल नियम तयार करणे शक्य होते. कॅप्चर टाइम फिल्टर मानक आहेत आणि ते वापरकर्त्यांना परिचित असतील ज्यांनी Tcpdump सारख्या Pcap-आधारित नेटवर्किंग उपयुक्तता वापरल्या आहेत. संकुल प्रदर्शित करण्याचे नियम शिकण्यास आणि वापरण्यास सोपे आहेत, प्रश्नातील प्रोग्रामच्या ग्राफिकल इंटरफेसच्या क्षमतेबद्दल धन्यवाद. सर्वसाधारणपणे, वायरशार्क फिल्टरिंग सिस्टमची कार्यक्षमता तुम्हाला निम्न-स्तरीय पॅकेट फिल्टरचा प्रभावीपणे लाभ घेण्यास अनुमती देते.

फक्त विविध फिल्टर्सची प्रचंड संख्या. आणि या फिल्टर्सवर मोठ्या प्रमाणात दस्तऐवज आहेत, जे समजणे इतके सोपे नाही. मी माझ्यासाठी सर्वात मनोरंजक आणि वारंवार वापरलेले वायरशार्क फिल्टर गोळा केले आहेत. नवशिक्या वापरकर्त्यांसाठी, हे वायरशार्क फिल्टरसाठी थोडेसे मार्गदर्शक असू शकते, एक्सप्लोर करण्यासाठी एक प्रारंभिक बिंदू. येथे टिप्पण्यांमध्ये देखील मी तुम्हाला सामान्य फिल्टर सामायिक करण्यासाठी आमंत्रित करतो जे तुम्ही नेहमी वापरता, तसेच मनोरंजक शोध - मी त्यांना या सूचीमध्ये जोडेन.

लक्षात ठेवा, वायरशार्कमध्ये डिस्प्ले फिल्टर आणि कॅप्चर फिल्टर आहेत. येथे मी डिस्प्ले फिल्टर्सचा विचार करतो, जे मुख्य प्रोग्राम विंडोमध्ये वरच्या फील्डमध्ये मेनू आणि मुख्य फंक्शन्सच्या चिन्हांच्या खाली प्रविष्ट केले जातात.

फिल्टरचा अर्थ आणि ते नेमके काय दाखवतात हे पूर्णपणे समजून घेण्यासाठी, तुम्हाला नेटवर्क कसे कार्य करते हे समजून घेणे आवश्यक आहे. नेटवर्क आणि प्रोटोकॉलच्या तत्त्वांशी परिचित होण्यासाठी, संगणक नेटवर्कच्या ऑपरेशनवर सायकलचा अभ्यास करण्याची शिफारस केली जाते, सायकलचा पहिला लेख "" (उर्वरित तयारी प्रक्रिया).

येथे काही फिल्टर सामान्य शब्दांमध्ये लिहिलेले आहेत आणि काही विशिष्ट उदाहरणे म्हणून दिले आहेत. लक्षात ठेवा की कोणत्याही परिस्थितीत तुम्ही तुमचा डेटा बदलू शकता, उदाहरणार्थ, तुम्हाला ज्यामध्ये स्वारस्य आहे त्यामध्ये पोर्ट नंबर बदला आणि IP पत्ता, MAC पत्ता, वेळ मूल्य इत्यादीसह देखील तेच करा.

वायरशार्क फिल्टर ऑपरेटर

फिल्टरचे वेगवेगळे अर्थ असू शकतात, जसे की स्ट्रिंग, हेक्साडेसिमल किंवा संख्या.

जर अस्पष्ट जुळणी शोधली गेली असेल (नॉन-न्यूमेरिक व्हॅल्यूजसाठी अधिक योग्य), तर वापरा समाविष्टीत आहे... उदाहरणार्थ, स्ट्रिंग हॅकवेअर असलेली TCP पॅकेट दाखवण्यासाठी, तुम्हाला खालील फिल्टरची आवश्यकता आहे:

Tcp मध्ये हॅकवेअर आहे

अचूक मूल्ये शोधण्यासाठी ऑपरेटर वापरले जातात. चला त्यांचा विचार करूया:

जसे आपण पाहू शकता, लेखनाचे दोन प्रकार आहेत, उदाहरणार्थ, जर आपल्याला हे सूचित करायचे असेल की फिल्टर मूल्य एखाद्या गोष्टीच्या बरोबरीचे आहे, तर आपण वापरू शकतो == किंवा eq.

तार्किक ऑपरेंड वापरून फिल्टरमधून बरीच गुंतागुंतीची रचना तयार केली जाऊ शकते, परंतु, वरवर पाहता, समान फिल्टर दोनदा तुलना ऑपरेटरसह वापरले असल्यास, उदाहरणार्थ, येथे, एका पोर्टद्वारे नव्हे तर पोर्टच्या श्रेणीद्वारे फिल्टर करण्याच्या प्रयत्नात:

Tcp.port> = 8000 && tcp.port<=8180

नंतर फिल्टर मूल्य (या प्रकरणात tcp.port) शेवटच्या मूल्याने ओव्हरराइट केले आहे, परिणामी, अपेक्षित वर्तनाऐवजी, आम्हाला फक्त शेवटच्या भागाच्या कार्याचा परिणाम मिळतो, या प्रकरणात ते आहे

Tcp.port<=8180

हा बग लक्षात ठेवा!

सह वापरले तेव्हा == (समान) हा बग गहाळ आहे.

वायरशार्क फिल्टर बुलियन ऑपरेटर

तार्किक ऑपरेटर तुम्हाला एकाच वेळी अनेक अटी वापरून तपशीलवार फिल्टर तयार करण्याची परवानगी देतात. अतिरिक्त कंस वापरण्याची शिफारस केली जाते, कारण अन्यथा तुम्हाला अपेक्षित मूल्य मिळणार नाही.

ऑपरेटर	वर्णन
आणि /&&	तार्किक आणि, डेटा फिल्टरच्या दोन्ही भागांशी जुळल्यास आउटपुट आहे. उदाहरणार्थ, फिल्टर ip.src == 192.168.1.1 आणि tcpफक्त 192.168.1.1 वरून आलेली आणि TCP प्रोटोकॉलशी संबंधित असलेली पॅकेट दाखवेल. दोन्ही अटींशी जुळणारा डेटाच दाखवला जाईल.
किंवा / \|\|	तार्किक किंवा, फक्त एक अट सत्य असणे पुरेसे आहे; जर दोन्ही खरे असतील तर तेही बसते. उदाहरणार्थ फिल्टर tcp.port == 80 किंवा tcp.port == 8080पोर्ट 80 किंवा 8080 शी संबंधित (स्रोत किंवा गंतव्य) TCP पॅकेट दर्शवेल.
नाही /!	जेव्हा आम्ही काही पॅकेजेस वगळू इच्छितो तेव्हा बुलियन वापरले जात नाही. म्हणजेच, NOT खालील अट पूर्ण करणारी पॅकेजेस वगळता सर्व पॅकेजेस दाखवली जातील. उदाहरणार्थ फिल्टर !dns DNS वगळता सर्व पॅकेट दाखवेल.

संयोजन उदाहरणे:

HTTP दर्शवा किंवा DNS रहदारी:

एचटीटीपी किंवा डीएनएस

कोणतीही रहदारी दाखवा, वगळता ARP, ICMP आणि DNS:

! (एआरपी किंवा आयसीएमपी किंवा डीएनएस)

इंटरफेस फिल्टर

फक्त wlan0 इंटरफेसवर पाठवलेले किंवा प्राप्त झालेले पॅकेट दाखवा:

Frame.interface_name == "wlan0"

डेटा लिंक प्रोटोकॉल रहदारी

ARP रहदारी दर्शविण्यासाठी:

MAC अॅड्रेस 00: c0: ca: 96: cf: cb: असलेल्या डिव्हाइसवरून पाठवलेल्या ARP फ्रेम्स दाखवा

Arp.src.hw_mac == 00: c0: ca: 96: cf: cb

192.168.50.90 IP पत्त्यासह डिव्हाइसवरून पाठवलेल्या ARP फ्रेम दर्शवा:

Arp.src.proto_ipv4 == 192.168.50.90

MAC पत्ता 00: 00: 00: 00: 00: 00 (प्रोटोकॉल लक्ष्य MAC पत्ता शोधण्याचा प्रयत्न करते तेव्हा हा पत्ता वापरला जातो. तुम्हाला गोंधळात टाकणारा आणखी एक लोकप्रिय पत्ता आहे ff: ff: ff: ff: ff: ff, हा पत्ता प्रसारित केला आहे, म्हणजेच या पत्त्यासह संदेश स्थानिक नेटवर्कवरील सर्व उपकरणांसाठी आहेत):

Arp.dst.hw_mac == 00: 00: 00: 00: 00: 00

192.168.50.1 IP पत्त्यासह डिव्हाइसवर पाठवलेल्या ARP फ्रेम दर्शवा:

Arp.dst.proto_ipv4 == 192.168.50.1

इथरनेट रहदारी दर्शवा:

00: c0: ca: 96: cf: cb: च्या MAC पत्त्यासह डिव्हाइसवरून पाठवलेल्या फ्रेम्स दाखवा (सर्वसाधारणपणे, सर्व फ्रेम्स, फक्त ARP नाही, जसे की मागील उदाहरणांमध्ये होते)

Eth.src == 00: c0: ca: 96: cf: cb

MAC पत्त्या 78: cd: 8e: a6: 73: be: सह डिव्हाइसवर पाठवलेल्या फ्रेम दर्शवा:

Eth.dst == 78: cd: 8e: a6: 73: be

गेटवे प्रोटोकॉल रहदारी

IPv4 प्रोटोकॉल फिल्टरिंग

आयपी ट्रॅफिक दाखवा (यामध्ये TCP, UDP, तसेच ऍप्लिकेशन लेयर प्रोटोकॉल DNS, HTTP समाविष्ट आहेत - म्हणजे, डेटा ट्रान्समिशनसाठी IP पत्ते न वापरणारे लिंक लेयर प्रोटोकॉल वगळता जवळजवळ सर्व काही (इथरनेट स्थानिक नेटवर्कमध्ये, ते MAC- वापरतात) पत्ते)):

अधिक विशिष्‍टपणे, हे IPv4 रहदारीचा संदर्भ देते, जे सहसा फक्त IP (इंटरनेट प्रोटोकॉल) म्हणून संबोधले जाते.

विशिष्ट IP पत्त्याशी संबंधित रहदारी दर्शवा (x.x.x.x ऐवजी लिहा). पॅकेट दाखवले जातील ज्यामध्ये हा IP पत्ता डेटा स्रोत किंवा गंतव्यस्थान आहे:

Ip.addr == x.x.x.x

दिलेल्या दोन IP पत्त्यांशी संबंधित रहदारी दर्शवा. एकमेव संभाव्य तर्कानुसार, यापैकी एक पत्ता स्त्रोत असेल आणि दुसरा वितरण पत्ता असेल.

Ip.addr == x.x.x.x && ip.addr == y.y.y.y

आयपी अॅड्रेस 138.201.81.199 असलेल्या होस्टकडून येणारी रहदारी दाखवा:

Ip.src == 138.201.81.199

आयपी अॅड्रेस 138.201.81.199 सह होस्टसाठी नियत रहदारी दर्शवा:

Ip.dst == 138.201.81.199

कृपया लक्षात घ्या की आयपी प्रोटोकॉल आयपी पत्त्यांसह कार्य करतो, परंतु पोर्टसह कार्य करत नाही. बंदरे TCP आणि UDP प्रोटोकॉलचा भाग आहेत. आयपी प्रोटोकॉल केवळ यजमानांमधील रहदारीच्या मार्गासाठी जबाबदार आहे.

वायरशार्कमध्ये सबनेट आणि आयपी श्रेणी फिल्टर करणे

तुम्ही एका IP पत्त्याऐवजी सबनेट निर्दिष्ट करू शकता:

Ip.addr == 192.168.1.0/24

विशिष्ट IP श्रेणीतून पाठवलेले रहदारी फिल्टर करणे. जर तुम्हाला सबनेटमधून येणारी रहदारी फिल्टर करायची असेल, तर फॉर्मचा फिल्टर वापरा:

Ip.src == 192.168.1.0/24

फिल्टरिंग ट्रॅफिक विशिष्ट IP श्रेणीवर पाठवायचे आहे. जर तुम्हाला रहदारी फिल्टर करायची असेल ज्याचे गंतव्य सबनेट असेल, तर फॉर्मचे फिल्टर वापरा:

Ip.dst == 192.168.1.0/24

IPv6 प्रोटोकॉल फिल्टरिंग

IPv6 रहदारी दर्शवा (इंटरनेट प्रोटोकॉल आवृत्ती 6):

IPv6 पत्त्याद्वारे फिल्टरिंग. IPv6 पत्त्याद्वारे फिल्टर करण्यासाठी, फिल्टर वापरा:

Ipv6.addr == 2604: a880: 800: c1 :: 2ae: d001

वायरशार्कमध्ये IPv6 सबनेट आणि रेंज फिल्टर करणे

तुम्ही एका IPv6 पत्त्याऐवजी फिल्टरिंगसाठी सबनेट निर्दिष्ट करू शकता:

Ipv6.addr == 2604: a880: 800: c1 :: 2ae: d000 / 64

तुम्हाला विशिष्ट IPv6 पत्त्यावरून येणारी रहदारी फिल्टर करायची असल्यास:

Ipv6.src == 2604: a880: 800: c1 :: 2ae: d001

तुम्हाला विशिष्ट IPv6 पत्त्यावर पाठवलेली रहदारी फिल्टर करायची असल्यास:

Ipv6.dst == 2604: a880: 800: c1 :: 2ae: d001

विशिष्ट IPv6 श्रेणीतून पाठवलेले रहदारी फिल्टर करणे. जर तुम्हाला सबनेटमधून येणारी रहदारी फिल्टर करायची असेल, तर फॉर्मचा फिल्टर वापरा:

Ipv6.src == 2604: a880: 800: c1 :: 2ae: d000 / 64

विशिष्ट IPv6 श्रेणीवर पाठवण्याच्या उद्देशाने रहदारी फिल्टर करणे. जर तुम्हाला रहदारी फिल्टर करायची असेल ज्याचे गंतव्य सबनेट असेल, तर फॉर्मचे फिल्टर वापरा:

Ipv6.dst == 2604: a880: 800: c1 :: 2ae: d000 / 64

वायरशार्कमध्ये ICMPv6 (इंटरनेट कंट्रोल मेसेज प्रोटोकॉल) फिल्टरिंग फिल्टरद्वारे केले जाते:

IPv6 साठी ARP म्हणून काम करणारी पॅकेट पाहण्यासाठी, फिल्टर वापरा:

Icmpv6.type == 133 किंवा icmpv6.type == 134 किंवा icmpv6.type == 135 किंवा icmpv6.type == 136 किंवा icmpv6.type == 137

इतर IP पत्ता फिल्टर IPv6 आणि IPv4 साठी समान आहेत.

वाहतूक स्तर प्रोटोकॉल रहदारी

फक्त TCP रहदारी पाहण्यासाठी:

ट्रॅफिक दर्शवा ज्याचा स्रोत किंवा गंतव्य पोर्ट विशिष्ट पोर्ट आहे, उदाहरणार्थ 8080:

Tcp.port == 8080

पोर्ट 80 वरून येणारी रहदारी दर्शवा:

Tcp.srcport == 80

पोर्ट 80 वर ऐकत असलेल्या सेवेकडे पाठवले जाणारे रहदारी दर्शवा:

Tcp.dstport == 80

SYN ध्वज सक्षम असलेले TCP पॅकेट दाखवा:

Tcp.flags.syn == 1

SYN ध्वज सक्षम केलेले आणि ACK ध्वज अक्षम केलेले TCP पॅकेट दर्शवा:

Tcp.flags.syn == 1 && tcp.flags.ack == 0

त्याचप्रमाणे इतर ध्वजांसाठी:

tcp.flags.syn == 1 tcp.flags.ack == 1 tcp.flags.reset == 1 tcp.flags.fin == 1 tcp.flags.cwr tcp.flags.ecn tcp.flags.urg == 1 tcp.flags.push == 1

तुम्ही सारखे वाक्यरचना देखील वापरू शकता tcp.flags == 0x0XX, उदाहरणार्थ:

ते फाइन tcp.flags == 0x001
हे SYN करा tcp.flags == 0x002
आरएसटी आहे tcp.flags == 0x004
हे ACK tcp.flags == 0x010
ACK आणि FIN एकाच वेळी स्थापित केले जातात tcp.flags == 0x011
ACK आणि SYN एकाच वेळी स्थापित केले आहे tcp.flags == 0x012
ACK आणि RST एकाच वेळी स्थापित केले आहे tcp.flags == 0x014

स्ट्रिंग असलेली पॅकेजेस दाखवण्यासाठी, उदाहरणार्थ हॅकवेअर स्ट्रिंग:

Tcp मध्ये हॅकवेअर आहे

TCP प्रवाह X फॉलो करा:

Tcp.stream eq X

प्रवाह क्रमांकानुसार फिल्टर करा:

Tcp.seq == x

पॅकेट्सचे रीट्रांसमिशन दर्शवा. अनुप्रयोग कार्यप्रदर्शन मंदगती आणि पॅकेट नुकसान ट्रॅक करण्यात मदत करते:

या फिल्टरने समस्याग्रस्त पॅकेट्स (हरवलेले विभाग, रीट्रांसमिशन इ.) बाहेर आणले TCP Keep-Alive पॅकेट्स या फिल्टरमधून जातात, परंतु ते समस्यांचे सूचक नाहीत.

Tcp.analysis.flags

नेटवर्क कनेक्शनच्या गुणवत्तेचे मूल्यांकन करण्यासाठी फिल्टर.

खालील तपशील TCP फ्रेम्सवर लागू होतात. शिवाय, ते फ्रेम शीर्षलेखांवर आधारित नाहीत - प्रश्नातील वैशिष्ट्ये (डेटा वगळणे, डुप्लिकेट) विश्लेषणावर आधारित वायरशार्क प्रोग्रामद्वारे नियुक्त केले जातात.

फिल्टर ACK ध्वजासह फ्रेम्सबद्दल माहिती प्रदर्शित करतो, जे डुप्लिकेट आहेत. अशा फ्रेम्सची मोठी संख्या संप्रेषण समस्या दर्शवू शकते:

Tcp.analysis.duplicate_ack_num == 1

फ्रेम प्रदर्शित करण्यासाठी फिल्टर ज्यासाठी मागील विभाग कॅप्चर केलेला नाही:

Tcp.analysis.ack_lost_segment

डेटा कॅप्चरच्या सुरूवातीस हे सामान्य आहे - कारण सत्राच्या सुरुवातीपासूनच माहिती रोखली जात नाही.

पुन्हा पाठवलेल्या (पुन्हा पाठवलेल्या) फ्रेम्स दाखवण्यासाठी:

Tcp.analysis.retransmission

योग्य क्रमाने प्राप्त न झालेल्या फ्रेम्स प्रदर्शित करणे:

Tcp.analysis.out_of_order

फक्त UDP रहदारी पाहण्यासाठी:

UDP साठी कोणतेही ध्वज वापरले जात नाहीत. या प्रोटोकॉलसाठी, तुम्ही फक्त एक पोर्ट निर्दिष्ट करू शकता.

पोर्ट 53 पासून उद्भवणारी रहदारी दर्शवा:

Udp.srcport == 53

पोर्ट 53 वर ऐकत असलेल्या सेवेला पाठवले जाणारे रहदारी दर्शवा:

Udp.dstport == 53

विशिष्ट स्ट्रिंग असलेले UDP पॅकेट, उदाहरणार्थ, हॅकवेअर स्ट्रिंग:

Udp मध्ये हॅकवेअर आहे

फक्त ICMP रहदारी पाहण्यासाठी:

फक्त ICMP v6 रहदारी पाहण्यासाठी (सहावी आवृत्ती)

सर्व पिंग प्रतिसाद दर्शवा:

Icmp.type == 0

सर्व पिंग विनंत्या दर्शवा:

Icmp.type == 8

सर्व होस्ट आणि पोर्ट अनुपलब्ध / नाकारलेल्या त्रुटी दर्शवा

Icmp.type == 3

ICMP वापरून राउटिंग पुनर्निर्देशित करण्याचे सर्व प्रयत्न दर्शवा:

Icmp.type == 8

CODE मूल्य वापरण्याचे उदाहरण, खालील फिल्टर पोर्ट अनुपलब्ध संदेश दर्शवेल:

Icmp.type == 3 && icmp.code == 3

ऍप्लिकेशन प्रोटोकॉल रहदारी

ऍप्लिकेशन लेयर प्रोटोकॉल HTTP, DNS, SSH, FTP, SMTP, RDP, SNMP, RTSP, GQUIC, CDP, LLMNR, SSDP असे फिल्टर आहेत ज्यांची नावे स्वतः प्रोटोकॉलप्रमाणे आहेत, परंतु ते लहान अक्षरात लिहिलेले आहेत.

उदाहरणार्थ, HTTP रहदारी पाहण्यासाठी:

नवीन HTTP / 2 प्रोटोकॉलची रहदारी पाहण्यासाठी:

लक्षात ठेवा की प्रसारित केलेला डेटा कोणत्या प्रोटोकॉलचा आहे हे ठरवताना, प्रोग्राम वापरलेल्या पोर्टच्या संख्येवरून पुढे जातो. नॉन-स्टँडर्ड पोर्ट वापरल्यास, प्रोग्राम आवश्यक डेटा शोधण्यात सक्षम होणार नाही. उदाहरणार्थ, पोर्ट 1234 वर SSH शी कनेक्शन केले असल्यास, फिल्टर ssh SSH रहदारी सापडणार नाही.

फिल्टर जे फक्त POST पद्धतीने सबमिट केलेला डेटा दाखवते:

Http.request.method == "पोस्ट"

फिल्टर जे फक्त GET पद्धतीने पाठवलेला डेटा दाखवते:

Http.request.method == "GET"

विशिष्ट साइट (होस्ट) च्या विनंत्या शोधा:

http.host == " "

नावाच्या भागानुसार विशिष्ट साइटवर विनंत्या शोधा:

Http.host मध्ये "here.partial.name" समाविष्ट आहे

HTTP विनंत्या प्रदर्शित करण्यासाठी फिल्टर करा ज्यामध्ये कुकीज पास केल्या गेल्या:

Http.cookie

विनंत्या ज्यामध्ये सर्व्हरने वापरकर्त्याच्या ब्राउझरवर कुकी सेट केली आहे.

Http.set_cookie

अपलोड केलेल्या कोणत्याही प्रतिमा शोधण्यासाठी:

Http.content_type मध्ये "इमेज" आहे

विशिष्ट प्रकारच्या प्रतिमा शोधण्यासाठी:

Http.content_type मध्ये "gif" आहे http.content_type मध्ये "jpeg" आहे http.content_type मध्ये "png" आहे

विशिष्ट प्रकारच्या फाइल्स शोधण्यासाठी:

Http.content_type मध्ये "मजकूर" आहे http.content_type मध्ये "xml" आहे http.content_type मध्ये "html" आहे http.content_type मध्ये "json" आहे http.content_type मध्ये "javascript" आहे http.content_type मध्ये "x-www-form-urlencode" http आहे. content_type मध्ये "संकुचित" आहे http.content_type मध्ये "application" आहे

वायरशार्कमध्ये विशिष्ट प्रकारच्या फायली प्राप्त करण्यासाठी विनंत्या शोधा. उदाहरणार्थ, हस्तांतरित झिप संग्रहण शोधण्यासाठी:

Http.request.uri मध्ये "zip" आहे

अधिक अचूकतेसाठी http.request.uri ऐवजी फिल्टर वापरले जाऊ शकतात http.request.uri.pathकिंवा http.request.uri.query, उदाहरणार्थ, JPG फायली डाउनलोड करण्याच्या विनंत्या शोधण्यासाठी (चित्रांचे दुवे):

Http.request.uri.path मध्ये "jpg" आहे

तुम्ही विशिष्ट REFERER HTTP शीर्षलेख मूल्य असलेल्या विनंत्या फिल्टर देखील करू शकता. उदाहरणार्थ, ru-board.com रेफरर असलेल्या क्वेरी शोधण्यासाठी:

Http.referer मध्ये "ru-board.com" आहे

Http.authorization

HTTP प्रवाहात फायली शोधा:

Http.file_data

HTTP लेटन्सी डेटा प्राप्त झाला आहे हे पाहण्यासाठी, खालील रचना वापरली जाते:

Http.time> 1

ते 1 सेकंदापेक्षा नंतर प्राप्त झालेली रहदारी दर्शवेल.

समस्या तपासण्यासाठी, तुम्ही HTTP प्रतिसाद कोडच्या स्थितीचे विश्लेषण करू शकता. उदाहरणार्थ, खालील फिल्टर 404 न सापडलेली त्रुटी प्राप्त केलेली रहदारी दर्शवेल:

Http.response.code == 404

पुढील फिल्टर खूप मनोरंजक आहे. प्रथम, वैयक्तिक फिल्टरमधून जटिल संरचना कशा तयार केल्या जाऊ शकतात हे दर्शविते. दुसरे म्हणजे, ते तुम्हाला अनावश्यक डेटा वगळून HTTP विनंत्या आणि वेब अ‍ॅक्टिव्हिटी तपासण्याची परवानगी देते. या फिल्टरसह, तुम्ही उच्च स्तरीय वेब क्रियाकलाप पाहू शकता. ब्रॅकेटमधील नियमांमध्ये प्रतिमा, Javascript फाइल्स आणि स्टाइलशीट वगळले जातात - पृष्ठाने अंतर्गत विनंती केलेली कोणतीही गोष्ट. जर अभ्यासाखालील पृष्ठांमध्ये इतर अंगभूत वस्तू असतील, तर त्यांना अशाच प्रकारे वगळा:

Http.request &&! (Http.request.uri मध्ये ".ico" आहे किंवा http.request.uri मध्ये ".css" आहे किंवा http.request.uri मध्ये ".js" आहे किंवा http.request.uri मध्ये ".gif" आहे किंवा http.request.uri मध्ये ".jpg" समाविष्ट आहे)

सर्व DNS विनंत्या आणि प्रतिसाद पाहण्यासाठी:

कोणत्या DNS लुकअपला बराच वेळ लागला हे पाहण्यासाठी:

Dns.time > 1

विनंती पाठविल्यानंतर एक सेकंदापेक्षा जास्त वेळा आलेली प्रत्युत्तरे दर्शविली जातील.

हे फिल्टर दर्शविते की कोणत्या dns विनंत्या योग्यरित्या सोडवल्या जाऊ शकत नाहीत:

Dns.flags.rcode! = 0

फक्त DNS विनंत्या दाखवा:

Dns.flags.response == 0

फक्त DNS प्रतिसाद दर्शवा:

Dns.flags.response == 1

त्यांना विनंत्या आणि प्रतिसाद दर्शवा, ज्यामध्ये google.com साठी IP शोधला जातो:

Dns.qry.name == "google.com"

रेकॉर्डसाठी DNS क्वेरी आणि प्रतिसाद दर्शवा:

Dns.qry.type == 1

AAAA रेकॉर्डसाठी DNS क्वेरी आणि प्रतिसाद दर्शवा:

Dns.qry.type == २८

A रेकॉर्डसाठी 216.58.196.3 आयपी म्हणून पाठवलेले उत्तर दाखवा:

Dns.a == 216.58.196.3

AAAA रेकॉर्डसाठी 2a01: 4f8: 172: 1d86 :: 1 आयपी म्हणून पाठवले जाते तिथे उत्तरे दाखवा:

Dns.aaaa == 2a01: 4f8: 172: 1d86 :: 1

CNAME apollo.archlinux.org वरून रेकॉर्ड दाखवा:

Dns.cname == "apollo.archlinux.org"

३० पेक्षा लांब उत्तरे दाखवा:

Dns.resp.len> 30

25 पेक्षा जास्त लांबी असलेल्या विनंत्या दर्शवा:

Dns.qry.name.len> 25

DNS सर्व्हरचे प्रतिसाद दर्शवा ज्यावर पुनरावृत्ती उपलब्ध आहे:

Dns.flags.recavail == 1

DNS सर्व्हरचे प्रतिसाद दर्शवा ज्यावर पुनरावृत्ती उपलब्ध नाही:

Dns.flags.recavail == 0

पुनरावृत्ती करणे इष्ट आहे (विनंती केलेल्या DNS सर्व्हरकडे होस्टनाव माहिती नसल्यास, त्याने या माहितीसाठी इतर DNS सर्व्हरला विचारावे का):

Dns.flags.recdesired == 1

विनंती समाविष्ट असल्यास 1 , नंतर पुनरावृत्ती आवश्यक असल्यास 0 - मग ते इष्ट नाही.

अप्रमाणित डेटा स्वीकारायचा की नाही ( 0 न स्वीकारणे म्हणजे 1 स्वीकारणे म्हणजे):

Dns.flags.checkdisable == 0

DHCP द्वारे IP पत्ते कसे नियुक्त केले जातात हे पाहण्यासाठी:

Udp.dstport == 67

Bootp.option.dhcp

DHCP विनंत्या दर्शविण्यासाठी:

Bootp.option.dhcp == 3

DHCP डिस्कव्हर दर्शविण्यासाठी:

Bootp.option.dhcp == 1

SMB फिल्टर. माहिती कॉलममधील हे फिल्टर कनेक्शनचे संपूर्ण झाड (बॉल), खुल्या डिरेक्टरी आणि ट्रेसमध्ये उघडलेल्या फाइल्स दाखवते.

Smb2.cmd == 3 किंवा smb2.cmd == 5

वाय-फाय फ्रेमसाठी फिल्टर

4-वे हँडशेक घटक दर्शवा (उदा. EAPOL फ्रेम):

बीकन फ्रेम्स दाखवा:

Wlan.fc.type_subtype == 0x08

प्रोब रिस्पॉन्स फ्रेम्स दाखवा:

Wlan.fc.type_subtype == 0x05

एकाच वेळी सर्वकाही दर्शवा: EAPOL, बीकन्स, प्रोब प्रतिसाद:

Wlan.fc.type_subtype == 0x08 || wlan.fc.type_subtype == 0x05 || eapol

BSSID MAC पत्त्यासह विशिष्ट उपकरणासाठी वायरलेस फ्रेम दर्शवा:

Wlan.addr == BSSID

EAPOL, Beacons, MAC पत्ता 28: 28: 5D: 6C: 16: 24 सह विशिष्ट उपकरणासाठी प्रोब प्रतिसाद दर्शवा:

(wlan.fc.type_subtype == 0x08 || wlan.fc.type_subtype == 0x05 || eapol) && wlan.addr == 28: 28: 5D: 6C: 16:24

सर्व PMKID दाखवा:

Eapol && wlan.rsn.ie.pmkid

PMKID, बीकन्स, प्रोब प्रतिसाद दर्शवा:

(wlan.fc.type_subtype == 0x08 || wlan.fc.type_subtype == 0x05 || (eapol && wlan.rsn.ie.pmkid))

MAC पत्ता 40: 3D: EC: C2: 72: B8 सह AP साठी PMKID, बीकन्स, प्रोब प्रतिसाद दर्शवा:

(wlan.fc.type_subtype == 0x08 || wlan.fc.type_subtype == 0x05 || (eapol && wlan.rsn.ie.pmkid)) && wlan.addr == 40: 3D: EC: C2: 72: B8

हँडशेकचा फक्त पहिला संदेश दर्शवा:

Wlan_rsna_eapol.keydes.msgnr == 1

हँडशेकचा फक्त दुसरा संदेश दर्शवा (कोणत्याही क्रमांकासह हँडशेक संदेश देण्यासाठी वापरला जाऊ शकतो):

Wlan_rsna_eapol.keydes.msgnr == 2

प्रवेश बिंदूंसाठी 1 Mb/s च्या डेटा दरासह फ्रेम दर्शवा:

Wlan_radio.data_rate == 1

प्रवेश बिंदूंसाठी 10 Mb/s पेक्षा जास्त वेगाने फ्रेम दर्शवा:

Wlan_radio.data_rate> 10

विशिष्ट वारंवारतेवर प्रवेश बिंदू दर्शवा:

Radiotap.channel.freq == 2412

विशिष्ट सिग्नल पातळीसह प्रवेश बिंदू दर्शवा:

Wlan_radio.signal_dbm> -50

डिव्हाइसच्या अँटेनाशी संबंधित फिल्टर:

Radiotap.present.antenna == 1

Radiotap.antenna == 1

तुम्हाला इतर मनोरंजक वायरशार्क फिल्टर माहित असल्यास, कृपया ते टिप्पण्यांमध्ये सामायिक करा.

WireShark सह काम करताना वापरकर्त्यांकडील बहुतेक प्रश्न रहदारी कॅप्चर करण्यासाठी फिल्टर आहेत. आज आम्ही त्यांची काही मूलभूत उदाहरणे पाहू आणि त्यांना योग्यरित्या कसे सेट करायचे ते दाखवू!

नेटवर्क किंवा ऍप्लिकेशन कार्यप्रदर्शन समस्यांचे विश्लेषण करण्याच्या प्रक्रियेत, जर तुमच्या कंपनीकडे केंद्रीकृत ऍप्लिकेशन परफॉर्मन्स मॉनिटरिंग सिस्टम नसेल, तर OSI नेटवर्क मॉडेलच्या 4 ते 7 स्तरांमधील समस्यांचे विश्लेषण करण्यासाठी, तुम्हाला प्रोटोकॉल विश्लेषक (उर्फ स्निफर) वापरावे लागेल. ).

तुमच्याकडे अंगभूत स्वयंचलित विश्लेषण साधने किंवा तज्ञ प्रणालीसह व्यावसायिक उपाय नसल्यास, कदाचित सर्वात योग्य मार्ग हा असेल:

डाउनलोड करा आणि लॅपटॉपवर सर्वोत्तम विनामूल्य वायरशार्क प्रोटोकॉल विश्लेषकांपैकी एक स्थापित करा (http://www.wireshark.org/download.html);

त्याच्या इंटरफेससह आरामदायक व्हा;

प्रोटोकॉल स्टॅक आणि त्यांची रचना तपासा;

रहदारी कॅप्चर करण्यासाठी फिल्टरसह कसे कार्य करावे ते शिका;

रहदारी विश्लेषणासाठी फिल्टरसह कार्य करण्यास शिका.

या लेखात, आम्ही शेवटच्या बिंदूवर लक्ष केंद्रित करू - वायरशार्कमध्ये रहदारी कॅप्चर करण्यासाठी फिल्टर कसे कॉन्फिगर करावे.

ट्रॅफिक कॅप्चर करण्यासाठी वायरशार्क फिल्टर कॉन्फिगर करण्याची उदाहरणे

इंटरफेस निवडल्यानंतर, आम्ही एकतर ट्रॅफिक कॅप्चर करण्यासाठी पुढे जाऊ शकतो - सर्व काही सलग, परंतु हे करण्याची शिफारस केलेली नाही, कारण, उदाहरणार्थ, गीगाबिट इंटरफेसच्या 50% लोडसह, यास फक्त काही मिलिसेकंद लागतात. 100,000 पॅकेट प्रसारित करण्यासाठी. म्हणून, आपण कोणती समस्या सोडवत आहोत हे समजून घेणे आवश्यक आहे. मग आमच्याकडे किमान आधीपासून वापरकर्त्याचा पत्ता (IP किंवा MAC) असेल किंवा तो ज्या ऍप्लिकेशनबद्दल तक्रार करत आहे किंवा तो ऍक्सेस करत असलेला सर्व्हर असेल.

अशा प्रकारे, वायरशार्कमधील सर्वात सोपा फिल्टर हा डिव्हाइसचा IP पत्ता आहे (होस्ट, होस्ट) आणि हे फिल्टर असे दिसते:

जर समस्या अधिक जागतिक असेल आणि आम्हाला वेगळ्या सबनेटमधून ट्रॅफिक कॅप्चर करण्याची आवश्यकता असेल तर त्याच्या प्रसारणाची दिशा विचारात न घेता, आम्ही फिल्टर लागू करतो:

नेट 192.168.0.0/24 किंवा नेट 192.168.0.0 मास्क 255.255.255.0

सबनेटवरून रहदारी कॅप्चर करताना, फिल्टर असे दिसेल:

src नेट 192.168.0.0/24 किंवा src नेट 192.168.0.0 मुखवटा 255.255.255.0

आणि जर तुम्हाला विश्लेषणासाठी आमच्या सबनेटवर येणारी रहदारी पाहायची असेल, तर कोणतेही फिल्टर:

dst नेट 192.168.0.0/24

dst नेट 192.168.0.0 मुखवटा 255.255.255.0

जर वापरकर्त्याने तक्रार केली की पृष्ठ ब्राउझरमध्ये उघडत नाही, तर समस्या DNS सर्व्हर (पोर्ट 53) किंवा HTTP प्रोटोकॉल (पोर्ट 80) सह असू शकते, तर आम्ही "पोर्ट" फिल्टर वापरून रहदारी कॅप्चर करतो:

आम्ही HTTP आणि FTP वगळून विशिष्ट सर्व्हरसाठी सर्व ट्रॅफिक कॅप्चर करण्याचे ठरविल्यास, फिल्टर या दोन उदाहरणांपैकी एकानुसार कॉन्फिगर केले आहे:

होस्ट 192.168.0.1 आणि नाही (पोर्ट 21 किंवा पोर्ट 80)

होस्ट 192.168.0.1 आणि पोर्ट 21 नाही आणि पोर्ट 80 नाही

जर आम्हाला DNS, FTP, ARP ट्रॅफिक वगळता पोर्टवरील सर्व रहदारी पहायची असेल, तर तर्क समान असेल:

पोर्ट डीएनएस नाही आणि 21 नाही आणि एआरपी नाही

विशिष्ट श्रेणीतील डायनॅमिक पोर्ट्स वापरणाऱ्या ऍप्लिकेशन्समधून ट्रॅफिक कॅप्चर करताना, Libcap आवृत्ती 0.9.1 पेक्षा कमी असल्यास फिल्टर अवघड दिसेल:

(tcp> 1500 आणि tcp< 1550) or (tcp >1500 आणि tcp< 1550)

जर आवृत्त्या नंतर असतील, तर फिल्टर कमी धोकादायक आणि समजण्यायोग्य असेल:

tcp पोर्टरेंज 1501-1549

इथरनेट फ्रेम कॅप्चर करण्यासाठी जसे की EAPOL (802.1x EAP प्रोटोकॉलला EAPOL (LAN वर EAP encapsulation) म्हणतात):

इथर प्रोटो 0x888e

संदर्भासाठी, मी विशिष्ट प्रोटोकॉलसाठी इथरनेट फ्रेमच्या प्रकारांची सूची देईन:

इथरटाइप (हेक्साडेसिमल)	प्रोटोकॉल
0x0000 - 0x05DC	IEEE 802.3 लांबी
0x0101 - 0x01FF


	आयपी, इंटरनेट प्रोटोकॉल





	एआरपी, अॅड्रेस रिझोल्यूशन प्रोटोकॉल.
	फ्रेम रिले एआरपी
	कच्चा फ्रेम रिले
	DRARP, डायनॅमिक RARP. RARP, रिव्हर्स अॅड्रेस रिझोल्यूशन प्रोटोकॉल.
	नोवेल नेटवेअर IPX
	इथरटॉक (इथरनेटवर AppleTalk)
	इथरनेटवर IBM SNA सेवा
	AARP, AppleTalk अॅड्रेस रिझोल्यूशन प्रोटोकॉल.
	EAPS, इथरनेट स्वयंचलित संरक्षण स्विचिंग.
	IPX, इंटरनेट पॅकेट एक्सचेंज.
	SNMP, साधा नेटवर्क व्यवस्थापन प्रोटोकॉल.
	IPv6, इंटरनेट प्रोटोकॉल आवृत्ती 6.
	PPP, पॉइंट-टू-पॉइंट प्रोटोकॉल.
	GSMP, जनरल स्विच मॅनेजमेंट प्रोटोकॉल.
	एमपीएलएस, मल्टी-प्रोटोकॉल लेबल स्विचिंग (युनिकास्ट).
	एमपीएलएस, मल्टी-प्रोटोकॉल लेबल स्विचिंग (मल्टीकास्ट).
	PPPoE, PPP ओव्हर इथरनेट (डिस्कव्हरी स्टेज).
	PPPoE, PPP ओव्हर इथरनेट (PPP सत्र स्टेज).
	LWAPP, लाइट वेट ऍक्सेस पॉइंट प्रोटोकॉल.
	LLDP, लिंक लेयर डिस्कव्हरी प्रोटोकॉल.
	EAPOL, LAN वर EAP.
	लूपबॅक (कॉन्फिगरेशन चाचणी प्रोटोकॉल)
	VLAN टॅग प्रोटोकॉल आयडेंटिफायर
	VLAN टॅग प्रोटोकॉल आयडेंटिफायर

तुम्हाला विशिष्ट आयपी प्रोटोकॉलची रहदारी कॅप्चर करायची असल्यास, तुम्ही फिल्टर वापरू शकता:

ip proto tcp - TCP रहदारी कॅप्चर करा

ip proto udp - कॅप्चर UDP रहदारी

आयपी रहदारी कॅप्चर करण्यासाठी सर्वात लहान फिल्टर वापरला जातो:

ट्रॅफिक आउटगोइंग आणि नेटवर्क डिव्‍हाइसवर इनकमिंगचे विश्‍लेषण करताना केवळ युनिकास्‍ट ट्रॅफिक कॅप्चर करण्‍यासाठी, खालील फॉरमॅटमध्‍ये फिल्टर वापरला जातो:

प्रसारित नाही आणि मल्टीकास्ट नाही

आम्ही ज्या सोप्या फिल्टरबद्दल बोललो ते साधे चिन्हे वापरून एकत्र केले जाऊ शकतात:

नकार: ! किंवानाही

संघ: && किंवाआणि

पर्यायी: IIकिंवाकिंवा

उदाहरण: 10.10.10.10 पत्ता असलेल्या डिव्हाइसवरून किंवा 192.168.0.0 नेटवर्कवरून ट्रॅफिक कॅप्चर करण्यासाठी, फिल्टरला नकारात्मकतेने जोडले जाईल:

होस्ट 10.10.10.10 &&! नेट 192.168

ऑफसेट बाइट फिल्टर हे सर्वात शक्तिशाली आहेत आणि ते जीवन खूप सोपे करतात, परंतु ते वापरण्यासाठी तुम्हाला प्रोटोकॉल आणि पॅकेटमधील फील्डचे स्थान माहित असणे आवश्यक आहे. खालील फिल्टर उदाहरणे हेडर किंवा पेलोडमधील विशिष्ट फील्ड मूल्यासह पॅकेट कॅप्चर करतील. त्यांना सेट करणे सोपे आहे:

IP पॅकेटमध्ये आठ बाइट्स हलवा आणि TTL = 1 सह रहदारी कॅप्चर करा

80 च्या स्त्रोत पोर्ट पत्त्यासह सर्व TCP पॅकेट्स कॅप्चर करा. हे src पोर्ट 80 फिल्टरच्या समतुल्य आहे.

संदर्भासाठी, पॅकेटमधील सर्वात मनोरंजक फील्डचा ऑफसेट बाइट येथे आहे:

पॅकेजमधील फील्ड	बाइट्स मध्ये लांबी	फिल्टर करा
आयपी हेडरची लांबी
आयपी पॅकेट लांबी


IP पत्ता स्त्रोत
IP पत्ता गंतव्यस्थान
आयपी फ्रॅगमेंटेशन	ध्वज = 3 आणि ऑफसेट = 13	ip & 0x2000 = 0x2000 किंवा ip & 0x1fff! = 0x0000

TCP गंतव्य पोर्ट
TCP शीर्षलेख लांबी

प्राप्त माहिती एकत्रित करण्यासाठी, आम्ही HTTP GET विनंतीसह रहदारी कॅप्चर करण्यासाठी फिल्टर तयार करू. HTTP पोर्ट 80, ट्रान्सपोर्ट प्रोटोकॉल TCP वापरते. GET शब्दाचे हेक्साडेसिमल मूल्य 0x47455420 सारखे दिसेल. आम्हाला मिळालेल्या फिल्टरचे उदाहरण:

पोर्ट 80 आणि tcp [((tcp & 0xf0 >> 2): 4] = 0x47455420

या लेखात, आम्ही वायरशार्क प्रोटोकॉल विश्लेषक वापरून रहदारी कॅप्चर करण्यासाठी सर्वात मूलभूत मूलभूत फिल्टर कसे कॉन्फिगर करावे आणि कसे वापरावे याबद्दल चर्चा केली आहे.