Come utilizzare un filtro di visualizzazione in Wireshark

Come utilizzare un filtro di visualizzazione in Wireshark

La lingua del filtro di visualizzazione di Wireshark ti consente di controllare i pacchetti attualmente visualizzati dalla piattaforma. In genere, i filtri di visualizzazione vengono utilizzati per verificare la presenza di un protocollo o di un campo. Tuttavia, puoi anche usarli per confrontare i pacchetti usando operatori logici come “and” e “or”.

È facile confondere il filtro di visualizzazione Wireshark con il filtro di acquisizione. Questo articolo spiega come utilizzare il filtro di visualizzazione della piattaforma su PC e Mac. Discute anche la differenza tra filtri di visualizzazione e filtri di acquisizione all’interno di Wireshark.

Come utilizzare il filtro di visualizzazione in Wireshark su PC Windows

L’uso del filtro dello schermo di Wireshark su un PC è abbastanza semplice. La piattaforma fornisce un riquadro nella parte superiore dello schermo che consente di spiegare rapidamente quali pacchetti si desidera visualizzare. In genere mostrerai i pacchetti in base a quanto segue.

  • Protocollo
  • Valori di campo
  • Presenza sul campo
  • Confronti tra campi

Tuttavia, la funzionalità del campo di visualizzazione consente usi più complessi.

Esistono due modi per utilizzare il filtro di visualizzazione in Wireshark su un PC Windows.

Metodo numero 1 – Tipo di filtro diretto

Supponendo che tu voglia solo visualizzare il registro, procedi come segue.

  • Trova e fai clic sulla barra degli strumenti Filtro di visualizzazione in Wireshark .
  • Immettere un nome per il protocollo sulla barra degli strumenti. Ad esempio, inserisci “tcp” se vuoi visualizzare tutti i tuoi pacchetti TCP.
  • Premere “Invio” per applicare il filtro selezionato. In alternativa, puoi fare clic su “Applica” dopo aver inserito l’espressione del filtro.

Ora dovresti vedere che Wireshark mostra i pacchetti in base al filtro che hai selezionato. Tutti questi pacchetti rimangono all’interno del file di acquisizione associato. Il filtro di visualizzazione non modifica il contenuto del file di acquisizione. Visualizza i pacchetti relativi al filtro che stai applicando.

Se desideri rimuovere il filtro applicato, fai clic sul pulsante “Cancella”. Si trova a destra della barra degli strumenti del filtro di visualizzazione.

Metodo numero 2 – Pannello delle statistiche

Questo metodo è un modo per applicare un filtro che non richiede la digitazione direttamente sulla barra degli strumenti del filtro di visualizzazione.

  • Trova “Statistiche” nel menu in alto e fai clic su di esso.
  • Selezionare una delle opzioni dall’elenco a discesa. Per questa procedura dettagliata, seleziona Endpoint.
  • Dovrebbe apparire un popup di report dell’endpoint che mostra gli indirizzi MAC. Fare clic con il pulsante destro del mouse su uno degli indirizzi e selezionare Applica come filtro.
  • Fare clic su Selezionato.

La sintassi scelta viene inserita automaticamente nella barra degli strumenti del filtro di visualizzazione.

Come utilizzare il filtro di visualizzazione in Wireshark su Mac

Wireshark su Mac ti consente di utilizzare un filtro di visualizzazione per visualizzare i pacchetti in base a una varietà di parametri ed espressioni, inclusi protocolli, confronti di campi, valori di campo e altro ancora. Esistono due modi per utilizzare il filtro di visualizzazione su Mac.

Metodo n. 1 – Visualizza la barra degli strumenti del filtro

I passaggi seguenti visualizzano un protocollo semplice. Puoi utilizzare diversi operatori per creare filtri più complessi se sei bravo con Wireshark . Segui questi passaggi per un semplice filtro di visualizzazione del registro.

  • Fare clic sulla barra degli strumenti del filtro di visualizzazione nella parte superiore dello schermo. È una casella di testo accanto alla parola “Filtro”.
  • Immettere un nome per il protocollo e fare clic sul pulsante Applica.

Wireshark mostra ogni pacchetto associato al protocollo inserito che si trova all’interno del filtro di acquisizione corrente. Fare clic sul pulsante Cancella accanto alla barra degli strumenti del filtro di visualizzazione per rimuovere il filtro e visualizzare nuovamente tutti i pacchetti.

Metodo numero 2 – Pannello delle statistiche

Se non si conosce l’espressione esatta per il filtro, in alcuni casi è possibile utilizzare un metodo più semplice. L’esempio seguente mostra come creare un filtro di visualizzazione utilizzando un endpoint. Può essere applicato anche a molti altri tipi di espressioni e protocolli. Attenersi alla seguente procedura per creare un filtro di visualizzazione dell’endpoint.

  • Fai clic su “Statistiche” nella barra dei menu in alto.
  • Seleziona Endpoint.
  • Passare all’endpoint che si desidera filtrare nella finestra pop-up, fare clic con il pulsante destro del mouse ed evidenziare “Applica come filtro”.
  • Seleziona “Selezionati”.

Dovresti vedere Wireshark inserire automaticamente la sintassi per la tua selezione nella barra degli strumenti del filtro di visualizzazione. La piattaforma visualizzerà anche i pacchetti relativi all’endpoint scelto.

Domande frequenti aggiuntive

Qual è la differenza tra un filtro di visualizzazione e un filtro di acquisizione?

Wireshark ti consente di utilizzare filtri di visualizzazione e filtri di acquisizione per navigare tra i tuoi pacchetti. Questi filtri sono facili da confondere. Tuttavia, servono a scopi diversi e richiedono l’uso di una sintassi diversa.

Il filtro di visualizzazione viene utilizzato quando hai raccolto tutto ciò di cui hai bisogno e desideri visualizzare determinati pacchetti per l’analisi.

I filtri di acquisizione sono più limitati dei filtri di visualizzazione. Riducono la dimensione dell’acquisizione dei pacchetti non elaborati e devono essere installati prima di avviare il processo di acquisizione dei pacchetti. In genere, utilizzerai i filtri di acquisizione quando desideri utilizzare un comando per restituire o rimuovere determinati tipi di pacchetti da un’acquisizione. I filtri di acquisizione non possono essere modificati durante il processo di acquisizione.

I filtri di visualizzazione e di acquisizione differiscono anche per la sintassi che utilizzano.

Con un filtro di visualizzazione, si utilizza una combinazione di filtri logici e operatori per creare una descrizione logica del filtro che si desidera creare. Gli esempi includono “==” e “!=”, che significano rispettivamente “uguale a” e “non uguale”.

I filtri di acquisizione utilizzano una sintassi più complessa che combina maschere, offset di byte e valori esadecimali con un linguaggio di filtraggio logico. Ciò rende i filtri di acquisizione meno intuitivi rispetto ai filtri di visualizzazione, anche se significa anche che puoi usarli per applicare filtri più complessi.

Applica i tuoi filtri

La funzionalità del filtro di visualizzazione di Wireshark ti consente di ispezionare rapidamente i pacchetti nella tua acquisizione. È ideale per riprese di grandi dimensioni in cui è necessario eliminare tutto il rumore sullo schermo in modo da poter analizzare protocolli o campi specifici. Wireshark fornisce informazioni dettagliate sui vari modificatori di filtri e visualizza le espressioni dei filtri attraverso il suo wiki.

Ma ora vogliamo sentirti. Con quale frequenza devi analizzare determinati pacchetti in Wireshark? Pensi che l’utilizzo di un filtro di visualizzazione ti aiuterà a diventare più efficiente quando utilizzi la piattaforma? Dicci cosa ne pensi del filtro di visualizzazione Wireshark nei commenti qui sotto.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *