I migliori filtri Wireshark

Wireshark , precedentemente chiamato Ethereal, è un potente programma open source che aiuta gli utenti a monitorare e analizzare le informazioni inviate da e verso una rete specifica. Il software può elaborare dati complessi da centinaia di protocolli nella maggior parte dei tipi di reti, organizzandoli in pacchetti di dati. Tuttavia, quando la rete si guasta improvvisamente o ha problemi, la ricerca di pacchetti può essere opprimente e richiedere molto tempo ed energia. È qui che la natura maneggevole di Wireshark torna utile.

Il software supporta filtri che consentono di setacciare rapidamente grandi quantità di informazioni. Invece di controllare manualmente i file acquisiti, puoi applicare un filtro che ti porterà ai dati che desideri controllare.

Continua a leggere per conoscere i migliori filtri Wireshark e come aggiungerli ai segnalibri per dopo.

Filtri Wireshark

Ci sono due tipi di filtri in Wireshark. Il primo sono i filtri di acquisizione e il secondo sono i filtri di visualizzazione. Funzionano con una sintassi diversa e servono a scopi specifici.

I filtri di acquisizione vengono impostati prima dell’avvio dell’operazione di acquisizione. Cattura le impostazioni del filtro registra e salva solo l’analisi del traffico che ti interessa. Una volta avviata l’operazione di acquisizione, la modifica di questo tipo di filtro diventa impossibile.

D’altra parte, i filtri di visualizzazione contengono opzioni che si applicano a tutti i pacchetti acquisiti. È possibile impostare questo tipo di filtro prima di avviare un’operazione di acquisizione e quindi regolarlo o disabilitarlo. Inoltre, è possibile impostarlo durante l’operazione. Il filtro di visualizzazione memorizza i dati in un buffer di traccia, nascondendo il traffico che non ti interessa e visualizzando solo le informazioni che desideri visualizzare.

Wireshark ha un’impressionante libreria di filtri integrati che aiutano gli utenti a prendere un migliore controllo delle loro reti. Per accedere e utilizzare un filtro esistente, è necessario inserire il nome corretto nella sezione Applica filtro di visualizzazione sotto la barra degli strumenti del programma. Se desideri trovare e applicare un filtro di acquisizione, utilizza la sezione Entra in acquisizione al centro della schermata di benvenuto.

Mentre Wireshark vanta capacità di filtraggio complete, ricordare la sintassi corretta è spesso difficile. Quando fai fatica a inserire un filtro appropriato, stai perdendo tempo prezioso.

Ma sei fortunato. Abbiamo compilato un elenco dei migliori filtri Wireshark per aiutarti a ottenere il massimo dal programma ed eliminare le congetture dall’analisi di pile di dati salvati.

I migliori filtri Wireshark

Diamo un’occhiata ad alcuni filtri utili che ti permetteranno di padroneggiare il programma.

indirizzo ip == xxxx

Il filtro sopra mostrerà solo i pacchetti acquisiti contenenti l’indirizzo IP specificato. Questo è uno strumento utile per controllare un tipo di traffico. L’applicazione del filtro elaborerà il traffico in uscita e determinerà quale corrisponde all’origine o all’indirizzo IP che stai cercando.

Se vuoi filtrare per destinazione, usa l’opzione ip.dst == xxxx.

L’opzione ip.src == xxxx ti aiuta a filtrare per fonte.

ip.addr == xxxx && ip.addr == xxxx

Questa riga imposta un filtro di dialogo tra due indirizzi IP preimpostati. Questo è prezioso per verificare i dati tra due reti o host selezionati. Il filtro ignora i dati irrilevanti e si concentra solo sulla ricerca delle informazioni che ti interessano di più.

Utilizzare la riga ip.src == xxxx && ip.dst == xxxx per filtrare la destinazione.

http o dns

Quando applichi questo filtro, visualizzerà ogni protocollo DNS o HTTP. Questo è un filtro per risparmiare tempo che ti consente di concentrarti sul protocollo specifico che desideri apprendere. Ad esempio, se hai bisogno di trovare traffico FTP sospetto, tutto ciò che devi fare è impostare un filtro per “ftp”. Per scoprire perché la pagina web non viene visualizzata, imposta il filtro su “dns”.

tcp.port==xxx

Il filtro sopra restringe la ricerca a una destinazione o una porta di origine specifica. Invece di guardare l’intero pacchetto catturato, il filtro genera dati sul traffico in entrata o in uscita da una porta. Questo è uno dei filtri più pratici su cui puoi fare affidamento per il tuo compito quando hai poco tempo.

tcp.flags.reset==1

L’applicazione di questo filtro mostrerà ogni ripristino del TCP. Ogni pacchetto catturato ha un TCP associato. Quando il suo valore è uno, notifica al PC ricevente che dovrebbe smettere di usare questa connessione. Questo è uno dei filtri Wireshark più impressionanti poiché un ripristino TCP interromperà immediatamente la connessione.

tcp contiene xxx

Questo filtro troverà tutti i pacchetti di acquisizione TCP contenenti il ​​termine specificato. Se ti stai chiedendo dove appare un elemento nell’acquisizione, inserisci il suo nome invece di “xxx”. Il filtro troverà tutte le istanze del termine, risparmiandoti la fatica di leggere il pacchetto. Ad esempio, se sostituisci “xxx” con “traffico”, vedrai tutti i pacchetti contenenti “traffico”. L’uso migliore di questo filtro è scansionare un ID utente o una stringa specifici.

!(arp o icmp o dns)

Il filtro sopra è progettato per escludere determinati protocolli. Usalo per rimuovere i protocolli arp, dns o icmp non necessari. Ti consente di bloccare i dati che distraggono in modo da poterti concentrare sull’analisi di informazioni più importanti.

tcp.time_delta>. 250

Questo filtro visualizza i pacchetti TCP con un delta time maggiore di 250 ms nel suo flusso.

Ricorda che devi calcolare il timestamp di conversione TCP prima di utilizzare il filtro. Sebbene il calcolo della latenza nelle conversazioni non sia troppo difficile, richiede una conoscenza avanzata di Wireshark.

tcp.analysis.flags &&! tcp.analysis.window_update

Questo filtro consente di visualizzare le ritrasmissioni, le finestre nulle e gli attacchi di replica in un’unica traccia. Questo è un ottimo modo per trovare scarse prestazioni dell’applicazione o perdita di pacchetti.

Suggerimenti per l’utilizzo dei filtri Wireshark

Se non ricordi la sintassi del filtro corretta, ti frustrerà e potrebbe impedirti di trovare rapidamente dati preziosi.

A volte la funzione di completamento automatico di Wireshark può aiutarti a risolvere un problema. Ad esempio, se sei sicuro che il filtro inizi con “tcp”, inserisci queste informazioni nell’apposito campo di ricerca. Wireshark creerà un elenco di filtri che iniziano con “tcp”. Scorri i risultati della ricerca fino a trovare l’alias corretto.

Un altro modo per trovare i filtri è l’opzione “segnalibro” accanto al campo di input. Quando selezioni Gestisci filtri di visualizzazione o Gestisci espressioni filtro, puoi modificare, aggiungere o rimuovere filtri. Se non sei particolarmente sicuro di ricordare abbreviazioni sintattiche complesse, l’opzione “segnalibro” è uno strumento utile per recuperare i filtri Wireshark comunemente usati.

Invece di reinserire filtri di acquisizione complessi, segui questi passaggi per salvarli nel menu dei segnalibri:

• Avvia Wireshark e vai all’opzione “segnalibro”.

• Fare clic su “Gestisci filtri di visualizzazione” per aprire la finestra di dialogo.

• Trova il filtro corrispondente nella finestra di dialogo, toccalo e fai clic sul pulsante “+” per salvarlo.

Ecco cosa devi fare per salvare il filtro di visualizzazione:

• Apri Wireshark e vai all’opzione “segnalibro”.

• Seleziona “Gestisci filtri di visualizzazione” per aprire la finestra di dialogo.

• Scorri l’elenco delle opzioni, tocca due volte il filtro pertinente e fai clic sul pulsante “+” per salvarlo come segnalibro.

Se hai fretta di analizzare determinati dati, puoi fare clic sulla freccia giù accanto al campo di input. L’azione creerà un elenco di filtri utilizzati in precedenza.

Usa i filtri per una facile analisi dei dati

Wireshark è diventato uno degli analizzatori di protocolli di rete più popolari grazie ai suoi pratici filtri. Puoi usarli per risparmiare tempo e trovare rapidamente parametri specifici come indirizzi IP o valori esadecimali. Se hai difficoltà a ricordare i vari nomi dei filtri utilizzati di frequente, salvali come segnalibri per un uso successivo.

Quanto spesso usi i filtri Wireshark? Ti affidi di più ai filtri di acquisizione o visualizzazione? Hai mai usato alcune delle opzioni sopra menzionate? Fateci sapere nei commenti qui sotto.