Wireshark è uno strumento essenziale per gli analisti di rete e gli ingegneri di sicurezza. Permette loro di acquisire e analizzare il traffico di rete, contribuendo a risolvere i problemi, identificare le minacce alla sicurezza e ottimizzare le prestazioni della rete. Una delle caratteristiche chiave di Wireshark è la sua potente capacità di filtraggio, che consente agli analisti di concentrarsi su pacchetti di interesse specifici. In questo articolo, esploreremo 14 filtri Wireshark che i nostri ingegneri trovano particolarmente utili nel loro lavoro quotidiano.
1. ip. host == "192. 168. 1. 1": questo filtro visualizza solo i datagrammi IP la cui sorgente o indirizzo di destinazione è 192. 168. 1. 1. È un filtro di base che aiuta a restringere il traffico a un host specifico.
2. TCP. PORT == 80: questo filtro mostra solo i pacchetti TCP che utilizzano la porta 80. È particolarmente utile quando si risolvono il traffico Web o analizzano le richieste e le risposte HTTP.
3. ip. addr == 10. 0. 0. 0/24: questo filtro consente di filtrare il traffico in base a indirizzi IP o sottonetti. In questo esempio, visualizza tutti i pacchetti la cui origine o l'indirizzo di destinazione rientra nella sottorete 10. 0. 0. 0/24.
4. tcp.len >100: questo filtro aiuta a identificare i pacchetti TCP più grandi di 100 byte. Può essere utile per rilevare pacchetti insolitamente grandi o studiare problemi di prestazioni.
5. SMB. Path contiene "documenti": questo filtro cerca pacchetti SMB che contengono la parola "documenti" nel percorso del file. È utile per l'analisi dei trasferimenti di file SMB e l'identificazione di file o directory specifici.
6. tcp. flags. syn == 1 e tcp. flags. ack == 0: questo filtro cattura i pacchetti TCP con il set di flag syn e il flag ACK nont. Può essere utilizzato per identificare nuove connessioni TCP in un'acquisizione di rete.
7. Frame. len<= 64 : This filter displays frames with a length of 64 bytes or less. It can be helpful for identifying small packets or investigating potential issues with fragmentations.
8. TCP. analysis. retransmission: questo filtro evidenzia i pacchetti TCP che sono stati ritrasmessi. È essenziale per la risoluzione dei problemi di prestazioni della rete e l'identificazione di possibili perdite di pacchetti.
9. ICMP. Type == 8 e Icmp. Code == 0: questo filtro cattura le richieste di eco ICMP (Ping) con un codice di 0. È utile per il monitoraggio della connettività della rete e la risoluzione dei problemi di rete.
10. Http. host contiene "Esempio. com": questo filtro visualizza i pacchetti HTTP con il dominio "Esempio. com" nell'intestazione host. Può essere utilizzato per filtrare il traffico specifico del sito Web o studiare potenziali problemi relativi a HTTP.
11. udp contiene "qualchetesto": questo filtro cattura i pacchetti UDP che contengono la stringa "qualchetesto". È utile per cercare contenuti specifici all'interno del traffico UDP, come query DNS o protocolli personalizzati.
12. ip. dst == 192. 168. 0. 0/16 e tcp. srcport == 443: questo filtro mostra i pacchetti con un IP di destinazione all'interno della sottorete 192. 168. 0. 0/16 e una porta di origine 443. Può essere utile per monitorare le uscite in uscitaTraffico HTTPS.
13. http. request. method == "POST" : questo filtro visualizza i pacchetti HTTP che utilizzano il metodo di richiesta POST. È utile quando si indaga su problemi relativi al POST o si monitorano tipi specifici di traffico web.
14. frame. protocols == "tcpip" o frame. protocols == "udptcp12" : questo filtro mostra i frame con il protocollo "tcpip" o "udptcp12". È un filtro versatile che può essere utilizzato per filtrare protocolli specifici o combinazioni di protocolli.
Sebbene questi filtri Wireshark siano solo un punto di partenza, possono migliorare significativamente le tue capacità di analisi e aiutarti a scoprire informazioni cruciali all'interno delle tue acquisizioni di rete. Padroneggiando questi filtri ed esplorando le loro variazioni, puoi diventare un analista di rete o un ingegnere della sicurezza più efficace.
Acquisizione e analisi del traffico di rete
L'acquisizione e l'analisi del traffico di rete è un compito fondamentale per gli ingegneri di rete, poiché consente loro di monitorare e risolvere i problemi di rete in modo efficace. Wireshark è un potente strumento che aiuta a catturare e analizzare il traffico di rete. Con Wireshark, gli ingegneri possono ottenere preziose informazioni sui pacchetti che circolano attraverso la rete e identificare e risolvere eventuali problemi che potrebbero sorgere.
Quando si acquisisce il traffico di rete utilizzando Wireshark, è possibile applicare filtri per concentrarsi su specifici pacchetti di interesse. I filtri aiutano a restringere i dati acquisiti per visualizzare solo i pacchetti rilevanti. Questi filtri possono essere scritti utilizzando il linguaggio di espressione dei filtri di Wireshark, che supporta un'ampia gamma di operatori e tipi. Che si tratti di acquisire traffico da un indirizzo IP specifico, di filtrarlo per protocollo o di cercare pacchetti contenenti informazioni specifiche, Wireshark ti copre.
Wireshark fornisce una varietà di filtri di acquisizione che possono essere utilizzati per definire quali pacchetti devono essere catturati. Alcuni dei filtri di acquisizione più comunemente utilizzati includono:
tcp: questo filtro cattura solo i pacchetti TCP.ip. src == 10. 0. 0. 1: questo filtro cattura i pacchetti solo dall'indirizzo IP di origine 10. 0. 0. 1.udp e porta 53: questo filtro cattura solo i pacchetti UDP con una porta di destinazione 53 (DNS).src rete 192. 168. 0. 0/16: questo filtro cattura i pacchetti provenienti dalla sottorete di origine specificata.icmp[tipo icmp] == 8: questo filtro cattura i pacchetti di richiesta eco ICMP (Ping).tcp[tcpflags] & amp;(tcp-syn|tcp-fin) != 0: questo filtro cattura i pacchetti TCP SYN o FIN.host ip. dst 192. 168. 1. 10 e porta TCP 80: Questo filtro cattura i pacchetti destinati all'host con indirizzo IP 192. 168. 1. 10 e con una porta di destinazione 80 (HTTP).tcp. seq == 123456789: questo filtro cattura i pacchetti con un numero di sequenza TCP pari a 123456789.ip. len & gt; 1500: questo filtro cattura i pacchetti con una lunghezza dell'intestazione IP maggiore di 1500 byte.http. request. method == "OTTIENI": questo filtro cattura i pacchetti con un metodo di richiesta HTTP GET.dns. resp. name contiene "esempio. com": questo filtro cattura i pacchetti DNS con un nome di risposta contenente "example. com".ip. addr == 192. 168. 0. 1 e icmp: questo filtro cattura i pacchetti ICMP con indirizzo IP di origine o di destinazione 192. 168. 0. 1.tcp. window_size == 0: questo filtro cattura i pacchetti con una dimensione della finestra TCP pari a 0.(arp o icmp) e non trasmesso: questo filtro cattura i pacchetti ARP o ICMP, esclusi i pacchetti broadcast.
Questi filtri di acquisizione consentono agli ingegneri di rete di acquisire e analizzare il traffico di rete in base a criteri specifici. Utilizzando questi filtri in modo efficace, gli ingegneri possono isolare e identificare rapidamente i problemi di rete e intraprendere le azioni necessarie per risolverli.
È importante notare che Wireshark supporta anche i filtri di visualizzazione, che vengono utilizzati per filtrare e analizzare i pacchetti catturati in base a criteri specifici dopo che i pacchetti sono stati catturati. I filtri di visualizzazione offrono agli ingegneri maggiore flessibilità nell'analisi dei pacchetti catturati consentendo loro di concentrarsi su aspetti specifici dei dati catturati.
Nel complesso, acquisire e analizzare il traffico di rete utilizzando Wireshark è un compito cruciale per gli ingegneri di rete. Fornisce preziose informazioni sulla rete, aiuta nella risoluzione dei problemi e consente una gestione e un'ottimizzazione efficaci della rete.
Filtraggio di protocolli specifici
Quando si analizza il traffico di rete con Wireshark, è spesso necessario filtrare protocolli specifici per concentrarsi su quelli più rilevanti per la propria indagine. Wireshark offre potenti funzionalità di filtro che ti consentono di estrarre in modo efficiente le informazioni desiderate.
Un caso d'uso comune è filtrare protocolli specifici come HTTP. Ciò può essere ottenuto utilizzando il filtro display HTTP. Ad esempio, per mostrare solo il traffico HTTP, è possibile utilizzare il seguente filtro:
http
Applicando questo filtro, Wireshark visualizzerà solo i pacchetti che appartengono al protocollo HTTP.
Un altro filtro importante è il filtro di visualizzazione IPv6. Ciò consente di visualizzare solo il traffico IPv6. Per applicare questo filtro, utilizzare la seguente espressione:
IPv6
Wireshark fornisce anche filtri per tipi di trasmissione specifici, come TCP. Per filtrare i pacchetti TCP, è possibile utilizzare il filtro di visualizzazione TCP:
tcp
Allo stesso modo, è possibile filtrare i pacchetti UDP utilizzando il filtro di visualizzazione UDP:
UDP
Inoltre, Wireshark consente di filtrare i pacchetti in base ai loro numeri di porta. Ad esempio, per mostrare solo pacchetti con una porta di origine di 80, è possibile utilizzare il seguente filtro:
tcp. srcport == 80
È inoltre possibile filtrare i pacchetti in base alle gamme di porte. Ad esempio, per visualizzare pacchetti con porte di destinazione tra 5000 e 6000, è possibile utilizzare il seguente filtro:
tcp.dstport >= 5000 e tcp. dstport<= 6000
Vale la pena notare che Wireshark supporta operatori bitwise e confronti per filtri più complessi. Ad esempio, è possibile filtrare i pacchetti in base alla dimensione della finestra TCP utilizzando il seguente filtro:
tcp.window_size >1500
Inoltre, Wireshark consente di filtrare i pacchetti in base a campi o valori specifici. Ad esempio, è possibile filtrare i pacchetti che contengono un campo specifico simile a una stringa utilizzando l'operatore contiene. Il seguente filtro dimostra come filtrare i pacchetti che contengono la stringa "SMBPath" in qualsiasi campo:
il frame corrisponde "(? i) sMbpath"
Un'altra potente capacità è la capacità di filtrare i pacchetti in base a protocolli specifici o livelli di protocollo. È possibile utilizzare il frame contiene operatore per filtrare i pacchetti che contengono un protocollo specifico. Ad esempio, per filtrare i pacchetti che contengono il protocollo HTTP, utilizzare il seguente filtro:
Il frame contiene "http"
Quando si tratta di pacchetti frammentati, Wireshark consente anche di filtrare i pacchetti in base al fatto che siano frammentati. Ad esempio, per visualizzare solo datagrammi IPv4 frammentati, è possibile utilizzare il seguente filtro:
ip. flags. mf == 1
È importante notare che quando si costruiscono filtri complessi, potrebbe essere necessario utilizzare parentesi per definire l'ordine delle operazioni. Ciò garantisce che il filtro sia valutato correttamente. Per esempio:
(tcp. port == 80 o tcp. port == 443) e ip. dst == 192. 168. 0. 1
Infine, Wireshark fornisce una vasta gamma di filtri di acquisizione predefiniti che è possibile utilizzare per specificare i tipi di pacchetti da acquisire. Questi filtri sono espressi utilizzando il linguaggio del filtro PCAP. Alcuni dei filtri di acquisizione disponibili includono host, rete, porta ed etere. Ad esempio, il seguente filtro di acquisizione catturerà solo il traffico HTTP:
Porta TCP 80
Conoscendo e utilizzando queste potenti funzionalità di filtraggio, è possibile analizzare ed estrarre efficacemente le informazioni di cui hai bisogno dal traffico di rete.
Identificare e risolvere i problemi di rete
Quando si tratta di risolvere i problemi di rete, avere gli strumenti e le tecniche giuste può fare la differenza. Wireshark, un potente strumento di analisi della rete, aiuta gli ingegneri a identificare e risolvere efficacemente i problemi di rete. Utilizzando i filtri WireShark, gli ingegneri possono restringere la loro analisi e concentrarsi sui pacchetti che forniscono informazioni pertinenti. In questo articolo, esploreremo 14 potenti filtri Wireshark che i nostri ingegneri utilizzano frequentemente per risolvere i problemi di rete.
1. Filtri di acquisizione:
Il primo passo nella risoluzione dei problemi di rete è l'acquisizione dei pacchetti giusti. I filtri di acquisizione consentono agli ingegneri di specificare i criteri per l'acquisizione di pacchetti, quali indirizzi di origine o destinazione, protocolli o numeri di porta. Ad esempio, il filtroip. src == 192. 168. 1. 1Cattura i pacchetti con un indirizzo IP di origine di 192. 168. 1. 1.
2. Filtri di visualizzazione:
Una volta acquisiti i pacchetti, gli ingegneri possono applicare i filtri di visualizzazione per analizzare ulteriormente i dati acquisiti. I filtri di visualizzazione aiutano a filtrare i pacchetti indesiderati e concentrarsi su conversazioni o protocolli specifici. Ad esempio, il filtrohttp. request. method == "OTTIENI"Visualizza i pacchetti che contengono richieste HTTP.
3. Filtri dell'indirizzo:
I filtri dell'indirizzo consentono agli ingegneri di filtrare i pacchetti in base ai loro indirizzi IP di origine o di destinazione. Per esempio,ip. dst == 192. 168. 1. 1Filtri pacchetti con indirizzo IP di destinazione di 192. 168. 1. 1.
4. Filtri del protocollo:
I filtri del protocollo vengono utilizzati per filtrare i pacchetti in base a protocolli specifici. Ad esempio, il filtrotcpVisualizza solo i pacchetti TCP catturati.
5. Filtri della porta:
I filtri di porta consentono agli ingegneri di filtrare i pacchetti in base a numeri di porta specifici. Per esempio,tcp. port == 80Filtri pacchetti con una porta di destinazione o di origine di 80, che viene comunemente utilizzato per il traffico HTTP.
6. Filtri multicast:
Durante la risoluzione dei problemi relativi ai problemi multicast, gli ingegneri possono utilizzare filtri multicast per concentrarsi su pacchetti multicast. Per esempio,igmpfiltra i pacchetti IGMP (Internet Group Management Protocol).
7. Filtri per pacchetti frammentati:
I pacchetti frammentati sono pacchetti divisi in frammenti più piccoli a causa delle limitazioni della rete. Gli ingegneri possono filtrare i pacchetti frammentati utilizzando il filtroip. flags. mf == 1.
8. Filtri di conversazione:
I filtri di conversazione consentono agli ingegneri di acquisire e analizzare i pacchetti scambiati tra indirizzi specifici. Per esempio,indirizzo ip == 192. 168. 1. 1 && indirizzo ip == 192. 168. 1. 2filtra i pacchetti tra gli indirizzi IP 192. 168. 1. 1 e 192. 168. 1. 2.
9. Filtri di iscrizione:
I filtri di appartenenza aiutano gli ingegneri a identificare i membri di un gruppo multicast. Ad esempio, il filtroigmpv3. memb e igmpv3. reportvisualizza i rapporti sull'appartenenza a IGMPv3.
10. Filtri del formato dell'intestazione:
I filtri del formato dell'intestazione consentono agli ingegneri di filtrare i pacchetti in base a formati di intestazione specifici. Ad esempio, il filtroWelchiavisualizza i pacchetti con un formato di intestazione worm Welchia.
...
...
...
...
...
...
...
...
...
...
...
