فیلتر آی پی و پروتکل در وایرشارک

1

وایرشارک یکی از قدرتمند ترین ابزارهای عیب یابی شبکه های کامپیوتری است. پیش از این همکار عزیزم ، مهندس علی کارآگاه در مقاله ” نصب WireShark در ابونتو ” نحوه نصب این ابزار را در لینوکس آموزش داده است. همچنین در مقاله ” یافتن آی پی دستگاه با استفاده از فیلتر MAC  در وایرشارک ” نشان دادیم که چگونه می توانیم تنها با داشتن آدرس مک یک دستگاه متصل به PC خودمان و با استفاده از فیلتر MAC در وایرشارک ، آی پی آن دستگاه را پیدا کنیم؟ در این راهنما مروری بر یکی دیگر از فیلترهای مفید در وایرشارک خواهیم داشت.

فیلتر آدرس آی پی در وایرشارک

فرض کنید به هر دلیلی قصد دارید که تنها بسته هایی را در ترافیک Capture شده مشاهده نمایید که در آن ها آدرس آی پی خاصی وجود دارد. در این صورت تنها کافی ست که در نوار فیلتر از عبارت ip.addr == X.X.X.X استفاده نمایید. به جای X.X.X.X آی پی مورد نظرتان را تایپ کنید :

فیلتر آی پی و پروتکل در وایرشارک

نکته ای که در مورد این فیلتر وجود دارد این است که در زمان استفاده از فیلتر ip.addr همه بسته هایی که حاوی این آدرس باشند به شما نمایش داده خواهند شد. در بعضی از شرایط ، به دلیل تعداد زیادی بسته ها شما نیاز دارید که نتایج را محدود تر کنید تا سریع تر به بسته ای که برای عیب یابی شبکه تان نیاز دارید برسید. در این حالت می توانید از فیلترهای دقیق تری استفاده نمایید. برای مثال از فیلتر آی پی مقصد یا مبدا بهره ببرید.

فیلتر مورد نیاز برای نمایش بسته هایی که آدرس آی پی مقصد آن ها برابر با آدرس مورد نظر شما است به صورت ip.dst == X.X.X.X نوشته می شود. همین فیلتر برای آی پی مبدا به صورت ip.src == X.X.X.X نیز وجود دارد.

فیلتر پروتکل در Wireshark

در کنار فیلتر آی پی یکی دیگر از پرکاربردترین فیلتر ها ، فیلتر مربوط به پروتکل است. فرض کنید که شما نیاز دارید تنها بسته های مربوط به پروتکل ARP را مشاهده نمایید. در این صورت تنها کافی ست که نام پروتکل مورد نظرتان را در نوار Filter بنویسید و کلید اینتر را فشار دهید. این پروتکل می تواند هر کدام از پروتکل های استاندارد RFC که مد نظرتان است باشد. برای مثال DNS ، HTTP و …

همچنین این امکان وجود دارد که دو پروتکل را به صورت هم زمان فیلتر کنید. برای مثال اگر من قصد داشته باشم که پروتکل http و DNS را به صورت هم زمان فیلتر کنم ، کافی ست که فیلتر را به صورت زیر بنویسم :

دقت داشته باشید , همان طور که از قبل می دانیم and به این معناست که تنها بسته هایی نمایش داده می شوند که این پروتکل در آن ها به صورت هم زمان وجود داشته باشد. اگر بخواهید هم بسته های حاوی پروتکل DNS و هم HTTP نمایش داده شوند باید از عملگر or بهره ببرید.

مطالب مرتبط
1 نظر
  1. zahra می گوید

    سلام
    من میخوام عملیات فیلترینگ مثلا در tcp رو
    بر اساس یک دیتا پیدا کنم
    میشه کمکم کنید

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.