大多數情況下,當網絡崩潰或遇到問題時,您必須通過搜索捕獲到的數據包來查找問題。這就是諸如Wireshark之類的工具大顯身手的地方了。它是目前使用最廣泛的網絡協議分析器之一,它分析從網絡TAP(也稱為數據包捕獲設備)或計算機
的NIC發出的文件,并讓您深入了解它們的參數、消息、格式等。
然而,在捕獲網絡線路時會獲得的信息量令人生畏。捕獲如此多的數據包,意味着您最終将得到巨大的捕獲文件。不過幸運的是,Wireshark允許用戶快速過濾這些數據,因此您可以篩選您感興趣的部分,例如某個IP源或目标。您甚至可以比較值、搜索字符串、隐藏不必要的協議等。
下面介紹的過濾器均可用于實時捕獲以及導入的文件,從而使您可以在協議的幾乎任何字段上進行篩選,包括數據流的十六進制值。當然,您要過濾的内容完全取決于您的具體情況和目的。
我們咨詢了我們的工程師,他們最喜歡什麼過濾器以及如何使用它們。以下是一些他們常用的過濾器。
ip.addr == x.x.x.x
為任何以x.x.x.x作為源IP地址或目标IP地址的數據包設置過濾器。假設您要分析特定流量,這将非常有用。應用該過濾器可以幫助您分析傳出流量,查看有哪些數據與您要查找的IP或源相匹配。
您還可以選擇使用ip.dst == x.x.x.x,來僅按目标進行過濾,或者使用ip.src == x.x.x.x,進行按源過濾。
ip.addr == x.x.x.x && ip.addr == x.x.x.x (或者 ip.src == xxxx && ip.dst == xxxx – for a destination)
在兩個特定IP地址之間設置對話過濾器。這可以幫助您檢查兩個特定主機或網絡之間的數據。當您要查找特定數據時,這個過濾器可以提供幫助,所以無需再遍曆其他不感興趣的數據。
http or dns
設置過濾器以顯示所有http和dns協議。它可以縮小所需的确切協議範圍。因此,如果您需要跟蹤某些奇怪的ftp流量,則隻需将其設置為“ftp”。如果想找出為什麼某些網站沒有出現的原因?則隻需要将其設置為“dns”即可。
tcp.port==xxx
為具有特定源或目标端口的TCP數據包設置過濾器。隻查看進出某個特定端口的通信量是非常有用的,也不會耽誤太多時間。
tcp.flags.reset==1
設置過濾器來顯示所有的TCP重置。所有數據包都有一個TCP,如果将其設置為1,它會告訴接收方計算機應立即停止使用該連接。因此,此過濾器是一個強大的過濾器,因為TCP重置會立即終止TCP連接。
tcp contains xxx
該過濾器顯示了包含特定術語(不是xxx,請使用您要查找的術語)的所有TCP數據包。如果您要查找數據包中出現的特定術語,則需要此過濾器。
tcp.stream eq X
跟随tcp流。
tcp.seq == x
按序列号過濾。
tcp.flags.push == 1
對于故障排除很重要,此過濾器可檢測推送事件。
http.request
此過濾器過濾所有HTTP GET和POST請求。它可以顯示訪問量最大的網頁。
!(arp or icmp or dns)
它被設計用來過濾掉某些類型的協議,它屏蔽掉了arp、icmp、dns或其他你認為沒有用的協議。這将使你能集中注意力關注你感興趣的流量。
udp contains xx:xx:xx
它為任意偏移(offset)的特定十六進制值設置過濾器。
dns.flags.rcode != 0
指示無法正确解析哪些dns請求。
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!