NetCLI

Tag: Wireshark

  • (K) Wireshark*

    (K) Wireshark*

    Filtrowanie ruchu sieciowego:

    Filtrowanie ruchu na podstawie protokołów

    Serach> ip.proto eq ID

    Filtruje ruch sieciowy w poszukiwaniu pakietów określonego protokołu.

    Serach> bootp

    Filtruje ruch sieciowy w poszukiwaniu wszelkich wiadomości protokołu DHCP.

    Serach> icmp

    Filtruje ruch sieciowy w poszukiwaniu wszelkich wiadomości ICMP.

    Serach> cdp

    Filtruje ruch sieciowy w poszukiwaniu wszelkich wiadomości protokołu CDP.

    Serach> hsrp

    Filtruje ruch sieciowy w poszukiwaniu wszelkich wiadomości protokołu HSRP.

    Filtrowanie ruchu na podstawie adresów IP

    Serach> ip.src==adres-IP

    Wyświetla cały ruch z określonym adresem źródłowym.

    Serach> ip.dst==adres-IP

    Wyświetla cały ruch z określonym adresem docelowym.

    Serach> ip.addr==adres-IP

    Wyświetla cały ruch z określonym adresem IPv4.

    Serach> ipv6.addr==adres-IP

    Wyświetla cały ruch z określonym adresem IPv6.

    Filtrowanie protokołu EIGRP

    Serach> (eigrp.opcode == 5) && (eigrp.ack == 0)

    Wyświetla wiadomości powitalne (Hello).

    Serach> eigrp.stub_flags

    Wyświetla wiadomości powitalne (Hello), propagowane przez rutery Stub.

    Serach> eigrp.opcode == 1

    Wyświetla zarówno pełne (Full) jak i częściowe (Partial), wiadomości aktualizacyjne (Update).

    Serach> (eigrp.opcode == 1) && !(ip.dst == 224.0.0.10)

    Wyświetla pełne (Full), wiadomości aktualizacyjne (Update).

    Serach> (eigrp.opcode == 1) && (ip.dst == 224.0.0.10)

    Wyświetla częściowe (Partial), wiadomości aktualizacyjne (Update).

    Serach> (eigrp.opcode == 1) && (expert.message == “Destination unreachable”)

    Wyświetla wiadomości aktualizacyjne (Update), zawierające trasy “poison reverse”.

    Serach> (eigrp.opcode == 5) && !(eigrp.ack == 0)

    Wyświetla wiadomości Acknowledge.

    Serach> eigrp.opcode == 3

    Wyświetla wiadomości Query.

    Serach> eigrp.opcode == 4

    Wyświetla wiadomości Replay.

    Przykładowe filtru ruchu sieciowego

    Serach> eth.addr[0:3]==00:06:5B

    Wyświetla adresy MAC przypisane przez firmę DELL.

    Wyrażenie wykorzystywane podczas filtracji:

    Operacje logiczne

    Serach> wyrażenie1 and wyrażenie2

    Wyświetla wyrażenie pierwsze i drugie.

    Serach> wyrażenie1 or wyrażenie2

    Wyświetla wyrażenie pierwsze bądź drugie.

    Serach> tcp.port eq port

    Wyświetla ruch kierowany na dany port TCP.

    Wyrażenia filtrujące

    Serach> tcp.port operator-logiczny port

    Wyświetla ruch kierowany na dany port TCP.

    Filtrowanie ruchu na podstawie adresu IP

    Serach> host adres-IP

    Wyświetla ruch sieciowy pochodzący

    Serach> net adres-IP/prefix

    Wyświetla