wireshark filter

Khả năng lọc của Wireshark là rất tuyệt vời. Bạn có thể lọc trên 1 vài trường của mọi giao thức, thậm chí cả dữ liệu HEXA. Nhưng đôi khi, việc thiết lập bộ lọc trong Wireshark, chúng ta khó nhớ cú pháp lọc! Vì vậy dưới đây liệt kê 10 bộ lọc hay được sử dụng trong Wireshark nhất. Mà tôi cũng hay quan tâm và sử dụng.

[Thiết lập bộ lọc chỉ lấy các gói tin có địa chỉ nguồn hoặc đích là 10.0.0.1]

ip.addr == 10.0.0.1

[Thiết lập bộ lọc từ 2 địa chỉ IP gửi cho nhau]

ip.addr==10.0.0.1 && ip.addr==10.0.0.2

[Thiết lập bộ lọc hiển thị tất cả giao thức http và dns]

http or dns

[Bộ lọc chỉ hiển thị gói tin có giao thức TCP với cổng nguồn hoặc đích là 4000]

tcp.port==4000

[Hiển thị tất các gói tin TCP được thiết lập lại]

tcp.flags.reset==1

[Hiển thị giao thức http GET]

http.request

[Hiển thị các gói tin chứa từ ‘traffic’. Tuyệt vời khi sử dụng để tìm kiếm 1 chuỗi cụ thể hoặc định danh người dùng]

tcp contains traffic

[Không phải các giao thức arp, icmp, dns, hoặc bất cứ giao thức nhiễu. Cho phép bạn tập trung vào giao thức phân tích trọng tâm]

!(arp or icmp or dns)

[Lọc gói tin có chứa dữ liệu với mã HEX là 0x33 0x27 0x58]

udp contains 33:27:58

[Hiện thị tất cả các vết gửi lại. Giúp cho việc theo dõi hiệu năng của ứng dụng và các gói tin bị mất]

tcp.analysis.retransmission

About The Author