Фильтры Wireshark

Шпаргалка

Wireshark — программа для анализа сетевого трафика в компьютерных сетях, обладающая широким набором возможностей — от выявления неполадок сетевого подключения до выявления активности вредоносных программ. В данной статье приведены примеры фильтров отображения (не захвата) для поиска целевого трафика.

Интерфейс программы:

wireshark-examples

Фильтры задаются в верхней части окна, в поле с надписью Apply a display filter.

Операторы фильтров Wireshark

Оператор Значение
== равно
!= не равно (кроме)
> больше
< меньше
>= больше или равно
<= меньше или равно
contains содержит (точное соответствие)
matches совпадает (регулярное выражение)

Операторы объединения правил Wireshark

Текстовый оператор Символьный оператор Значение
and && Логическое И
or Логическое ИЛИ
xor ^^ Исключающее ИЛИ
not ! Логическое НЕ
in В (поиск в массиве)
[…] Подпоследовательность

Фильтры Wireshark

Конструкции с .src отлавливают трафик ОТ указанного значения
Конструкции с .dst отлавливают трафик К указанному значению
Конструкции с .addr отлавливают трафик в обоих направлениях

Фильтр Значение
ip.addr ip.src ip.dst ip.host Фильтр по IPv4
ipv6.addr ipv6.src ipv6.dst Фильтр по IPv6
tcp tcp.port tcp.dstport tcp.srcport Фильтры по протоколу TCP
udp udp.port udp.dstport udp.srcport Фильтры по протоколу UDP
arp arp.src arp.dst arp.dst.hw_mac ARP-фильтры
icmp icmpv6 icmp.type Фильтры протокола ICMP
eth eth.addr eth.dst eth.src Ethernet-фильтры
http http2 http.host http.request http.content_type Протокол HTTP
sip rtp rtcp raw_sip iax2 Фильтры для трафика IP телефонии
rdp Remote Desktop Protocol
vnc Virtual Network Computing
l2tp Layer 2 Tunneling Protocol
ldap Lightweight Directory Access Protocol
openvpn OpenVPN Protocol
ppp Point-to-Point Protocol
pppoe pppoed pppoes PPP-over-Ethernet
pptp Point-to-Point Tunneling Protocol
smtp imap pop Протоколы почтовых приложений
ftp tftp uftp File Transfer Protocol
ssh Secure Shell

Приведенный список содержит часть самых популярных фильтров, полный список доступен на сайте Wireshark.

Примеры фильтров

Фильтры по IP-адресу

ip.addr == 10.20.30.0/24
!(ip.addr == 10.20.30.1)
ip.src == 192.168.88.22 && ip.dst == 192.168.88.1
ip.addr => 172.16.10.10 && ip.addr <= 172.16.10.50

Фильтры по dns-имени

tcp contains "koobik.net"
http.host == "blog.koobik.net" (поиск точного значения в заголовках http)
http.host contains "koobik.net" (поиск содержимого в заголовках http)
http.host (все запросы с полем host в заголовке http)

Фильтры по портам

tcp.port == 443
tcp.dstport == 80 
udp.srcport == 53

Фильтры по DHCP

udp.dstport == 67
bootp.option.dhcp

Фильтры по содержимому

http.content_type contains "jpeg" 
http.content_type contains "image"
http.content_type contains "xml" 
http.request.uri contains "rar"

Фильтры для ICMP

icmp
icmp.type==0 (ответы на ping)
icmp.type==3 (ошибки недоступности)

Фильтры заголовков HTTP

http.content_type == "text/plain" (по значению поля content type)
http.request.method == "POST"
http.request.method == "GET"
http.response.code == 404 (по коду ответа)
http.response.code != 200 (по коду ответа)
http.server == "nginx" (по значению поля server)

Фильтры для анализа SIP-трафика

sip
rtp
rtcp
rtpevent
udp.srcport >= 10000 && udp.srcport <= 20000
udp.port == 5060 || tcp.port == 5060

Фильтр по содержимому пакета

frame matches "искомый текст"