قائمة لأعلى فلاتر أو مرشحات عرض Wireshark Filter التي تم البحث عنها, فاذا كنت تبحث عن فلتر Wireshark ، فهناك فرصة جيدة لأن تجد ما تبحث عنه في هذا المنشور.
لقد قمت بالتنقيب في أفضل 500 نتيجة بحث في Google تتعلق بفلاتر برنامج وايرشارك وقمت بتجميع قائمة بجميع استعلامات التصفية الفريدة للإجابة عليها.
هذا المقال سيعطينا قائمة بأفضل 47 فلترًا يبحث عنها الأشخاص! بعض عمليات البحث هذه تتعلق ببعضها البعض ، لذلك سيكون هناك بعض التكرار / التداخل ، لكنني قررت الإجابة على كل استعلام (Captute Options) حيث تم البحث عنه لمحاولة مساعدة أكبر عدد ممكن من الأشخاص بشكل مباشر حول تحليل مرور الباكت في الشبكة Network Traffic.
اخترت أيضًا أن أبقي معظم الأمثلة مختصرة لأن الشرح الكامل لكل مرشح يمكن أن يملأ كتابًا.
أقترح على أي شخص مهتم بمعرفة المزيد عن الفلتر أن يطلع أولاً بالمثال الوارد هنا في Wireshark Display Filters ثم يصل إلى صفحة Wireshark Display Filter Wiki الرسمية .
قد ترغب في استخدام ctrl + f للبحث في هذه الصفحة لأن القائمة ليست مرتبة أبجديا.
تصفية Wireshark بواسطة IP
ip.addr == 10.43.54.65
في اللغة الإنجليزية البسيطة ، يقرأ هذا الفلتر ، "تمرير كل حركة المرور التي تحتوي على عنوان IP يساوي 10.43.54.65." هذا سوف يتطابق في كل من المصدر والوجهة.
تصفية Wireshark حسب عنوان IP الوجهة
ip.dst == 10.43.54.65
لاحظ dst. هذا اختصار للوجهة. يقرأ ، "قم بتمرير كل حركة المرور باستخدام عنوان IP للوجهة يساوي 10.43.54.65."
تصفية Display Filters حسب عنوان IP المصدر
ip.src == 10.43.54.65
لاحظ ملف src. هذا اختصار للمصدر ، وأنا واثق من أنك اكتشفته بالفعل. إنه قابل للتبديل مع dst في معظم المرشحات التي تستخدم dst و src لتحديد معلمات الوجهة والمصدر.
يقرأ هذا الفلتر ، "تمرير كل حركة المرور مع IP المصدر يساوي 10.43.54.65."
تصفية Wireshark حسب نطاق IP
ip.addr >= 10.80.211.140 and ip.addr <= 10.80.211.142
يقرأ هذا الفلتر ، "تمرير كل حركة المرور التي لها عنوان IP أكبر من أو يساوي 10.80.211.140 وأقل من أو يساوي 10.80.211.242." لاحظ "and " ضمن التعبير.
إنها منطقية AND. يمكنك أيضًا استخدام "&&" بدلاً من "and ". هذا سوف يتطابق في كل من المصدر والوجهة.
بدلاً من ذلك ، يمكنك البحث حسب الشبكة الفرعية إذا كنت تعرف تدوين CIDR لنطاق IP الذي تهتم به كما هو معروض أدناه.
تصفية Wireshark متعدد IP
ip.addr == 10.43.54.65 and ip.addr == 10.43.54.69
بسيط جدًا ، إنه مجرد تصفية حسب تعبيرات IP المرتبطة بحرف "and ".
تقرأ "اجتياز كل حركة المرور باستخدام عنوان IP 10.43.54.65 وتمرير كل حركة المرور باستخدام و ip 10.43.54.69."
عنوان IP لتصفية Wireshark
!(ip.addr == 10.43.54.65)
لاحظ ال ! وهو أمر غير منطقي. يقرأ هذا "تمرير كل حركة المرور التي ليس لها عنوان IP يساوي 10.43.54.65."
تصفية Wireshark للشبكة الفرعية
ip.addr == 10.43.54.0/24
هذا مشابه جدًا لتعبير Filter by IP إلا أنه يستخدم تنسيق CIDR لشبكة فرعية بدلاً من IP واحد.
تصفية Wireshark حسب المنفذ
tcp.port == 25
udp.port == 123
لاحظ tcp و udp في بداية التعبير. هذا يخبر عامل التصفية عن البروتوكول الذي تريد تصفيته عند إرجاع النتائج التي تطابق رقم المنفذ الخاص بك.
مرشح Wireshark لمنفذ الوجهة
tcp.dstport == 25
يشبه إلى حد كبير عامل التصفية حسب IP ، يحتوي هذا المرشح على "dst" لتحديد الوجهة (Destination). بدلاً من ذلك ، يمكنك استخدام "src" في التعبير لتحديد المصدر (Source).
تصفية Wireshark حسب IP والبورت
ip.addr == 10.43.54.65 and Tcp.port == 25
سيبحث هذا عن جميع الحزم التي تحتوي على كل من 10.43.54.65 ومنفذ TCP 25 في أي من المصدر أو الوجهة.
يُنصح بتحديد المصدر والوجهة لعنوان IP والمنفذ الآخر الذي سينتهي بك الأمر بنتائج أكثر مما تبحث عنه على الأرجح. فمثلا:
ip.src == 10.43.54.65 and tcp.dstport == 25
سيعرض هذا جميع الحزم ذات عنوان مصدر 10.43.54.65 متجهًا إلى بورت Port TCP 25.
تصفية Wireshark حسب اسم البروتوكول
ما عليك سوى إدخال اختصار البروتوكول في حقل التصفية.
مرشح Wireshark TCP
TCP
تمامًا كما ورد أعلاه ، نظرًا لأن TCP عبارة عن بروتوكول ، فأنت تقوم فقط بإدخال TCP في حقل سلسلة التصفية.
مرشح Wireshark UDP
udp
تمامًا كما هو مذكور أعلاه ، نظرًا لأن UDP هو بروتوكول ، فأنت تقوم فقط بإدخال UDP في حقل سلسلة المرشح.
تصفية Wireshark Capture Filter HTTP
http
HTTP هو أمر صعب. إذا كنت تريد حقًا الحزم التي تستخدم بروتوكول HTTP ، فما عليك سوى إدخال "http" في حقل التصفية. ومع ذلك ، لن يظهر هذا setup و termination.
لرؤية هذه المعلومات أيضًا ، ستحتاج إلى استخدام عامل التصفية:
tcp.port == 80
تصفية Wireshark Capture Filter HTTPS
https
يشبه HTTPS إلى حد كبير HTTP من حيث أنك تريد استخدام المنفذ بدلاً من البروتوكول إذا كنت تريد الصورة الأكبر:
tcp.port == 443
ضع في اعتبارك أن حركة مرور HTTPS مشفرة ، لذا ما لم يكن لديك المفتاح الخاص ، فلن تتمكن من قراءة الحمولة payload.
الحصول على HTTP GET Request لعامل تصفية Wireshark
http.request.method == “GET”
إذا كنت تريد التصفية حسب طرق الطلب الأخرى ، يمكنك استبدال "GET" بالطريقة المناسبة مثل PUT و POST و DELETE و HEAD و OPTIONS و CONNECT و TRACE.
مرشح Wireshark لعرض HTTP POST
http.request.method == “POST”
تمامًا كما ورد أعلاه ، ستستخدم عامل التصفية "http.request.method" وتدخل POST للطريقة method.
تصفية عنوان URL لموقع Wireshark
http.host == “exact.name.here”
يتطلب هذا التعبير وضع عنوان url كاملاً مثل www.wikikali.blogspot.com . سيؤدي ترك www إلى عدم عرض أي حزم .
أفضل استخدام "contains" بدلاً من "==" بحيث يمكنك إرجاع جميع النتائج التي تحتوي على wikikali.blogspot.com.
http.host contains “partial.name.here”
سيؤدي هذا إلى إرجاع الحزم التي تحتوي على www.blogspot.com بالإضافة إلى wikikali.blogspot.com وحتى wikikali.blogspot.com
تصفية Wireshark حسب الوقت (الطابع الزمني)
frame.time >= “July 14, 2018 18:04:00” && frame.time <= “Dec 29, 2020 20:01:00”
يكافئ هذا الفلتر قول "اجتياز كل حركة المرور مع وقت وصول أكبر من أو يساوي 14 يوليو 2018 18:04:00 وأقل من أو يساوي Dec 29, 2020 20:01:00"
إحدى الحيل الرائعة التي يمكنك القيام بها في أوقات الإطارات هي النقر فوق حزمة في Wireshark في جزء قائمة الحزم ، ثم توسيع الإطار في جزء تفاصيل الحزمة ، ثم النقر بزر الماوس الأيمن فوق وقت الوصول والنقر فوق إعداد مرشح لملء سلسلة التصفية تلقائيًا مع بداية المرشح.
مرشح Wireshark ICMP
icmp
يمكنك ببساطة إدخال ICMP في حقل سلسلة التصفية. شاهد القائمة الكاملة لفلاتر ICMP .
ستكون ICMP لـ IPv6:
icmpv6
مرشح Wireshark IGMP
igmp
يمكنك ببساطة إدخال IGMP في حقل سلسلة المرشح لرؤية جميع الحزم القائمة على IGMP. شاهد القائمة الكاملة لفلاتر IGMP .
تصفية Wireshark حسب التطبيق
لا توجد طريقة مباشرة لتصفية حركة مرور تطبيق معين. في أفضل الأحوال ، يمكنك تحديد نوع حركة المرور التي يستخدمها التطبيق وتصفية ذلك مثل التصفية للمنفذ 25 عند البحث عن حركة المرور من تطبيق بريد إلكتروني يستخدم المنفذ 25.
أداة بديلة لـ Wireshark لفحص حركة المرور المتعلقة بالتطبيقات على نظام windows الأساسي ستكون Microsoft Message Analyzer .
مرشح Wireshark غير متساوٍ Filter Not Equal
!(filter_expression)
قد يكون هذا مثالًا شديد التبسيط ولكن معظم الأشخاص الذين يبحثون عن "Wireshark Filter Not Equal" ربما يحاولون معرفة كيفية تصفية جميع الحزم التي لا تساوي عنوان IP أو شبكة فرعية أو بروتوكول أو منفذ معين. في هذه الحالات ، يعد! (filter_expression) مناسبًا جيدًا. كمثال:
!(ip.addr == 10.2.2.2)
سيُظهر جميع الحزم التي لا تحتوي على 10.2.2.2 في حقلي المصدر أو الوجهة.
عامل تصفية Wireshark رقم حزمة
frame.number == 500
يمكنك أيضًا استخدام> و <و و أو والعديد من العوامل الأخرى والتعبيرات المنطقية.
مرشح Wireshark SIP
sip
لمشاهدة جميع الحزم المتعلقة ببروتوكول SIP (بروتوكول يستخدم في اتصالات VoIP) ، ما عليك سوى إدخال SIP في حقل سلسلة المرشح. ترى جميع مرشحات SIP .
مرشح Wireshark SYN
tcp.flags.syn == 1
سيعرض هذا المرشح كلاً من حزم TCP التي تحتوي على SYN و SYN / ACK. إذا كنت تريد SYN فقط ، يمكنك استخدام
tcp.flags.syn == 1 and tcp.flags.ack == 0
مرشح Wireshark Ack
tcp.flags.ack == 1
مرشح Wireshark Syn Ack
tcp.flags.syn == 1
سيعرض هذا المرشح كلاً من حزم TCP التي تحتوي على SYN و SYN / ACK.
مرشح Wireshark Arp
ARP
ما عليك سوى إدخال ARP في حقل سلسلة مرشح العرض.
مرشح منارة Beacon Capture Filter
wlan.fc.type_subtype = 0x08
مرشح البث Broadcast
eth.dst == ff:ff:ff:ff:ff:ff
مرشح Wireshark متعدد البث Multicast
(eth.dst[0] & 1)
سيظهر هذا البث المتعدد والبث. نظرًا لأن البث هو نوع من البث المتعدد فهو تعبير صالح. إذا كنت لا تريد أي نتائج بث متعدد يمكنك استخدام:
(eth.dst[0]&1) && !(eth.dst == ff:ff:ff:ff:ff:ff)
مرشح Dhcp
bootp
نظرًا لأن DHCP يتم تنفيذه كخيار لـ BOOTP ، يمكنك التصفية على bootp.
مرشح Dns
dns
يمكنك استخدام مرشح DNS. يمكنك أيضًا التصفية على المنفذ 53 نظرًا لأن هذا هو المنفذ الذي يستخدمه DNS عادةً. يمكنك رؤية جميع عوامل تصفية DNS .
مرشح Wireshark Dscp
إذا كنت تبحث عن جميع الحزم ذات قيمة DSCP محددة ، فيمكنك استخدام:
ip.dsfiled.dscp == value
هذا مثل القول ، "يوجد حقل باسم ip.dsfield.dscp قيمته" value ".
عامل تصفية البريد الإلكتروني Email Filter
smtp
imap
pop
ستقربك عوامل تصفية SMTP و IMAP و POP عند التعامل مع حركة مرور البريد الإلكتروني التقليدية. إذا كنت تعمل من نوع بريد إلكتروني آخر ، أو بريد إلكتروني مشفر ، أو منفذ غير قياسي ، فسيتعين عليك تصفية المنافذ التي تستخدمها.
مرشح Ftp Packet Capture
FTP هو بروتوكول نقل الملفات يمكن كتابة امر الفلترة
ftp
عامل تصفية Hostname في Wireshark
لجعل عوامل تصفية اسم المضيف تعمل ، تحتاج إلى تمكين تحليل DNS في الإعدادات ضمن عرض -> تحليل الاسم. ثم يمكنك استخدام الفلتر:
ip.host = hostname
مرشح IPv6
ipv6.addr == fe80 :: f61f: c2ff: fe58: 7dcb
مرشح Kerberos
كيربيروس هو بروتوكول للمصادقة يعمل على أساس إعطاء "تذاكر" للسماح للعقد بالتواصل عبر شبكة غير آمنة لإثبات هويتهم لبعضها البعض بطريقة آمنة
Kerberos
إذا كنت تستخدم Kerberos v4 ، فاستخدم
kerberos4
مرشح Wireshark ldap
بروتوكول النفاذ إلى الدليل البسيطLightweight Directory Access Protocol LDAP هو بروتوكول يستخدم في شبكات الحاسوب للاستفسار عن وتعديل خدمات الأدلة العاملة فوق برتوكولTCP/IP بحيث يمكن لخدمات مثل عميل البريد الإلكتروني وغيره استخدامها للتحكم بدخول المستخدمين
ldap
يمكنك أيضًا تصفية المنفذ 389 نظرًا لأن هذا هو منفذ LDAP الأكثر شيوعًا.
عامل تصفية Mac Address
eth.addr == 00:70: f4:23:18:c4
عامل تصفية الحزم التالفة Malformed Packet Capture
malformed
سيعرض هذا جميع الحزم التي تحتوي على بيانات مشوهة malformed data.
مرشح RST
tcp.flags.reset == 1
مرشح Skype
هذا ليس بهذه البساطة. انظر صفحة سكايب ويكي .
مرشح SSID
wlan.ssid == SSID
مرشح NTP
udp.port == 123
نظرًا لأن بروتوكول الوقت يستخدم عادةً منفذ UDP 123 ، يمكنك ببساطة التصفية لهذا المنفذ.
إذا كان خادم الوقت الخاص بك يستخدم منفذًا مختلفًا أو يستخدم Port TCP، فاضبط عامل التصفية وفقًا لذلك.
هذا كل شيء في الوقت الراهن. أخطط لإعادة زيارة هذه المقالة باستمرار لإضافة المزيد من التفاصيل والشرح لكل مرشح كلما سمح الوقت بذلك حتى يمكن أن تصبح ورقة Cheat Wireshark Display Filter.
اقرأ أيضا: كورس اختراق المتصلين معك على نفس الشبكة