Como usar um filtro de exibição no Wireshark
O idioma do filtro de exibição do Wireshark permite controlar quais pacotes a plataforma exibe no momento. Normalmente, os filtros de exibição são usados para verificar a presença de um protocolo ou campo. No entanto, você também pode usá-los para comparar pacotes usando operadores lógicos como “e” e “ou”.
É fácil confundir o filtro de exibição do Wireshark com o filtro de captura. Este artigo explica como usar o filtro de exibição da plataforma em PC e Mac. Ele também discute a diferença entre filtros de exibição e filtros de captura dentro do Wireshark.
Como usar o filtro de exibição no Wireshark no Windows PC
Usar o filtro de tela Wireshark em um PC é bastante simples. A plataforma fornece uma caixa na parte superior da tela que permite explicar rapidamente quais pacotes você deseja exibir. Normalmente, você mostrará pacotes com base no seguinte.
- Protocolo
- Valores de campo
- Presença de campo
- Comparações entre campos
No entanto, a funcionalidade do campo de exibição permite usos mais complexos.
Existem duas maneiras de usar o filtro de exibição no Wireshark em um PC com Windows.
Método número 1 – Tipo de filtro direto
Supondo que você queira apenas exibir o log, faça o seguinte.
- Localize e clique na barra de ferramentas Display Filter no Wireshark .
- Digite um nome para o protocolo na barra de ferramentas. Por exemplo, digite “tcp” se quiser exibir todos os seus pacotes TCP.
- Pressione “Enter” para aplicar o filtro selecionado. Alternativamente, você pode clicar em “Aplicar” depois de inserir a expressão do filtro.
Agora você deve ver que o Wireshark exibe os pacotes com base no filtro selecionado. Todos esses pacotes permanecem dentro de seu arquivo de captura associado. O filtro de exibição não altera o conteúdo do arquivo de captura. Ele exibe os pacotes relacionados ao filtro que você está aplicando.
Se você deseja remover o filtro aplicado, clique no botão “Limpar”. Ele está localizado à direita da barra de ferramentas do filtro de exibição.
Método número 2 – Painel de estatísticas
Este método é uma maneira de aplicar um filtro que não requer digitação diretamente na barra de ferramentas do filtro de exibição.
- Encontre “Estatísticas” no menu superior e clique nele.
- Selecione uma das opções na lista suspensa. Para este passo a passo, selecione Endpoints.
- Um pop-up de relatório de terminal deve aparecer mostrando os endereços MAC. Clique com o botão direito do mouse em um dos endereços e selecione Aplicar como filtro.
- Clique em Selecionado.
A sintaxe escolhida é inserida automaticamente na barra de ferramentas do filtro de exibição.
Como usar o filtro de exibição no Wireshark no Mac
O Wireshark no Mac permite que você use um filtro de exibição para exibir pacotes com base em uma variedade de parâmetros e expressões, incluindo protocolos, comparações de campo, valores de campo e muito mais. Existem duas maneiras de usar o filtro de exibição no Mac.
Método nº 1 – Barra de ferramentas do filtro de exibição
As etapas a seguir exibem um protocolo simples. Você pode usar diferentes operadores para criar filtros mais complexos se for bom com o Wireshark . Siga estas etapas para um filtro de exibição de log simples.
- Clique na barra de ferramentas do filtro de exibição na parte superior da tela. É uma caixa de texto ao lado da palavra “Filtro”.
- Digite um nome para o protocolo e clique no botão Aplicar.
O Wireshark exibe cada pacote associado ao protocolo inserido que está dentro do filtro de captura atual. Clique no botão Limpar próximo à barra de ferramentas do filtro de exibição para remover o filtro e exibir todos os pacotes novamente.
Método número 2 – Painel de estatísticas
Se você não souber a expressão exata do filtro, em alguns casos, um método mais simples pode ser usado. O exemplo a seguir mostra como criar um filtro de exibição usando um endpoint. Também pode ser aplicado a vários outros tipos de expressões e protocolos. Siga estas etapas para criar um filtro de exibição de endpoint.
- Clique em “Estatísticas” na barra de menu superior.
- Selecione Pontos de extremidade.
- Navegue até o ponto de extremidade que deseja filtrar na janela pop-up, clique com o botão direito do mouse e realce “Aplicar como filtro”.
- Selecione “Selecionado”.
Você deverá ver o Wireshark inserir automaticamente a sintaxe para sua seleção na barra de ferramentas do filtro de exibição. A plataforma também exibirá pacotes relacionados ao seu endpoint escolhido.
Perguntas frequentes adicionais
Qual é a diferença entre um filtro de exibição e um filtro de captura?
O Wireshark permite que você use filtros de exibição e filtros de captura para navegar pelos seus pacotes. Esses filtros são fáceis de confundir. No entanto, eles servem a propósitos diferentes e exigem sintaxe diferente para ser usada.
O filtro de exibição é usado quando você coletou tudo o que precisa e deseja exibir determinados pacotes para análise.
Os filtros de captura são mais limitados do que os filtros de exibição. Eles reduzem o tamanho da captura de pacotes brutos e devem ser instalados antes de você iniciar o processo de captura de pacotes. Normalmente, você usará filtros de captura quando desejar usar um comando para retornar ou remover determinados tipos de pacotes de uma captura. Os filtros de captura não podem ser alterados durante o processo de captura.
Filtros de exibição e filtros de captura também diferem na sintaxe que usam.
Com um filtro de exibição, você usa uma combinação de filtros e operadores lógicos para criar uma descrição lógica do filtro que deseja criar. Exemplos incluem “==” e “!=”, significando “igual a” e “diferente” respectivamente.
Os filtros de captura usam uma sintaxe mais complexa que combina máscaras, deslocamentos de bytes e valores hexadecimais com uma linguagem de filtragem lógica. Isso torna os filtros de captura menos intuitivos do que os filtros de exibição, embora também signifique que você pode usá-los para aplicar filtros mais complexos.
Aplique seus filtros
A funcionalidade de filtro de exibição do Wireshark permite que você inspecione rapidamente os pacotes em sua captura. É ideal para grandes tomadas onde você precisa se livrar de todo o ruído na tela para poder analisar protocolos ou campos específicos. O Wireshark fornece informações detalhadas sobre os vários modificadores de filtro e exibe expressões de filtro por meio de seu wiki.
Mas agora queremos ouvir de você. Com que frequência você precisa analisar determinados pacotes no Wireshark? Você acha que usar um filtro de exibição ajudará você a se tornar mais eficiente ao usar a plataforma? Conte-nos o que você acha do filtro de exibição Wireshark nos comentários abaixo.
Deixe um comentário