Wireshark में प्रदर्शन फ़िल्टर का उपयोग कैसे करें
Wireshark एक जीयूआई आधारित नेटवर्क पैकेट विश्लेषक है जो आपको लाइव नेटवर्क से पैकेट डेटा के साथ-साथ पहले कैप्चर की गई फ़ाइल से निरीक्षण करने देता है। यद्यपि यह एक बहुत ही शक्तिशाली टूल है, लेकिन एक आम समस्या यह है कि नए लोगों का सामना करना पड़ता है कि यह इतना डेटा प्रदर्शित करता है कि उनके लिए वास्तविक जानकारी को इंगित करना वास्तव में मुश्किल हो जाता है। यह वह जगह है जहां वायर्सहार्क के डिस्प्ले फ़िल्टर मदद करते हैं।
नोट - यदि आप वायरशर्क के लिए पूरी तरह से नए हैं, तो यह अनुशंसा की जाती है कि आप पहले अपने मूल ट्यूटोरियल के माध्यम से जाएं।
फ़िल्टर प्रदर्शित करें
Wireshark में लाइव कैप्चर का एक उदाहरण यहां दिया गया है:
ध्यान दें कि जीयूआई का एक बड़ा हिस्सा सभी आने वाले और आउटगोइंग पैकेट्स के बारे में जानकारी (जैसे समय, स्रोत, गंतव्य, आदि) प्रदर्शित करने के लिए उपयोग किया जाता है। इस जानकारी को अपनी आवश्यकता के अनुसार फ़िल्टर करने के लिए, आपको विंडो के शीर्ष पर मौजूद फ़िल्टर बॉक्स का उपयोग करने की आवश्यकता है।
1. प्रोटोकॉल पर आधारित फ़िल्टर जानकारी
किसी विशिष्ट प्रोटोकॉल के आधार पर परिणाम फ़िल्टर करने के लिए, बस अपना नाम फ़िल्टर बॉक्स में लिखें और एंटर दबाएं। उदाहरण के लिए, निम्न स्क्रीन शॉट HTTP प्रोटोकॉल से संबंधित जानकारी प्रदर्शित करता है:
निरीक्षण करें कि प्रोटोकॉल कॉलम में केवल HTTP प्रविष्टियां हैं। यदि एक से अधिक प्रोटोकॉल से संबंधित जानकारी की आवश्यकता है, तो डबल पाइप (या लॉजिकल या ऑपरेटर) द्वारा अलग प्रोटोकॉल नाम दर्ज करें ||
। यहाँ एक उदाहरण है:
http || arp || ICMP
2. आईपी पते के आधार पर फ़िल्टर जानकारी
स्रोत आईपी के आधार पर परिणाम फ़िल्टर करने के लिए, ip.src
फ़िल्टर का उपयोग करें। यहाँ एक उदाहरण है:
ip.src == 50.116.24.50
इसी तरह, गंतव्य आईपी पते के आधार पर परिणाम फ़िल्टर करने के लिए ip.dst
का उपयोग करें। किसी विशेष आईपी के साथ स्रोत और गंतव्य पैकेट दोनों प्रदर्शित करने के लिए, ip.addr
फ़िल्टर का उपयोग करें। यहाँ एक उदाहरण है:
ip.addr == 50.116.24.50
निरीक्षण करें कि 50.116.24.50 के रूप में स्रोत या गंतव्य आईपी पते वाले पैकेट आउटपुट में प्रदर्शित होते हैं।
किसी विशिष्ट आईपी पते के साथ पैकेट को बाहर करने के लिए !=
ऑपरेटर का उपयोग करें। यहाँ एक उदाहरण है:
ip.src! = 50.116.24.50
3. पोर्ट पर आधारित फ़िल्टर जानकारी
आप नेटवर्क बंदरगाहों के आधार पर कैप्चर किए गए यातायात को भी फ़िल्टर कर सकते हैं। उदाहरण के लिए, केवल उन पैकेट को प्रदर्शित करने के लिए जिनमें टीसीपी स्रोत या गंतव्य पोर्ट 80 शामिल है, tcp.port
फ़िल्टर का उपयोग करें। यहाँ एक उदाहरण है:
tcp.port == 80
इसी प्रकार, आप क्रमशः टीसीपी स्रोत और गंतव्य बंदरगाहों के आधार पर अलग-अलग फ़िल्टर परिणामों के लिए tcp.srcport
और tcp.dstport
का उपयोग कर सकते हैं।
Wireshark में टीसीपी झंडे के आधार पर परिणाम फ़िल्टर करने की क्षमता भी है। उदाहरण के लिए, उन टीसीपी पैकेट्स को प्रदर्शित करने के लिए जिनमें SYN ध्वज होता है, tcp.flags.syn
फ़िल्टर का उपयोग करें। यहाँ एक उदाहरण है:
इसी प्रकार, आप क्रमशः tcp.flags.ack
, tcp.flags.fin
, और अधिक जैसे tcp.flags.ack
का उपयोग करके tcp.flags.ack
, tcp.flags.fin
और अन्य जैसे अन्य झंडे के आधार पर परिणाम फ़िल्टर कर सकते हैं।
4. कुछ अन्य उपयोगी फिल्टर
Wireshark खिड़की के नीचे एक पैकेट (जो वर्तमान में चुना गया है) द्वारा निहित डेटा प्रदर्शित करता है। कभी-कभी, किसी समस्या को डीबग करते समय, किसी विशेष बाइट अनुक्रम के आधार पर पैकेट फ़िल्टर करना आवश्यक होता है। आप आसानी से Wireshark का उपयोग कर ऐसा कर सकते हैं।
उदाहरण के लिए, 00 00 01 बाइट अनुक्रम वाले टीसीपी पैकेट को निम्न तरीके से फ़िल्टर किया जा सकता है:
टीसीपी में 00:00:01 शामिल है
आगे बढ़ते हुए, जैसे आप आईपी पते (पहले बताए गए) के आधार पर परिणाम फ़िल्टर कर सकते हैं, आप eth.addr
फ़िल्टर का उपयोग करके मैक पते के आधार पर परिणाम भी फ़िल्टर कर सकते हैं। उदाहरण के लिए, मैक पते वाले मशीन में आने वाले सभी ट्रैफ़िक देखने के लिए, एए: बीबी: सीसी: डीडी: ईई: एफएफ, निम्न फ़िल्टर कमांड का उपयोग करें:
eth.addr == एए: बीबी: सीसी: डीडी: ईई: एफएफ
निष्कर्ष
हमने यहां सतह को मुश्किल से खरोंच कर दिया है, क्योंकि वायरशर्क के पास बहुत कुछ है। Wireshark डिस्प्ले फ़िल्टर के बारे में अधिक जानकारी के लिए, Wireshark आधिकारिक वेबसाइट या विकी Wireshark वेबसाइट पर जाएं। अगर आपको कोई संदेह या प्रश्न है, तो नीचे एक टिप्पणी छोड़ दें।