Home

"I'm brave but I'm chicken shit"

Le espressioni di Wireshark

Nota veloce su Wireshark: per filtrare la visualizzazione dei pacchetti che contengono l’indirizzo IP 192.168.0.1 si usa l’espressione:

ip.addr==192.168.0.1

per filtrare i pacchetti che non lo contengono, saresti tentato di usare:

ip.addr!=192.168.0.1

che però non funziona: l’espressione sarà comunque vera per pacchetti dove la sorgente o la destinazione sono uguali a 192.168.0.1, perché sarà comunque diverso rispettivamente l’IP destinazione o sorgente. L’espressione viene letta come: “i pacchetti che contengono un campo ip.addr con un valore diverso da 192.168.0.1”; dato che i campi sono due, sorgente e destinazione, e almeno uno dei due è diverso da 192.168.0.1, il filtro non si comporta come penseresti.

Per escludere tutti i pacchetti da e per l’host 192.168.0.1 devi usare la seguente espressione:

!(ip.addr == 192.168.0.1)

che viene letta come “mostrami tutti i pacchetti per i quali è falso che almeno uno dei due campi indirizzo sia uguale a 192.168.0.1”

A volte leggere la guida in linea serve. Buone sniffate.


Pubblicato

in

da

Commenti

4 risposte a “Le espressioni di Wireshark”

  1. Avatar Femetal
    Femetal

    “Buone sniffate”

    Sei il Lapo Elkann del TCP/IP.
    😀

  2. Avatar Giuliano

    Sono commosso…

    Vale la pena citare il fatto che wireshark usa due tipi di espressioni, ciascuna con la sua sintassi.

    La prima è il “Capture Filter” che specifichi, appunto, quando attivi la cattura dei pacchetti su un’interfaccia. La sintassi è quella di tcpdump, gli esempi equivalenti ai tuoi sarebbero “host 192.168.0.1” e “not host 192.168.0.1”. Il Capture Filter è utile perché evita che Wireshark si “tiri su” tutto il traffico che vede passare.

    Il “Display Filter” è quello da te descritto.


    Giuliano

  3. Avatar Lorenzo

    Interessante e buono a sapersi, grazie! 🙂 Credo che nella prima espressione che hai indicato, al posto di 192.168.12.87 volessi scrivere 192.168.0.1.

  4. Avatar Bugiardo34
    Bugiardo34

    scusate, è la prima volta che scrivo in questo blog anche se leggo molto spesso post interessanti.
    come faccio ad ottenere sia nome netbios che mac usando wireshark?L’ho lasciato a catturare pacchetti per una settimana su una lan interna ed ora vorrei decifrarli senza fare 300 passaggi