Andrea Beggi

Noi non contiamo e siamo destinati a passare. La nostra arte, invece, rimane.

Le espressioni di Wireshark

A T T E N Z I O N E ! Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate.

Nota veloce su Wireshark: per filtrare la visualizzazione dei pacchetti che contengono l’indirizzo IP 192.168.0.1 si usa l’espressione:

ip.addr==192.168.0.1

per filtrare i pacchetti che non lo contengono, saresti tentato di usare:

ip.addr!=192.168.0.1

che però non funziona: l’espressione sarà comunque vera per pacchetti dove la sorgente o la destinazione sono uguali a 192.168.0.1, perché sarà comunque diverso rispettivamente l’IP destinazione o sorgente. L’espressione viene letta come: “i pacchetti che contengono un campo ip.addr con un valore diverso da 192.168.0.1”; dato che i campi sono due, sorgente e destinazione, e almeno uno dei due è diverso da 192.168.0.1, il filtro non si comporta come penseresti.

Per escludere tutti i pacchetti da e per l’host 192.168.0.1 devi usare la seguente espressione:

!(ip.addr == 192.168.0.1)

che viene letta come “mostrami tutti i pacchetti per i quali è falso che almeno uno dei due campi indirizzo sia uguale a 192.168.0.1”

A volte leggere la guida in linea serve. Buone sniffate.

4 Commenti

Femetal | #

“Buone sniffate”

Sei il Lapo Elkann del TCP/IP.
😀

Giuliano | #

Sono commosso…

Vale la pena citare il fatto che wireshark usa due tipi di espressioni, ciascuna con la sua sintassi.

La prima è il “Capture Filter” che specifichi, appunto, quando attivi la cattura dei pacchetti su un’interfaccia. La sintassi è quella di tcpdump, gli esempi equivalenti ai tuoi sarebbero “host 192.168.0.1” e “not host 192.168.0.1”. Il Capture Filter è utile perché evita che Wireshark si “tiri su” tutto il traffico che vede passare.

Il “Display Filter” è quello da te descritto.


Giuliano

Lorenzo | #

Interessante e buono a sapersi, grazie! 🙂 Credo che nella prima espressione che hai indicato, al posto di 192.168.12.87 volessi scrivere 192.168.0.1.

Bugiardo34 | #

scusate, è la prima volta che scrivo in questo blog anche se leggo molto spesso post interessanti.
come faccio ad ottenere sia nome netbios che mac usando wireshark?L’ho lasciato a catturare pacchetti per una settimana su una lan interna ed ora vorrei decifrarli senza fare 300 passaggi