SIK - Temat E - program wireshark - różne uwagi

program wireshark pozwala na:
1. oglądanie pakietów sieciowych, widoczne są nagłówki ze WSZYSTKICH warstw protokołów!!!
2. filtrowanie pakietów, tj sprytne wybieranie, które pakiety nas interesują (wyrażenia logiczne zależne od prot oraz od pól w nagłówkach)

filtry wireshark pozwalają ograniczyc rodzaj pakietów, ktore wireshark pokazuje;
przykłady...
"ftp or ftp-data" - będą widoczne tylko komunikaty prot. ftp
"not arp and not dns" - wyłączamy pakiety arp i dns
inne przykłady: http://wiki.wireshark.org/DisplayFilters
można także odwoływać się do pól w nagłówkach pakietów
(skąd wziąć nazwy pól? wybrać pole nagłówka oraz...
1. prawy guzik myszy, Apply as Filter | Selected
2. syntaktykę widać też w linii statusu)
"ip.dst == 192.168.1.100" - wybiera pakiety ip z adr. docelowym 192.168.1.100
"smb && ((ip.src == 150.254.77.55) || (ip.dst == 150.254.77.55))" - wybiera pakiety smb ze zródłowym lub docelowym adr. ip. 150.254.77.55
jak widać można używać spójników logicznych "&&" jak i "and"
............
jest też inny typ filtrów http://wiki.wireshark.org/CaptureFilters, -1-, -2-
BPF-syntax, w module kernela, szybkie, ograniczone, używane przez libpcap
czyli wireshark obsluguje dwa typy filtrów: "display" i "capture" !

inne sposoby ograniczenia liczby pakietów, które widzimy...
+ jeśli sami uruchomiliśmy np. serwer FTP, to można obserwować interf. "lo" zamiast "eth0"
jeśli uruchomimy na tej samej maszynie klienta FTP, to pakiety związane z FTP bedą przepływać tylko przez interf. "lo"
jest to szczególnie istotne gdy np. nie wiemy ile połączń tcp tworzy dana usługa
(jeśli wiemy, że tworzy jedno to możemy użyć sockspy do obserwowania danych...)

różnica wireshark vs sockspy
+ sockspy pozwala jedynie obserwować dane przepływające przez pojedyncze połączenie tcp,
wireshark pokazuje także pakiety niższych warstw
(jednak wireshark zna też wiele prot wyższych warstw, np. ssl czy ftp !)
+ sockspy NIE wymaga uprawnień root-a, w przeciwieństwie do wireshark !!