Welcome on my blog

We use cookies to ensure you get the best experience on our website.

Najczęściej używane filtry w Wireshark

Autor: chmajster 27.03.2025

Filtry DNS (Domain Name System)

  • dns Pokaż wszystkie pakiety DNS (zapytania i odpowiedzi).
  • udp.port == 53 Klasyczny ruch DNS przez UDP (standardowo port 53).
  • dns.qry.name == "example.com" Filtrowanie po nazwie domeny – pokazuje zapytania do konkretnej domeny.
  • dns.flags.response == 0 Tylko zapytania DNS (bez odpowiedzi).
  • dns.flags.response == 1 Tylko odpowiedzi DNS.
  • dns.qry.type == 1 Zapytania o rekordy typu A (adres IPv4).
  • dns.qry.type == 28 Zapytania o rekordy typu AAAA (adres IPv6).
  • dns.qry.type == 15 Zapytania o rekordy MX (poczta e-mail).
  • dns.qry.type == 16 Rekordy TXT (często używane np. do SPF/DKIM).
  • dns.a Odpowiedzi DNS zawierające rekordy typu A (adresy IP).
  • dns.resp.name == "example.com" Odpowiedzi DNS dotyczące konkretnej domeny.

Filtry ogólne

  • ip Pokaż tylko pakiety IP.
  • tcp Pokaż tylko pakiety TCP.
  • udp Pokaż tylko pakiety UDP.
  • icmp Pokaż tylko pakiety ICMP (np. ping).

🌐 Adresy IP

  • ip.addr == 192.168.1.1 Wszystkie pakiety z lub do tego adresu IP.
  • ip.src == 192.168.1.100 Tylko pakiety wychodzące z danego IP.
  • ip.dst == 192.168.1.100 Tylko pakiety skierowane do danego IP.
  • ip.dst != 192.168.0.0/16 && ip.dst != 10.0.0.0/8 && ip.dst != 172.16.0.0/12 – Wykluczenie IP

🧭 Porty

  • tcp.port == 443 Pokaż ruch HTTPS.
  • udp.port == 53 Pokaż ruch DNS.
  • tcp.srcport == 22 Pakiety wychodzące z portu SSH.
  • tcp.dstport == 80 Pakiety przychodzące na port HTTP.

🔐 Protokół i sesje

  • http Pokaż tylko pakiety HTTP.
  • tls lub ssl Pokaż pakiety TLS/SSL (szyfrowane sesje HTTPS).
  • dns Tylko zapytania i odpowiedzi DNS.
  • ftp Ruch FTP.

🧵 Połączenia TCP

  • tcp.flags.syn == 1 and tcp.flags.ack == 0 Początek nowego połączenia TCP (SYN).
  • tcp.analysis.retransmission Przeanalizuj retransmisje TCP (np. problemy z siecią).
  • tcp.stream eq 0 Pokaż jeden konkretny strumień TCP.

🧪 Inne przydatne

  • frame contains "hasło" Pokaż pakiety zawierające dane tekstowe „hasło”.
  • eth.addr == aa:bb:cc:dd:ee:ff Filtrowanie po adresie MAC.
  • tcp.len > 0 Pokaż tylko pakiety z danymi TCP (bez pustych ACK).
  • not arp Wyklucz pakiety ARP (czyszczenie widoku).

Tagi: Wireshark
Dodaj komentarz

Search
Categories
O Blogu

Cześć Podróżniku!

Ta strona ma nie być typowym poradnikiem w IT, Głównym jej cel to zapisanie krótkich notatek, które mogą się przydać w codziennym życiu podczas korzystania/konfiguracji różnych urządzeń np. Ustawienia DHCP na Routerze Cisco, Ustawieniu Karty sieciowej na Linuxie itp.

Buy me A coffee
[Empty]

Ostatnie wpisy

Wszelkie prawa zastrzeżone