คำสั่ง Capture Filte

posted on 30 Sep 2008 00:35 by nisaratmsit

  วิธีการใช้คำสั่ง Capture Filte

 

        สำหรับคนที่ใช้ Wireshark อยู่ และยังงงกับ Capture filter ของ wireshark มีตัวอย่างการใช้งาน Capture filter  ก่อนอื่นก็เปิดโปรแกรม wireshark ขึ้นมา แล้วก็เปิดหน้าต่าง Capture options [ กด Ctrl+K ] แล้วเราก็จะเห็น หน้าต่าง Capture options ในส่วนของ filter ที่เราจะใส่ ให้ใส่ลงไปในช่อง Capture filter

 

 รูปแบบของ Capture filter
[src|dst] host
    Capture filter รูปแบบนี้จะดักจับเฉพาะ packet ที่ รับ/ส่ง จากโฮสต์ที่เรากำหนดไว้โดยใช้ IP address ตัวอย่างเช่น

  • dst host 192.168.1.2
    ตัวอย่างนี้โปรแกรม Wireshark จะดักจับเฉพาะ packet ที่ส่งไปยัง IP address 192.168.1.2 

ether [src|dst] host
    Capture filter รูปแบบนี้จะดักจับเฉพาะ packet ที่ รับ/ส่ง จากโฮสต์ที่เรากำหนดไว้โดยใช้ MAC address ตัวอย่างเช่น

  • ether dst host 00:16:D3:2B:BC:3A
    ตัวอย่างนี้โปรแกรม Wireshark จะดักจับเฉพาะ packet ที่ส่งไปยัง MAC address 00:16:D3:2B:BC:3A
[tcp|udp] [src|dst] port
    Capture filter รูปแบบนี้จะดักจับเฉพาะโปรโตคอล (tcp/udp) และพอร์ทที่เรา
กำหนด ตัวอย่างเช่น
  • tcp port 80
    ตัวอย่างนี้โปรแกรม Wireshark จะดักจับเฉพาะ packet ที่เป็นโปรโตคอล TCP และพอร์ทเท่ากับ 80

 ip|ether proto
    Capture filter รูปแบบนี้จะดักจับเฉพาะโปรโตคอลที่เรากำหนด ตัวอย่างเช่น

  • ip proto 17
     
    ตัวอย่างนี้โปรแกรม Wireshark จะดักจับเฉพาะ packet ที่เป็นโปรโตคอล UDP (17) เท่านั้น

ether|ip broadcast|multicast
    Capture filter รูปแบบนี้จะดักจับเฉพาะ packet แบบ broadcast หรือ multicast และสามารถกำหนดได้ว่า จะเป็น broadcast หรือ multicast บนโปรโตคอล ETHER หรือ IP

  • ether broadcast
    ตัวอย่างนี้โปรแกรม Wireshark จะดักจับ packet ที่เป็น broadcast โดยไม่สนใจว่าเป็นโปรโตคอล IP หรือไม่

การใช้ and, or, not
    การใช้ and, or, not จะช่วยให้การใช้งาน Capture filter ได้ครอบคลุมมากยิ่งขึ้น ตัวอย่างเช่น

  • host 192.168.1.2 and (port 25 or port 110)
    ตัวอย่างนี้โปรแกรม Wireshark จะดักจับ packet ที่รับส่งจากโฮสต์ 192.168.1.2 และพอร์ทต้องเป็นพอร์ท 25 หรือพอร์ท 110
  • host 192.168.1.2 and not port 80
    ตัวอย่างนี้โปรแกรม Wireshark จะดักจับ packet ที่รับส่งจากโฮสต์ 192.168.1.2 และพอร์ทต้องไม่ใช่พอร์ท 80

edit @ 30 Sep 2008 00:39:47 by WireShark

edit @ 30 Sep 2008 12:19:40 by WireShark

edit @ 30 Sep 2008 12:20:43 by WireShark

edit @ 30 Sep 2008 12:21:41 by WireShark

edit @ 30 Sep 2008 12:23:37 by WireShark

Comment

Comment:

Tweet

rwerwerwe

#3 By werwerw (180.183.92.120|180.183.92.120) on 2014-03-05 14:50

ขอบคุณมากครับ

#2 By ilovevariety (202.12.73.18) on 2009-06-06 13:55

THK KUP

#1 By JEERADED (61.19.220.2) on 2009-04-24 12:14

WireShark View my profile