Filtres d'affichage dans Wireshark
Les filtres d'affichage dans Wireshark sont utilisés pour contrôler quel trafic réseau capturé est affiché dans la fenêtre principale de Wireshark. Alors que les filtres de capture déterminent quel trafic est capturé, les filtres d'affichage vous permettent de vous concentrer sur des types spécifiques de trafic pour l'analyse.
Comprendre les filtres d'affichage
Les filtres d'affichage sont basés sur le même langage de filtrage puissant que celui utilisé pour les filtres de capture, la "Syntaxe des filtres d'affichage Wireshark". Cette syntaxe vous permet de créer des filtres complexes qui ciblent des protocoles spécifiques, des adresses IP, des numéros de port et d'autres caractéristiques réseau.
Appliquer des filtres d'affichage
Pour appliquer un filtre d'affichage dans Wireshark, suivez ces étapes :
- Ouvrez Wireshark et capturez un peu de trafic réseau.
- Dans la fenêtre principale de Wireshark, localisez le champ de saisie du filtre d'affichage, généralement en haut de la fenêtre.
- Entrez votre expression de filtre d'affichage et appuyez sur Entrée.
Voici un exemple de filtre d'affichage qui affiche uniquement le trafic HTTP :
http
Ce filtre affichera uniquement les paquets capturés qui utilisent le protocole HTTP.
Syntaxe des filtres d'affichage
La syntaxe des filtres d'affichage dans Wireshark est similaire à celle des filtres de capture, mais avec quelques fonctionnalités et capacités supplémentaires. Certaines expressions de filtre d'affichage courantes incluent :
- Filtres de protocole :
tcp
, udp
, icmp
- Filtres de port :
tcp.port == 80
, udp.port == 53
- Filtres d'adresse IP :
ip.src == 192.168.1.100
, ip.dst == 8.8.8.8
- Opérateurs logiques :
and
, or
, not
- Filtres spécifiques à un champ :
http.request.method == "GET"
, dns.qry.name contains "example.com"
Vous pouvez trouver une liste complète des expressions de filtre d'affichage dans la documentation de Wireshark.
Combinaison des filtres de capture et des filtres d'affichage
Il est important de noter que les filtres de capture et les filtres d'affichage ont des objectifs différents. Les filtres de capture déterminent quel trafic est enregistré, tandis que les filtres d'affichage déterminent quel trafic est affiché dans l'interface Wireshark.
Dans de nombreux cas, vous voudrez peut-être utiliser à la fois des filtres de capture et des filtres d'affichage pour optimiser votre flux de travail d'analyse. Par exemple, vous pouvez utiliser un filtre de capture pour limiter la quantité de données collectées, puis utiliser un filtre d'affichage pour vous concentrer sur des types spécifiques de trafic dans les données capturées.