Comment utiliser un filtre daffichage dans Wireshark

Le langage de filtre d'affichage de Wireshark vous permet de contrôler les paquets que la plate-forme affiche actuellement. Vous utiliserez généralement des filtres d'affichage pour vérifier qu'un protocole ou un champ est présent. Cependant, vous pouvez également les utiliser pour comparer des paquets à l'aide d'opérateurs logiques, tels que « et » et « ou ».

Il est facile de confondre le filtre d'affichage de Wireshark avec son filtre de capture. Cet article explique comment utiliser le filtre d'affichage de la plateforme sur un PC et un Mac. Il examine également la différence entre les filtres d'affichage et les filtres de capture dans Wireshark.

Comment utiliser le filtre d'affichage dans Wireshark sur un PC Windows

Il est assez simple d'utiliser le filtre d'affichage de Wireshark sur un PC. La plateforme fournit un champ en haut de l'écran qui vous permet d'expliquer rapidement quels paquets vous souhaitez afficher. Vous afficherez généralement des paquets basés sur les éléments suivants.

• Protocole
• Valeurs de champ
• La présence d'un terrain
• Comparaisons entre champs

Cependant, la fonctionnalité de champ d'affichage permet une utilisation plus complexe.

Il existe deux méthodes pour utiliser le filtre d'affichage dans Wireshark sur un PC Windows.

Méthode n ° 1 - Typage de filtre direct

En supposant que vous souhaitiez simplement afficher un protocole, suivez ces étapes.

1. Localisez et cliquez sur la barre d'outils du filtre d'affichage dans Wireshark .
   
2. Saisissez le nom du protocole dans la barre d'outils. Par exemple, tapez "tcp" si vous souhaitez afficher tous vos paquets TCP.
   
3. Appuyez sur "Entrée" pour appliquer le filtre choisi. Alternativement, vous pouvez cliquer sur "Appliquer" après avoir entré votre expression de filtre.
   

Vous devriez maintenant voir Wireshark afficher les paquets en fonction du filtre que vous avez choisi. Tous ces paquets restent dans leur fichier de capture associé. Un filtre d'affichage ne modifie pas le contenu d'un fichier de capture. Il affiche les paquets correspondant au filtre que vous appliquez.

Si vous souhaitez supprimer votre filtre appliqué, cliquez sur le bouton Effacer. Il est situé à droite de la barre d'outils du filtre d'affichage.

Méthode n ° 2 - La barre de statistiques

Cette méthode est un moyen d'appliquer un filtre qui ne vous oblige pas à taper directement dans la barre d'outils du filtre d'affichage.

1. Localisez "Statistiques" dans le menu du haut et cliquez dessus.
   
2. Sélectionnez l'une des options dans le menu déroulant. Pour cette procédure pas à pas, choisissez "Points de terminaison".
   
3. Une boîte de dialogue devrait apparaître affichant le rapport Endpoint indiquant les adresses MAC. Faites un clic droit sur l'une des adresses et sélectionnez "Appliquer comme filtre".
   
4. Cliquez sur "Sélectionné".
   

La syntaxe de votre choix est automatiquement saisie dans la barre d'outils du filtre d'affichage.

Comment utiliser le filtre d'affichage dans Wireshark sur un Mac

Wireshark sur un Mac vous permet d'utiliser un filtre d'affichage pour afficher les paquets en fonction d'un tableau d'options et d'expressions, y compris les protocoles, les comparaisons de champs, les valeurs de champ, etc. Il existe deux façons d'utiliser le filtre d'affichage sur un Mac.

Méthode n ° 1 - La barre d'outils du filtre d'affichage

Les étapes suivantes vous permettent d'afficher un protocole simple. Il est possible d'utiliser une variété d'opérateurs pour créer des filtres plus complexes, en supposant que vous ayez une compréhension approfondie de Wireshark. Suivez ces étapes pour un filtre d'affichage de protocole simple.

1. Cliquez sur la barre d'outils du filtre d'affichage en haut de l'écran. Il s'agit de la zone de texte à côté du mot "Filtre".
   
2. Entrez le nom du protocole et cliquez sur le bouton "Appliquer".
   

Wireshark affiche chaque paquet lié au protocole entré qui se trouve dans votre filtre de capture actuel. Cliquez sur le bouton Effacer à côté de la barre d'outils du filtre d'affichage pour supprimer votre filtre et afficher à nouveau tous les paquets.

Méthode n ° 2 - La barre de statistiques

Si vous ne connaissez pas l'expression exacte à saisir pour votre filtre, il existe une méthode plus simple que vous pouvez appliquer dans certains cas. L'exemple suivant montre comment créer un filtre d'affichage à l'aide d'un point de terminaison. Il peut également être appliqué à plusieurs autres types d'expressions et de protocoles. Suivez ces étapes pour créer un filtre d'affichage de point de terminaison.

1. Cliquez sur "Statistiques" dans la barre de menu supérieure.
   
2. Sélectionnez "Points de terminaison".
   
3. Accédez au point de terminaison que vous souhaitez filtrer dans la boîte contextuelle, cliquez avec le bouton droit de la souris et mettez en surbrillance "Appliquer comme filtre".
   
4. Choisissez "Sélectionné".
   

Vous devriez voir Wireshark entrer automatiquement la syntaxe de votre choix dans la barre d'outils du filtre d'affichage. La plate-forme affichera également les paquets pertinents pour le point de terminaison que vous avez choisi.

FAQ supplémentaires

Quelle est la différence entre un filtre d'affichage et un filtre de capture ?

Wireshark vous permet d'utiliser des filtres d'affichage et des filtres de capture pour naviguer dans vos paquets. Ces filtres sont faciles à confondre. Cependant, ils ont des objectifs différents et nécessitent des syntaxes différentes pour être utilisés.

Un filtre d'affichage est utilisé lorsque vous avez capturé tout ce dont vous avez besoin et que vous souhaitez afficher des paquets spécifiques pour analyse.

Les filtres de capture sont plus limités que les filtres d'affichage. Ils réduisent la taille d'une capture de paquets bruts et doivent être définis avant de commencer le processus de capture de paquets. Vous utiliserez généralement des filtres de capture si vous souhaitez appliquer une commande pour renvoyer ou supprimer des types de paquets spécifiques d'une capture. Les filtres de capture ne peuvent pas être modifiés pendant le processus de capture.

Les filtres d'affichage et les filtres de capture diffèrent également en termes de syntaxe qu'ils utilisent.

Avec un filtre d'affichage, vous utilisez une combinaison de filtres booléens et d'opérateurs pour créer une description logique du filtre que vous souhaitez créer. Les exemples incluent les "==" et "!=" qui signifient respectivement égal et non égal.

Les filtres de capture utilisent une syntaxe plus compliquée qui combine des masques, des décalages d'octets et des valeurs hexadécimales avec un langage de filtrage booléen. Cela rend les filtres de capture moins intuitifs que les filtres d'affichage, mais cela signifie également que vous pouvez les utiliser pour appliquer des filtres plus complexes.

Appliquez vos filtres

La fonctionnalité de filtre d'affichage de Wireshark vous permet d'effectuer des vérifications rapides sur les paquets de votre capture. Il est idéal pour les grandes captures lorsque vous devez couper tout le bruit sur votre écran afin que vous puissiez analyser des protocoles ou des champs spécifiques. Wireshark fournit des informations détaillées sur les différents modificateurs de filtre et expressions pour le filtre d'affichage via son wiki.

Mais maintenant, nous voulons vous entendre. À quelle fréquence avez-vous besoin d'analyser des paquets spécifiques dans Wireshark ? Pensez-vous que l'utilisation du filtre d'affichage vous aidera à devenir plus efficace lors de l'utilisation de la plateforme ? Dites-nous ce que vous pensez du filtre d'affichage de Wireshark dans les commentaires ci-dessous.