Wireshark primer (8 / 10 steg)
Steg 8: Att upptäcka display filter del 2
Efter att ha exekverat visningsfiltret "ip.src == 2.17.45.15 OR ip.dst == 2.17.45.15" Wireshark visar mig en tom resultatet fönster (skärmdump 1). Av någon anledning finns det ingen IPv4-trafik som kommer från/till www.apple.com. Men hänga på, jag har IPv6, så kanske DNS också tillbaka en IPv6-adress?
Jag igen filtrera på "dns" och märker en begäran om en AAAA-post för www.apple.com (IPv4 är alltid på jakt efter en A-post, IPv6 söker en AAAA-post). Skärmdump 2 visar att det finns ett IPv6-svar för www.apple.com att minnas en IPv6-adress är alldeles för svårt, så jag kopiera IPv6-adressen till den klistra bufferten genom att högerklicka på den aktuella raden, klicka på "Kopiera" (screenshot 3) och sedan på "värde" (skärmdump 4).
Det näst viktigaste sättet att upptäcka nya display filter sökord är med hjälp av fältet Visa Filter. Det försök att automatiskt föreslå sökord baserat på det du skrivit. Så om jag vill börja söka efter en IPv6-adress jag börjar genom att skriva "ipv6." i displayen filtrera bar (skärmdump 5).
Observera "ipv6.addr". De flesta lägre protokoll har vissa källa eller destination område och du kan söka efter "källa eller destination", men vissa protokoll också lägga till en "addr" sökord som en förkortning för "källa eller destination".
Så om jag vill söka för trafik till eller från IPv6-adress jag kan skriva in "ipv6.addr==" i baren display filter, klistra in värdet i adressfältet och tryck på RETUR för att hitta all trafik.