wireshark

cf http://wiki.wireshark.org/ et user guide

wireshark_front.png

 Source des filtres : http://openmaniak.com/fr/wireshark_filters.php

Filtres de capture

La syntaxe du filtre de capture est la même que celle utilisée par la librairie Lipcap ou Winpcap comme le fameux TCPdump. Le filtre de capture doit être configuré avant de lancer la capture Wireshark, ce qui n'est pas le cas pour les filtres d'affichage qui peuvent être modifiés à n'importe quel moment pendant la capture.

Capture -> Options. Remplissez le champ "Capture Filter" ou cliquez sur le bouton "Capture Filter" pour donner un nom à votre filtre et pouvoir le réutiliser pour des captures ultérieures. Cliquez sur Start pour capturer des données.

Sur site officiel voir http://wiki.wireshark.org/CaptureFilters

filtres de sortie

le bouton "Expression ..."

Doc officielle http://www.wireshark.org/docs/dfref/ et sur leur wiki et http://www.wireshark.org/...DisplayFilterSection.html

Exemple: Affiche les trafics SNMP ou DNS ou ICMP   snmp || dns || icmp
Affiche les paquets avec une adresse source ou destination de 10.1.1.1   ip.addr == 10.1.1.1  
sur les ports (ici entre 1500 et 1550) (tcp[0:2] > 1500 and tcp[0:2] < 1550) or (tcp[2:2] > 1500 and tcp[2:2] < 1550)
windows  smb || nbns || dcerpc || nbss || dns

 ip.addr == 10.1.1.1   équivaut à  ip.src == 10.43.54.65 or ip.dst == 10.43.54.65

Stats

wireshark_rtp_selection.jpg

cf http://openmaniak.com/fr/wireshark_stat.php

http://www.wireshark.org/docs/man-pages/wireshark-filter.html

http://www.wireshark.org/docs/dfref/