تحليل حركة المرور الضخمة
غالباً ما يلتقط Wireshark آلاف الحزم في الثانية. يجب عليك استخدام الفلاتر للعثور على الإبرة في كومة القش.
1. فلاتر الالتقاط (قبل الالتقاط)
تحد فلاتر الالتقاط (باستخدام بناء جملة BPF) من البيانات التي يتم كتابتها على القرص، مما يقلل من حجم الملف والجهد المبذول.
- مثال: التقاط حركة المرور الموجهة فقط لمنفذ TCP رقم 80:
tcp port 80
2. فلاتر العرض (بعد الالتقاط)
يتم تطبيق فلاتر العرض (باستخدام بناء جملة Wireshark الخاص) على البيانات الملتقطة لإظهار الحزم ذات الصلة فقط بسرعة.
- مثال: إظهار جميع حزم HTTP التي تحتوي على كلمة 'password' في المحتوى:
http and data contains "password"
متابعة تدفقات TCP/UDP
تسمح لك هذه الميزة الحيوية بإعادة تجميع المحادثة بين مضيفين. انقر بزر الفأرة الأيمن على حزمة، واختر 'Follow' ، ثم 'TCP Stream'. سيعرض Wireshark النص الكامل للجلسة، مما يجعل من السهل رصد طلبات HTTP، أو محاولات تسجيل الدخول، أو عمليات نقل البيانات غير المشفرة.