WIRESHARK - Lista de filtros importantes é um artigo voltado para nossos clientes que precisam analisar fluxo de dados na rede de áudio, vídeo e automação, lembrando que os comandos indicados aqui são case sensitive.
Encontrar todos os IGMP QUERIER presentes na VLAN ativa para scan (atenção, pode ser que demore um pouco para mostrar o resultado, então, deixe passar pelo menos 5 minutos de scan antes de encerrar a leitura com este filtro):
igmp.type == 17
Filtrar tráfego multicast:
eth.dst contains 01:00:5e
Filtrar endereços IP específicos:
No exemplo abaixo indicamos o endereço IP 192.168.0.65:
ip.addr == 192.168.0.65
No exemplo abaixo indicamos o endereço IP FONTE 192.168.2.74:
ip.src == 192.168.2.74
No exemplo abaixo indicamos o endereço IP DESTINO 192.168.3.89:
ip.dst == 192.168.3.89
Filtrar todos os pacotes que contém mac address de um certo fabricante:
No exemplo abaixo, buscando o fabricante EQUIPSON:
eth contains 00:25:80
Filtrar todo o fluxo BROADCAST na rede:
eth.dst == ff:ff:ff:ff:ff:ff
Filtrar endereços IP duplicados na rede:
arp.duplicate-address-detected
Filtrar uma porta específica, por exemplo, a porta 33333:
udp.port == 33333
Filtrar níveis de QOS (exemplo com nível 46):
ip.dsfield.dscp == 46
Filtrar se há um servidor DHCP ativo na rede:
bootp: Este filtro é o mais comum e abrangente para capturar todos os pacotes relacionados ao protocolo DHCP (Dynamic Host Configuration Protocol). Inclui tanto os pacotes DHCP como os BOOTP (Bootstrap Protocol), que é um protocolo mais antigo do qual o DHCP evoluiu.
udp.port == 67: O DHCP utiliza a porta UDP 67 para oferecer endereços IP. Este filtro isola o tráfego nessa porta específica.
Filtro para encontrar Endereço IP duplicado, indicado em dois equipamentos com mac address diferentes:
arp.duplicate-address-detected
Filtro para excluir um endereço IP específico de uma leitura:
ip.addr != <endereço_IP>
Exemplo: Para excluir todos os pacotes relacionados ao endereço IP 192.168.1.100, você usaria:
ip.addr != 192.168.1.100