tags: Endpoints wireshark Wireshark_Filtri
L’opzione endpoint è simile all’opzione conversazioni. L’unica differenza è che questa opzione fornisce informazioni univoche per un singolo campo informativo (Ethernet, IPv4, IPv6, TCP e UDP). In questo modo, gli analisti possono identificare gli endpoint univoci nel file di acquisizione e utilizzarli per l’evento di interesse. È possibile utilizzare il menu “Statistics ⇒ Endpoints” per visualizzare queste informazioni. Wireshark supporta anche la risoluzione degli indirizzi MAC in un formato leggibile utilizzando il nome del produttore assegnato da IEEE. Si noti che questa conversione viene eseguita tramite i primi tre byte dell’indirizzo MAC e funziona solo per i produttori noti. Quando si esaminano gli endpoint Ethernet, è possibile attivare questa opzione con il pulsante “Risoluzione nome” nell’angolo inferiore sinistro della finestra degli endpoint.
Per ottenere informazioni sulla posizione geografica e la risoluzione dell’IP vai in “Edit ⇒ Preferences ⇒ Name Resolution” e clicca su “Resolve transport names e Resolve network (IP) addresses”:
Per la posizione geografica scendi in “Edit ⇒ Preferences ⇒ Name Resolution ⇒ MaxMind database directories” e per vedere la posizione vai su Endpoints clicca sul IP che vuoi vedere e vai su **map→Browser”:
