下面對winpcap的過濾表示式語法進行一下簡要的介紹,其中關鍵字用黑體字表示。
1) 表示式支援邏輯操作符,可以使用關鍵字 and、or、not對子表示式進行組合,同時支援使用小括號。
2) 基於協議的過濾要使用協議限定符,協議限定符可以為ip、arp、rarp、tcp、udp等。
3) 基於mac位址的過濾要使用限定符ether(代表乙太網位址)、當該mac位址僅作為源位址時表示式為ether src mac_addr,僅作為目的位址時,表示式為ether dst mac_addr,既作為源位址又作為目的位址時的表示式為ether host mac_addr。此外應注意mac_addr應該遵從00:e0:4c:e0:38:88的格式,否則編譯過濾器時會出錯。
4) 基於ip位址的過濾應該使用限定符host(代表主機位址)。當該ip位址僅作為源位址時過濾表示式應為 src host ip_addr,僅作為目的位址時的表示式為 dst host ip_addr,既作為源位址又作為目的位址時表示式為 host ip_addr。
5) 基於埠的過濾應使用限定符 port。例如僅接收80埠的資料報則表示式為port 80。
下邊給出兩個例子:
例1:只捕獲arp或icmp資料報。
過濾表示式:arp or (ip and icmp)
例2:捕獲主機192.168.1.23與192.168.1.28之間傳遞的所有udp資料報。
過濾表示式:(ip and udp)and( host 192.168.1.23 or host 192.168.1.28)
WinPcap程式設計 6 過濾 分析資料報
winpcap和libpcap的最強大的特性之一,是擁有過濾資料報的引擎。它提供了有效的方法去獲取網路中的某些資料報,這也是winpcap捕獲機制中的乙個組成部分。用來過濾資料報的函式是 pcap compile 和 pcap setfilter pcap compile 它將乙個高層的布林過濾表示...
Wireshark過濾規則
一 ip過濾 包括 ip或者目標ip等於某個ip 比如 ip.src addr 192.168.0.208 or ip.src addr eq 192.168.0.208 顯示 ip ip.dst addr 192.168.0.208 or ip.dst addr eq 192.168.0.208 ...
wireshark過濾規則
b 資料過濾 b ip.src eq 172.16.10.104 or ip.dst eq 192.168.1.107 或者ip.addr eq 172.16.10.1 都能顯示 ip和目標ip img 所有mac位址相關的wifi資料報 wlan.addr mac位址 eth.addr mac 檢...