wireshark使用libpcap過濾語句進行捕捉過濾(what about winpcap?)。在tcpdump主頁有介紹,但這些只是過於晦澀難懂,所以這裡做小幅度講解。
提示你可以從找到捕捉過濾範例.
在wireshark捕捉選項對話(見圖 4.2 「"capture option/捕捉選項"對話方塊」)框輸入捕捉過濾字段。下面的語句有點類似於tcpdump捕捉過濾語言。在tcpdump主頁可以看到tcpdump表示式選項介紹。
捕捉過濾的形式為:和取值(and/or)進行進行基本單元連線,加上可選的,高有限級的not:
[not]primitive[and|or [not]primitive...]例 4.1. 捕捉來自特定主機的telnet協議
tcp port 23 and host 10.0.0.5本例捕捉來自或指向主機10.0.0.5的telnet 通訊,展示了如何用and連線兩個基本單元。另外乙個例子例 4.2 「捕捉所有不是來自10.0.0.5的telnet 通訊」展示如何捕捉所有不是來自10.0.0.5的telnet 通訊。
例 4.2. 捕捉所有不是來自10.0.0.5的telnet 通訊
tcp host 23 and not src host 10.0.0.5此處筆者建議增加更多範例。但是並沒有新增。
乙個基本單元通常是下面中的乙個
[src|dst] host
ether [src|dst] host
gateway host
過濾通過指定host作為閘道器的包。這就是指那些乙太網源位址或目標位址是host,但源ip位址和目標ip位址都不是host的包
[src|dst] net [|]
通過網路號進行過濾。你可以選擇優先指定src|dst來確定你感興趣的是源網路還是目標網路。如果兩個都沒指定。指定網路出現在源還是目標網路的都會被選擇。另外,你可以選擇子網掩碼或者cidr(無類別域形式)。
less|greater
選擇長度符合要求的包。(大於等於或小於等於)
ip|ether proto
選擇有指定的協議在乙太網層或是ip層的包
ether|ip broadcast|multicast
選擇乙太網/ip層的廣播或多播
relop
建立乙個複雜過濾表示式,來選擇包的位元組或位元組範圍符合要求的包。請參考
如果wireshark是使用遠端連線的主機執行的(例如使用ssh,x11 window輸出,終端伺服器),遠端連線必須通過網路傳輸,會在你真正感興趣的通訊中產生大量資料報(通常也是不重要的)
想要避免這種情況,wireshark可以設定為如果發現有遠端連線(通過察看指定的環境變數),自動建立乙個過濾器來匹配這種連線。以避免捕捉wireshark捕捉遠端連線通訊。
下列環境變數可以進行分析
ssh——connection(ssh)
ssh_client (ssh) remotehost (tcsh, others?) display (x11)[remote name]:sessionname (terminal server)
grep過濾的用法
grep的工作方式是這樣的,它在乙個或多個檔案中搜尋字串模板。如果模板包括空格,則必須被引用,模板後的所有字串被看作檔名。搜尋的結果被送到螢幕,不影響原檔案內容。grep可用於shell指令碼,因為grep通過返回乙個狀態值來說明搜尋的狀態,如果模板搜尋成功,則返回0,如果搜尋不成功,則返回1,如果...
CFileDialog過濾的用法
很久沒有碰過介面部分的 了,今天用到檔案開啟的對話方塊。lpctstr strfilter l txt檔案 txt txt csv檔案 csv csv 所有檔案 cfiledialog dlgfile bopenfiledialog,null,null,ofn hidereadonly ofn ov...
SQL資料過濾基本用法
sql中的資料過濾主要應用where語句,並結合一系列的運算子 邏輯運算和萬用字元過濾實現對資料的過濾。運算子的種類 等於,注意不要寫成了 不等於,與 一致 不等於 小於 小於等於 不小於,與 一致 大於 大於等於 不大於,與 一致 between and 使用類似於英語語法,between 數字1...