分享 Wireshark入門過濾器使用

使用wireshark提供的過濾功能，可方便檢視、分析自己想要的資料。wireshark的過濾器，分為捕獲過濾器和顯示過濾器。

捕獲過濾器：當進行資料報捕獲時，只有那些滿足給定的包含/排除表示式的資料報會**獲。

顯示過濾器：該過濾器根據指定的表示式用於在乙個已捕獲的資料報集合中，隱藏不想顯示的資料報，或者只顯示那些需要的資料報。

下面分別介紹兩種過濾器的使用。

一.捕獲過濾器

捕獲過濾器：當進行資料報捕獲時，只有那些滿足給定的包含/排除表示式的資料報會**獲。

1. 示例：捕獲通過埠11223的資料

示例wireshark版本1.8.7

1）開啟wireshark，選擇capture->inte***ces，結果如圖：

2）點選上圖的option，結果如圖：

3）雙擊你要監測的網絡卡，結果如圖：

4）在capture filter一欄中輸入「port 11223」，如圖：

5）點選ok後，再點選「start」，即開始捕獲通過11223埠的資料報。

6）捕獲結果，如圖：

2. 捕獲過濾器的bpf語法

捕獲過濾器應用於winpacp，並使用berkeley packet filter（bpf）語法。這個語法被廣泛用於多種資料報嗅探軟體，主要是因為大部分資料報嗅探軟體都依賴於使用bpf的libpcap/winpacp庫。掌握bpf語法對你在資料報層級更深入地探索網路來說，非常關鍵。

上面例項中，在在capture filter一欄中輸入「port 11223」即採用的bpf語法。

使用bpf語法建立的過濾器被稱為表示式，並且每個表示式包含乙個或者多個原語。每個原語包含乙個或者多個限定詞，然後跟著乙個id名字或者數字。

乙個捕獲過濾器樣例

bpf限定詞

限定詞說明例子

type 指出名字或者數字所代表的意義 host、net、port

dir 指明傳輸方向是前往還是來自名字或者數字 src、dst

proto 限定所要匹配的協議 ether、ip、tcp、udp、http、ftp

可以使用與（&&）、或（||）、非（！）三種邏輯運算子。

2. 應用場景

1. 主機名和位址過濾

示例：src host 192.168.5.6，捕獲來自192.168.5.6的資料報

host pc-test，捕獲與計算機名為pc-test互動的資料報

2. 埠過濾

示例：port 8080，對8080埠進行資料報捕獲

！port 8080，捕獲除8080埠外的所有資料報

3.協議過濾

示例：icmp，捕獲icmp資料報

tcp，捕獲tcp資料報

4.協議域過濾

示例：icmp[0]==3，只想要得到代表目標不可達（型別3）資訊的icmp資料報。

bpf語法提供給我們的一項強大功能，就是我們可以通過檢查協議頭中的每乙個位元組來建立給予那些資料的特殊過濾器。

舉例來說，假設我們想要基於icmp過濾器的型別域進行過濾，而型別域位於資料報的最開頭也就是偏移量為0的位置，那麼我們可以通過在協議限定符後輸入由方括號括起的位元組偏移量，在這個例子中就是icmp[0]，來指定我們想在乙個資料報內進行檢查的位置。這樣將返回乙個1位元組的整型值用於比較。

二.顯示過濾器

顯示過濾器：該過濾器根據指定的表示式用於在乙個已捕獲的資料報集合中，隱藏不想顯示的資料報，或者只顯示那些需要的資料報。

2. 過濾器表示式

顯示過濾器示例

1）ip.addr==192.168.5.6，只顯示192.168.5.6這個位址相關資料報

2）frame.len<=128，只檢視長度小於128位元組的資料報

3）http，只顯示http資料報

4）ip.addr==192.168.5.6 && tcp.port==15566，只顯示與192.168.5.6有關且與tcp埠15566有關的資料報

可點選packet list面板上的expression按鈕檢視所有的表示式選項，如圖

可在該面板直接點選，進行表示式的書寫。

分享 Wireshark入門過濾器使用

Wireshark過濾規則

wireshark過濾規則

wireshark過濾規則

分享 Wireshark入門 過濾器使用

Wireshark過濾規則

wireshark過濾規則

wireshark過濾規則

相關推薦

分享 Wireshark入門過濾器使用