捕獲過濾器:在抓包之前就設定好過濾條件,然後只抓取符合條件的資料報。
顯示過濾器:在已捕獲的資料報集合中設定過濾條件,隱藏不想顯示的資料報,只顯示符合條件的資料報。
使用捕獲過濾器的主要原因就是效能。如果你知道並不需要分析某個型別的流量,那麼可以簡單地使用捕獲過濾器過濾掉它,從而節省那些會被用來捕獲這些資料報的處理器資源。當處理大量資料的時候,使用捕獲過濾器是相當好用的。
wireshark攔截通過網絡卡訪問的所有資料,前提是沒有設定任何**。wireshark不能攔截本地回環訪問的請求,即127.0.0.1或者localhost。
對源位址進行過濾
ip.src == 192.168.0.1
對目的位址進行過濾
ip.dst == 192.168.0.1
對源位址或者目的位址進行過濾
ip.addr == 192.168.0.1
如果想排除以上的資料報,只需要將其用括號囊括,然後使用 「!」 即可
!(ip.addr == 192.168.0.1)
獲某種協議的資料報,表示式很簡單僅僅需要把協議的名字輸入即可
注意:是否區分大小寫?答:區分,只能為小寫
捕獲多種協議的資料報
排除某種協議的資料報
not arp 或者 !tcp
捕獲某一埠的資料報(以tcp協議為例)
tcp.port == 80
捕獲多埠的資料報,可以使用and來連線,下面是捕獲高於某埠的表示式(以udp協議為例)
udp.port >= 2048
針對長度的過慮(這裡的長度指定的是資料段的長度)
針對uri 內容的過濾
http.request.uri matches "user" (請求的uri中包含「user」關鍵字的)
注意:matches 後的關鍵字是不區分大小寫的!
http.request.uri contains "user" (請求的uri中包含「user」關鍵字的)
注意:contains 後的關鍵字是區分大小寫的!
過濾出請求位址中包含「user」的請求,不包括網域名稱;
精確過濾網域名稱
模糊過濾網域名稱
過濾請求的content_type型別
過濾http請求方法
過濾tcp埠
過濾http響應狀態碼
過濾含有指定cookie的http資料報
在wireshark的工具欄中點選捕獲 →捕獲過濾器,可以看到一些過濾器的寫法,如下圖:
與:&&或者and
或:||或者or
非:!或者not
例項:src or dst portrange 6000-8000 && tcp or ip6
源位址過濾
目的位址過濾
目的位址埠過濾
dst post 80
協議過濾
udp
wireshark過濾語法總結
做應用識別這一塊經常要對應用產生的資料流量進行分析。抓包採用wireshark,提取特徵時,要對session進行過濾,找到關鍵的stream,這裡總結了wireshark過濾的基本語法,供自己以後參考。腦子記不住東西 wireshark進行過濾時,按照過濾的語法可分為協議過濾和內容過濾。對標準協議...
wireshark過濾語法總結
做應用識別這一塊經常要對應用產生的資料流量進行分析。抓包採用wireshark,提取特徵時,要對session進行過濾,找到關鍵的stream,這裡總結了wireshark過濾的基本語法,供自己以後參考。腦子記不住東西 wireshark進行過濾時,按照過濾的語法可分為協議過濾和內容過濾。對標準協議...
wireshark過濾語法總結
做應用識別這一塊常常要相應用產生的資料流量進行分析。抓包採用wireshark,提取特徵時,要對session進行過濾,找到關鍵的stream,這裡總結了wireshark過濾的基本的語法,供自己以後參考。腦子記不住東西 wireshark進行過濾時,依照過濾的語法可分為協議過濾和內容過濾。對標準協...