本文介绍了如何使用Wireshark的显示过滤器进行网络分析,包括协议、应用、域名和字符过滤器的使用,以及比较运算符和表达式的应用,强调了显示过滤器在节省分析时间上的重要性。
介绍
掌握显示过滤器对于网络分析者来说是一项必备的技能。这是一项大海捞针的技巧。学会构建,编辑,保存关键的显示过滤器能够节省数小时的时间。
与捕捉过滤器使用的BPF语法不同,显示过滤器使用的是Wireshark特定的格式。除了某些特例之外,Wireshark显示过滤器和捕捉过滤器有很大的区别。
更多信息
最简单的过滤器语法:
最简单的显示过滤器可基于协议,应用,域名,或字符,对大小写敏感。绝大多数简单的显示过滤器由小写字母组成。
协议过滤器:
- arp:显示所有包括ARP请求和回复在内的所有ARP数据流。
- ip:显示内含IPv4头在内的(如ICMP目的地址不可达报文,在ICMP报文头之后返回到来方向的IPv4头)IP数据流。
- ipv6:显示所有IPv6数据流,包括内含IPv6报文头的IPv4报文,如6to4,Teredo,以及ISATAP数据流。
- tcp:显示所有基于TCP的数据流。
应用过滤器:
- bootp:显示所有DHCP数据流(基于BOOTP)。
- dns:显示包括TCP区域传输以及基于标准UDP的DNS请求和回复在内的所有DNS数据流。
- tftp:显示所有TFTP(Trivial File Transfer Protocol)数据流。
- http:显示所有HTTP命令,回复以及数据传输报文,但不显示TCP握手报文,TCP ACK报文以及TCP结束报文。
最低0.47元/天 解锁文章
6759
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
