1.1伯克利过滤器
语法规则:1.type表示对象 如IP地址、子网或者端口
2.dir表示数据包传输的方向 源地址src、目的地址dst
3.proto表示数据包匹配的协议类型 如ether、ip、tcp、arp
如想要过滤出目的地址或源地址为192.168.1.1的数据包,则应该在过滤器中输入ip.addr == 192.168.1.1,然后点击右侧的箭头
PS:等号必须要两个,如果输入一个等号则语法错误。
就可以得出所有目的地址或者源地址为192.168.1.1的数据包。
如果想要过滤出源地址为192.168.1.1的数据包,只需要根据语法规则在过滤器中输入ip.src == 192.168.1.1,然后点击右侧的箭头,就可以进行过滤了。结果如下图。
同样的方法,想要过滤出目的地址为192.168.1.1的数据包,也按照语法规则输入ip.dst == 192.168.1.1就可以了。
通过以上我们可以总结出:
筛选出IP地址 ip.addr == IP地址
筛选出源IP地址 ip.src == IP地址
筛选出目的地址 ip.dst == IP地址
现在我学会了筛选IP地址,但是我不止想看这些,我还想看更多更详细的东西,我想看看我这个IP这个tcp端口都是什么数据包在进进出出。现在我想看看都有哪些数据包走了80端口,在过滤器中输入规则tcp.port == 80,这样就可以过滤出所有经过80端口的数据包。
但是我发现,这个不仅过滤了源地址的80端口,目的地址的80端口也被一起过滤了,但是我还想过滤出源地址为192.168.1.1的数据包。在过滤器中输入规则tcp.port == 80 || ip.src == 192.168.1.1。
||符号可以用来连接两个规则。
1.2捕获过滤器
捕获过滤器是在捕获数据包之前进行设置,在设置并开始之后按照设定的规则进行数据包的捕获。不在规则之内的数据包则不进行捕获。捕获过滤器遵循伯克利过滤规则。
在开始捕获之前点击左上角的捕获设置(Capture option)按钮对即将开始捕获的内容进行设置
过滤器的颜色为绿色代表语法没问题,红色则代表语法错误,不支持。
PS:捕获过滤器不支持CIDR的写法以及直接主机名的写法。
1.3筛选过滤器
筛选过滤器如下图
筛选过滤器支持主机名和CIDR写法。表达式规则 主题+运算符+值,同时支持逻辑运算符&&(与)、||(或)、!(非)进行规则之间的连接。