Wireshark捕获过滤器和显示过滤器

已于 2023-12-30 21:21:48 修改
阅读量4.6k 收藏 10
点赞数 2
分类专栏: Wireshark从入门到精通 文章标签: wireshark 捕获过滤器 显示过滤器 wireshark过滤器
于 2019-12-17 21:19:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javajiawei/article/details/103586874
版权
本文介绍了Wireshark的捕获过滤器和显示过滤器,解释了两者区别和应用场景。捕获过滤器使用BPF语法,用于在捕获阶段筛选数据,而显示过滤器在分析阶段过滤已捕获的报文,更加强大。文章提供了相关原语和运算符示例,并分享了实用的过滤技巧。
摘要由CSDN通过智能技术生成

wireshark过滤器分为两种,显示过滤器和捕获过滤器。显示过滤器指的是针对已经捕获的报文,使用过滤器语法过滤出符合规则的报文。捕获过滤器指的是提前设置好过滤规则,只捕获符合过滤规则的报文。显示过滤器和捕获过滤器在报文分析的过程中经常使用到,因此非常的实用。往往初次接触wireshark,可能会分不清这两种过滤规则,本文就先简单介绍一下这两种过滤器。

为什么wireshark使用两套过滤器规则呢?原因在于wireshark使用winpcap或者libpcap第三方的报文捕获库来对网卡的报文进行捕获,事实上其他很多软件都有使用libpcap进行报文捕获。因此捕获过滤器就沿用了这些第三方库提供的捕获过滤规则。但是对于已经捕获报文的解析和处理,wireshark本身构建了一套新的过滤规则,即显示过滤器,要更加的复杂和强大。

为什么要使用捕获过滤器呢?因为在有些场景下,网卡上的流量可能很大,每秒几个G很甚至更多。而很多的流量并不是我们关心的数据,这个时候就需要使用捕获过滤器捕获指定的数据。无用的数据一方面会干扰分析,另一方面浪费存储空间以及拷贝时间。

图1就是wireshark捕获->选项中设置捕获过滤器的地方:
在这里插入图片描述
图1
我在图中设置了主机的IP地址以及端口两个过滤规则,表示捕获地址为192.168.0.115同时端口为53的报文,从直观上来说是很容易理解的,我在此通过一些示例做概括性的介绍。

捕获过滤规则使用BPF语法,主要提供以下三类原语,这几类原语可以通过运算符组合成为复杂的过滤规则。常见的运算符包括逻辑运算符and or not ,即与或非,以及比较运算符> < 等。
1,类型原语,包括地址原语 host 和net、端口原语 port port range:

host含义比较广泛,既可以表示以太网层的主机地址,也可以是IP层主机地址,也可以是是域名。因此可以使用如三种表达式:

ether host 00:00:5e:00:53:00
host 192.168.0.115
host www.example.com

net可以用于过滤多个IP地址,当然当www.example.com 对应着多个IP地址的时候,也相当于过滤多个IP。

net 192.168.0.0/24

port 53 过滤单个端口
portrange 1-1024 过滤一组端口

2,方向原语,主要是src和dst:

src host 192.168.0.115 源IP地址192.168.0.115
dst host 192.168.0.116 目的IP地址192.168.0.116

3,协议原语,包括常见的ether,arp,rarp,ip,ip6,tcp,udp。如果想要确认是否支持该协议的捕获过滤,在图1中输入该协议的名称,如果过滤规则变绿说明支持,如果为红则不支持。

not arp and port not 53 非ARP以及非53号端口报文
ip[2:2] > 100 IP协议第三个字节开始取两个字节表示的长度(也就是IP协议的length值)大于100个字节

其实也不必去强行背下来这些原语,对于常见捕获过滤规则,wireshark也是提供示例的,对照着写应该是可以满足日常使用需求,如图2:
在这里插入图片描述
图2
如果有更为复杂的捕获条件编写需求,可以参考这里。但是由于捕获过滤器相对来说支持的协议还是很少,远小于wireshark支持的协议数量,因此只能够做到初步的过滤,分析时候需要进一步的使用显示过滤器。

对于Wireshark显示过滤器,wireshark在其使用手册中也是做了较为详细的说明的,详见这里。通常来说这类的文档总是面面俱到,读起来并不容易。就像你可能要了解HTTP协议,但是当你阅读RFC2616(HTTP协议规范文档)的时候,需要反复的研读几遍,但是于多数人来说,不如读一本《图解HTTP》有用。因此我这里面简单的说明几点,使得你能够在使用wireshark这款软件的时候做到最大程度的方便易用,而不是去查看令人头大的文档,效果反而不佳。

图3是通过点击wireshark右上角的表达式,显示出的wireshark 所有显示过滤器的列表
在这里插入图片描述
图3
可以看到wireshark支持eth协议,因此提供了关于eth协议字段的过滤条件,对图3做如下说明:

  • 1,红框1便是wireshark解析eth协议所能够提供对于eth协议字段以及wireshark拓展的一些字段名称。
  • 2,点击eth.type可以看到红框2,所表示的是eth.type该字段能够使用的一些关系运算符。
  • 3,红框3表示的是一些eth.type的预定义值,可以看到涵盖了所有eth.type的可能值。例如过滤条件eth.type ==
    0x800。

事实上wireshark针对所支持所有协议的字段都提供了形如红框2以及红框3所表示的运算符以及预定义值,可以说非常的友好。因此在编写特定过滤规则的时候,按照前述的几个步骤编写,应该问题不大。但是对于有的协议wireshark提供了很多字段的过滤,一一的查看比较耗时。同时有的字段的过滤条件十分的接近,使用者在使用的时候也无法区分其含义,例如图4中显示的certificate type的过滤规则估计很多人是难以区分:
在这里插入图片描述
图4
还有的情况是并没有特别明确的过滤目标,只想过滤类似某一片报文的数据,这个时候该怎么办呢?我在实际在分析报文的过程中是如图5操作:
在这里插入图片描述
选中想要过滤的报文中的一个字段,右击->作为过滤器应用->选中,这个时候,过滤器那一栏就会出现想要的过滤规则,在此基础上就行按照图3中红框2和红框3中的提示修改即可。可以看到我们并不需要去查看wireshark提供的那个复杂的英文手册,基本上也能够满足常见的分析要求,这就是比较实用的技巧。

上述就是对于显示过滤器和捕获过滤器的简单说明,希望本小节的学习对你在分析报文时候能够有一定帮助。

本文为CSDN村中少年原创文章,未经允许不得转载,博主链接这里

村中少年
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
订阅专栏
4.5.1 捕获过滤器 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-03
1.捕获过滤器的BPF语法 2.主机名和地址过滤器 3.端过滤器 4.协议过滤器 5.协议域过滤器 6.捕获过滤器表达式样例
wireshark过滤器
03-17
过滤器分为两种主要类型:显示过滤器(Display Filters)和捕获过滤器(Capture Filters)。显示过滤器捕获数据包后用于筛选视图中的数据包,而捕获过滤器则在数据包被捕获之前定义要抓取的内容。 1. 显示过滤器...
wireshark捕获过滤器显示过滤器
05-21
wireshark捕获过滤器显示过滤器的使用语法
深入解析Wireshark1:从捕获到分析,一网打尽数据包之旅
最新发布
Thanks_ks的IT探秘之旅
05-15 2060
Wireshark是一款功能强大的网络分析工具,它能帮助我们深入探索网络通信的奥秘。从选择网卡到捕获数据包,再到详细解析数据包在不同网络层次的结构,Wireshark为我们提供了丰富的功能。通过本博客,你将学习Wireshark的基本操作,了解数据包捕获、过滤和解析的技巧。我们还将通过案例分析,展示如何利用Wireshark分析网络通信中的问题。无论你是专业人士还是网络爱好者,都能从中获得有价值的知识和经验。
Wireshark使用教程(界面说明、捕获过滤器表达式、显示过滤器表达式)
weixin_37910058的博客
08-22 1707
Wireshark使用教程(界面说明、捕获过滤器表达式、显示过滤器表达式) 一、说明 1.1 背景说明 对于大多数刚开始接触wireshark的使用者而言,经常是开始的时候时候看到wireshark能把所有数据包都拦截下来觉得强无敌,但是面对一大堆的数据包要问有什么用或者说想要找到我想要的那些数据包怎么找(比如telnet登录过程的那些数据包)则完全是一脸茫然。 一是界面一堆窗口,什么作用...
Wireshark捕获过滤器
人生一路,点滴记录
02-21 1万+
目录 01、简介 02、BPF语法 03、过滤示例 在之前文章《我是如何使用wireshark软件的》中介绍了wireshark的使用,提到了显示过滤器捕获过滤器,重点介绍了显示过滤器,本文将主要介绍一下捕获过滤器。 这里再次说明一下两者区别,需要看显示过滤器的同学,请看文章《我是如何使用wireshark软件的》。 捕获过滤器:当进行数据包捕获时,只有那些满足给定的包含/排除表达式的数据包会被捕获显示过滤器:该过滤器根据指定的表达式用于在一个已捕获的数据包集合中,隐藏不想显
wireshark 捕获过滤器
shizhan.dev
06-25 1361
wireshark过滤器有两种:捕获过滤器显示过滤器 捕获过滤器:减少捕获的报文大小 显示过滤器:对捕获的报文进行过滤显示 捕获过滤器的过滤功能相比显示过滤器弱,但适用范围广泛,使用BPF语法,可以用在很多工具,比如tcpdump。 这篇文章介绍:捕获过滤器,下篇介绍显示过滤器 在网卡选择窗口,可以填写 捕获过滤器 捕获过滤器使用的是(BPF):Berkeley packet fi...
wireshark 捕捉过滤器显示过滤器的区别 及各自的用法
小白裸奔
09-11 1万+
同:捕捉过滤器显示过滤器同样面临首要的问题是选择,选择捕捉或显示那些数据。 异: 捕捉过滤器 (此过滤器不需要比较运算符,查询关键字请全部小写) 捕捉过滤器是数据经过的第一层过滤器,它用于控制捕捉数据的数量,以避免产生过大的日志文件。 捕捉过滤器的语法与其它使用Lipcap(Linux)或者Winpcap(Windows)库开发的软件一样,比如著名的TCPdump。捕捉过滤器必须在开
wireshark过滤器-抓包教程大全!
12-18
Wireshark是一款强大的网络封包分析工具,它...总的来说,Wireshark是网络工程师、安全专家和开发人员的强大工具,通过熟练运用过滤器和理解网络通信的各个层面,可以有效地分析网络流量,解决问题并提升网络安全性。
Wireshark过滤规则.docx
05-28
Wireshark是一款强大的网络封包分析软件,常被网络管理员用于网络故障排查、性能分析以及安全审计。...在使用时,注意检查过滤表达式的语法,确保过滤器输入框显示绿色表示过滤规则有效。如果输入错误,框会变为红色。
Wireshark捕获过滤器and显示过滤器
赵一舟的博客
10-02 3315
Wireshark捕获过滤器
wireshark 简单捕获过滤器显示过滤器
phixgg1980的博客
06-20 1273
wireshark 捕获过滤器显示过滤器
【抓包工具】实战:WireShark 捕获过滤器的超全使用教程
热门推荐
顾三殇 —— 博客空间(软件测试)
03-29 3万+
WireShark 捕获过滤器的超全使用教程
Wireshark捕获过滤器
weixin_47763079的博客
01-24 478
捕获过滤器使用柏克莱封包过滤器(Berkeley Packet Filter,即BPF),是类Unix系统上数据链路层的一种原始接口,提供原始链路层封包的收发。打开过滤器的管理界面,左面部分为过滤器,右面为过滤器表达式。Wireshark过滤器,顾名思义,作用是对数据包进行过滤处理。捕获过滤器:当进行数据包捕获时,只有那些满足给定的包含/排除表达式的数据包会被捕获。3.协议Proto: ether、ip、tcp、udp、http、ftp。常用捕获过滤器,可以通过“管理捕获过滤器”,进行管理。
Wireshark--1--捕获过滤器
Raging__Fire的博客
10-21 457
前言 我们都知道,wireshark可以实现本地抓包,同时Wireshark也支持remote packet capture protocol(rpcapd)协议远程抓包,只要在远程主机上安装相应的rpcapd服务例程就可以实现在本地电脑执行wireshark 捕获远程电脑的流量了。但是各种协议的流量非常巨大,如果我们捕获所有协议的流量,那么数小时内,捕获到的流量将到达几百M,甚至几G。硬盘空间很快就被填满了。所以很有必要,只捕获特定的流量或者不捕获某些流量而捕获其他所有的流量。 捕捉过滤器语法 语法:&l
Wireshark捕获过滤器
weixin_42159301的博客
11-10 2101
一、说明简介 过滤器分为“捕获过滤器”与“显示过滤器”,前者只会抓取匹配规则的数据包,而后者数据已经全部抓取,只是在显示的时候,显示匹配规则的数据包。 捕获过滤器采用的是BPF(Berkeley Packet Flter)语法。BPF是一个用于过滤网络报文的框架,主要有两个个功能1、根据外界输入的规则过滤报文 2、将符合条件的报文由内核复制到用户空间。 具体的BPF语法可以请参考链接。 一个“表达式”包含多个“原语”,“原语”通常包含一个id(标识,比如IP、域名、端口,可以是数字或者是名称)或多个“限定符
Wireshark过滤
GY_1202的博客
06-10 6209
wireshark两种数据过滤方式:捕获过滤器显示过滤器
wireshark显示过滤器捕获过滤器
Rlack的博客
11-12 1557
本文简单聊一聊wireshark显示过滤器捕获过滤器的使用。 wireshark过滤器分为两种,显示过滤器捕获过滤器显示过滤器指的是针对已经捕获的报文,过滤出符合过滤规则的报文;捕获过滤器指的是提前设置好过滤规则,只捕获符合过滤规则的报文。往往初次接触wireshark,可能会分不清这两种过滤规则,本文就简单说明一下。 为什么wireshark使用两套过滤器规则呢?原因在于wireshark使用winpcap或者libpcap第三方的报文捕获库来对网卡的报文进行捕获,因此捕获过滤器就沿用了这些第三方库
Wireshark——过滤器设置
qq_45951891的博客
11-04 9738
初学者使用wireshark时,将会得到大量的冗余数据包列表,以至于很难找到自己自己抓取的数据包部分。wireshar工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。(1)抓包过滤器捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。如何使用?可以在抓取数据包前设置如下。
wireshark捕获过滤器显示过滤器
03-05
Wireshark是一个开源的网络数据包分析工具,它可以用于捕获、分析和显示网络数据包。在Wireshark中,有两种类型的过滤器捕获过滤器显示过滤器。 1. 捕获过滤器(Capture Filters): 捕获过滤器用于在捕获数据包时过滤出我们感兴趣的数据包。它们在捕获数据包之前应用,以减少需要处理的数据包数量,从而节省系统资源。捕获过滤器使用一种特定的语法来指定过滤条件,只有符合条件的数据包才会被捕获。 一些常见的捕获过滤器语法示例: - host 192.168.0.1:只捕获源或目标IP地址为192.168.0.1的数据包。 - port 80:只捕获目标或源端口为80的数据包。 - tcp:只捕获TCP协议的数据包。 - udp and src host 192.168.0.1:只捕获源IP地址为192.168.0.1且协议为UDP的数据包。 2. 显示过滤器(Display Filters): 显示过滤器用于在Wireshark显示我们感兴趣的数据包。它们在捕获数据包后应用,可以根据特定的条件过滤和显示数据包。显示过滤器使用一种类似于捕获过滤器的语法来指定过滤条件。 一些常见的显示过滤器语法示例: - ip.addr == 192.168.0.1:只显示源或目标IP地址为192.168.0.1的数据包。 - tcp.port == 80:只显示目标或源端口为80的数据包。 - http:只显示HTTP协议的数据包。 - ip.addr == 192.168.0.1 and tcp.port == 80:只显示源IP地址为192.168.0.1且目标或源端口为80的数据包。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

村中少年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值