文章目录
一、WireShark过滤器概念
Wireshark过滤器是用于在网络数据包捕获过程中提取、显示和分析特定数据包的工具。过滤器分为两种类型:捕获过滤器和显示过滤器,它们分别在不同的阶段使用。
1. 捕获过滤器(Capture Filters)
捕获过滤器用于在捕获网络流量时只记录特定的数据包。这种过滤器直接作用于数据流,可以减少捕获文件的大小,提升分析效率。它使用的是 Berkeley Packet Filter (BPF) 语法,语法较为简洁。
常用捕获过滤器示例:
- 捕获特定IP地址的流量:
host 192.168.1.1
- 捕获特定端口的TCP流量:
tcp port 80
- 捕获所有HTTP流量:
tcp port 80 or port 443
- 捕获ARP请求:
arp