wireshark 过滤器设置

wireshark过滤器分为两种:显示过滤器捕获过滤器

捕获过滤器

用于确定什么样的信息记录会显示在捕获结果中,需要在开始捕获前设置。界面如下
捕获过滤器
捕获过滤器语法
<Protocol> <Direction> <Host(s)> <Value> <Logical Operations> <Other expression>
Protocol(协议):大致有ether、fddi、 ip、arp、rarp、decnet、lat、sca、moprc、mopdl、tcp、udp等,如果不指明协议,默认支持全部协议
Direction(方向):有src、dst、src and dst、src or dst,如果不指明方向,默认使用src or dst
Host(s)(主机):有net、port、host、portrange,默认使用host
Logical Operations(逻辑运算):有 not and or,not具有最高优先级,and or优先级相同,运算从左向右

捕获过滤器用法
1、捕获TCP协议目标端口为443的包:tcp dst port 443
2、捕获IP协议来源IP地址为180.101.49.12的包:ip src host 180.101.49.12
3、捕获TCP协议来源端口号为2000-5000的包:tcp src portrange 2000-5000
4、捕获TCP协议端口8000-9000之间和80端口的包:tcp portrange 8000-9000 an port 80
5、捕获非TCP协议的包:not tcp

显示过滤器

在捕获过滤器的基础上只显示符合规则的封包信息,需要回车来使能规则
显示过滤器界面
显示过滤器语法
1、比较运算符:==、!=、<、>、>=、=
2、逻辑运算符:and、or、not(没有条件满足)、xor(有且仅有一个条件满足)
3、<协议>.<字段> <比较运算符> <值>
4、<协议>

显示过滤器用法
1、显示TCP协议的包:tcp
2、显示TCP协议源端口为443的包:tcp.srcport==443
3、显示UDP协议目标端口大于1000的包:udp.dstport>1000
4、显示TCP协议中长度大于100的包:tcp.len>=100

  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Wireshark是一款开源的网络数据包分析工具,它可以用于捕获和分析网络流量。Wireshark提供了强大的过滤器功能,可以帮助用户筛选和分析感兴趣的数据包。下面是关于Wireshark过滤器设置的介绍: 1. 语法:Wireshark过滤器使用BPF(Berkeley Packet Filter)语法,可以根据不同的条件来过滤数据包。常见的过滤条件包括源IP地址、目标IP地址、协议类型、端口号等。 2. 过滤器类型:Wireshark提供了两种类型的过滤器:显示过滤器和捕获过滤器。 - 显示过滤器:用于在已经捕获的数据包中进行筛选和显示。可以通过菜单栏的“显示过滤器”或者快捷键Ctrl+Shift+F来设置显示过滤器。例如,设置"ip.addr == 192.168.0.1"可以只显示源或目标IP地址为192.168.0.1的数据包。 - 捕获过滤器:用于在捕获数据包时进行筛选,只捕获符合条件的数据包。可以通过菜单栏的“捕获选项”或者快捷键Ctrl+K来设置捕获过滤器。例如,设置"host 192.168.0.1"可以只捕获源或目标IP地址为192.168.0.1的数据包。 3. 过滤条件:Wireshark过滤器支持多种条件和操作符,可以根据需要进行组合使用。常见的条件包括: - IP地址:可以使用"ip.addr"或者"ip.src"、"ip.dst"来指定源或目标IP地址。 - 协议类型:可以使用"tcp"、"udp"、"icmp"等关键字来指定协议类型。 - 端口号:可以使用"tcp.port"或者"udp.port"来指定源或目标端口号。 - 数据包长度:可以使用"frame.len"来指定数据包的长度范围。 以上是关于Wireshark过滤器设置的简要介绍,希望对你有所帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值