BPF(Berkeley Packet Filter)采用与自然语言相近的语法,利用语法构造字符串确定保留具体符合规则的数据包而忽略其他数据包。
语法规则:type表示对象如IP地址、子网或者端口host, net, port
dir表示数据包传输的方向 src、dst
proto表示与数据包匹配的协议类型 ether、ip、 tcp、 arp
例如:
ip.addr == IP地址
ip.src=IP地址、网段
ip.dst=IP地址
dst port 80 表示目标地址为80端口的信息
tcp.port udp.port表示具体的端1
and表示连接两者的表达式都需要成立
wireshark包过滤器:捕获过滤器和筛选过滤器
捕获过滤器:遵循伯克利过滤器语法规则。只捕获目标端口为80的TCP数据包
只捕获目标端口为80的TCP数据包,tcp dst port 80
捕获主机IP地址为192.168.4.5的数据包,host 192.168.4.5
注意:对于host不支持CIDR的写法,以及直接主机名的写法
输入框为红色表示错误,绿色表示正确可以执行过滤器
筛选过滤器:
显示过滤器创建:
- 数据包细节面板创建
- 输入框创建
表达式规则:
1.主题+运算符+值
2. 逻辑关系与或非:逻辑关系与或非(&& || !)
Wireshark捕获文件的保存:
1.设置输出格式:pcap-ng和pcap。
2.输出文件位置:点击浏览保存文件位置数据流特别大,会导致件太大,导致wireshark无法正常打开保存的文件。解决方案:设置自动创建新文件每隔10秒创建一个文件。
3.使用wireshark进行网络监控,无论硬盘空间多大都有可能会被消耗殆尽。解决方案:环形缓存器。相当于每天保存固定数量的数据包,第二天的时候直接删除前边的数据包。
4.捕获选项:显示选项、解析名称、自动停止捕获。
5.使用文件中的保存设置。