本文章介绍的是 本菜自学wireshark时候的笔记(再加一些粗鄙的见解) 话不多说直接上图
准备好 开始 放大招
伯克利包过滤
英称(Berkeley packet filter) 额英文
采用一种与自然语言相近的语法 利用语法构造字符串确定保留具体符合规则的数据包 而忽略其他数据包
通俗一点就是
用语法构建一个字符串, 来代替表示 一种协议 代替要筛选的内容 (为什么要用这个 不要问 问就是事实就在用!)从而简化表示的方法(次要)
实现具体确定要保留那些协议 那些规则的数据包(主要)
并且
BPF中内置了一些“基元”来指代一些常用的协议字段。
可以用“host”、"prot"之类的基元写出非常简洁的BPF过滤规则,就是用关键字来表示、不要的主机、不要的协议。过滤BPF过滤器也可以使用 逻辑表达式 “与” “或” 来联合表示
话不多说 直接来图
ip.addr == ip地址 表示 要筛选的主机
ip.src == ip 地址 筛选出从这个IP地址 发送出去的所有的数据信息
ip.dst == ip 地址 筛选 目的ip地址为这个的主机的所有的流入的数据
tcp.port == 80 || udp.port == 80 表示 要获取在80号端口上所有的流入流出tcp udp数据
tcp.port ==80 and ip.addr ==172.18.101.219 筛选出从80端口 出去的所有的源地址为 172.18.101.219 tcp 协议的数据