Wireshark详解系列(六)——过滤器详解及使用(最好的wireshark过滤器教程)

已于 2024-12-19 15:19:39 修改
阅读量3.6k 收藏 42
点赞数 39
文章标签: wireshark 网络 测试工具
于 2024-12-19 14:35:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shonencc/article/details/144270799
版权

文章目录

前言

年底工作太忙了,去它的降本增效……终于抽出那么点时间更新博客了。好不容易有一点时间休息,竟然第一时间想到的是更新博客……今天准备把Wireshark过滤器内容写了,这个内容算是Wireshark工具使用的最核心内容之一。构思了好长时间,其实官网文档写得相当详细,但又总觉得差了些什么,所以还是自己写吧(目标就是让大家看完这篇文章,能真正掌握Wireshark过滤技术)。这部分内容可能相对枯燥,但这是你迈向数据包分析精英的必经之路。所以我构思的文章内容包括了4个章节:过滤器介绍(概念、原理、分类)+ 过滤语句编写(基础语法)+ 过滤器使用举例(实践)+ 高级过滤技巧(提升)。几个章节加在一起,即让大家熟悉工具的使用,又能够解决实际工作中的问题。不废话了,万字长文献上:

一、了解Wireshark过滤器概念、原理及分类

首先来看看Wireshark是如何捕获到数据包的:
在这里插入图片描述

如上图:
(1)如果是在网络拓扑中间的网元设备上抓包,为了不影响生产环境,我们一般是在交换机上做端口镜像,复制一份流量到分析主机的网卡;
如果是在网络终端设备上抓包(终端设备直接安装Wireshark),则无需做镜像,直接选择网卡进行抓包即可(网卡需设置为混杂模式)。
(2)还记得我们第二篇介绍Wireshark安装的文章吗?在安装时,有个步骤是提示你需要安装npcap(winpcap),Linux系统是安装libpcap。这是一个抓包工具(或者说是抓包驱动、数据包分析库)。可以认为它才是真正负责抓包的工具,然后再把包给到Wireshark来进行分析。
(3)考虑一个场景:如果网络流量特别大,对于分析主机来说(一般是千兆或百兆网卡)极大可能是吃不消的。这时不要说用Wireshark分析了,要把包接下来都困难。这时,我们就只能选择性放弃一些我们不关注的数据包,只抓需要的数据包,来减小流量过大给分析主机带来的负担。这时,我们就要对流量进行“过滤”处理,如上图中标注的漏斗:“捕获过滤”,它将流量进行初步筛选。
这就引出了我们这篇文章的主角——过滤器!

Wireshark的过滤器分为了两种:捕获过滤器显示过滤器
上面我做引入时提到的是捕获过滤器。那显示过滤器又是什么呢?虽然我们已经对流量进行了初步筛选,但实际大家在抓包时会发现,1秒钟时间还是可能会抓到成千上万个数据包!如果抓包时间长,数据包的量级可能是百万、千万甚至上亿的……那我们在分析时,要找到指定的某个数据包无疑就像是大海捞针。这时“显示过滤器”就显得格外重要了,它能将我们想分析的数据包在Wireshark中显示出来,把不想分析的数据包暂时进行隐藏!
因此,我们在使用Wireshark分析时,更多使用的是显示过滤器。
特别需要说明的是:Wireshark的捕获过滤器和显示过滤器使用的是2套不同的语法……
究其原因,就是前面提到的:捕获过滤器只是在流量大的场景下才会去使用,因此Wireshark认为捕获过滤直接用BPF(Berkley Packet Filter)进行过滤就行了。BPF的语法相对简单直接,但不能满足复杂的过滤场景。(BPF诞生于1992年,你说它能多先进,甚至都算拖拉机了……但现在eBPF倒是在云计算领域火得一塌糊涂(不在本文讲解范围,感兴趣可以自行问度娘))。
显示过滤器语法就不一样了,分析师需要根据各种不同的分析场景对已捕获的数据包进行筛选,这就对过滤器提出了高要求,因此Wireshark在BPF的基础上自主开发了一套更加复杂、灵活的过滤语法,来应对各种苛刻的过滤场景。(那直接捕获过滤也用显示过滤的语法呗?是啊,老外就是倔强,你说搞两套语法,费这事干嘛……)
这里就不得不提一下国产的科来。科来推崇的是“全流量”,简单说就是所有历史流量都捕获下来(所以平时在行里用科来的产品基本没涉及捕获过滤)。科来的过滤器有三种:分析(就是捕获,叫法不同)、显示和存储过滤器,都是用的同一套语法。和Wireshark显示过滤器语法很像,但又有不同(就像思科和华为路由器的配置语句……)。写完这篇文章,我转载科来的过滤器系列文章(他们竟然写了一个系列……当然他们是拿工资,我写Wireshark是用爱发电……),大家感兴趣的话可以深入了解一下。给我的总体感觉是科来过滤器功能不如Wireshark强大(比如Wireshark可以过滤有多层IP嵌套这种场景),但是,科来有些过滤条件设置更简单,还可以针对端点、会话和日志等进行过滤,Wireshark就只能过滤单数据包。国产软件能和Wireshark掰手腕,也算是有实力,侧面也看到新世纪以来东大真的是越来越强了。
好了,不扯远了。相信大家已经清楚了什么是过滤器,也知道了过滤器分类,下面正式进入过滤器使用介绍。

二、过滤语句编写

还是用官方介绍开头:英语还行的,我建议大家完整阅读一下官方用户手册,毕竟官方最权威,翻译后传来传去,难免会出错。我写这篇文章,用的是Ver4.5.0版本,官方用户手册第4.10节介绍捕获过滤器,而6.3节开始时介绍显示过滤器:
在这里插入图片描述
我尽量把官网文档的精华提取出来讲。先来看分析过滤器,再来学显示过滤器:

(一)捕获过滤器
捕获过滤器的位置:

最低0.47元/天 解锁文章
shonencc
关注
WireShark过滤器
m0_49476241的博客
09-08 1808
No.:数据包顺序Time:数据包到达时间Source:数据包发送方地址:数据包接收方地址Protocol:通信协议Length:数据包大小Info:简要说明。
Wireshark 抓包过滤命令大全,不会抓包的网工不是好网工!
网络技术联盟站
07-10 3283
你好,这里是网络技术联盟站,我是瑞哥。Wireshark 是一款开源软件,最早由 Gerald Combs 在 1998 年创建,原名 Ethereal。2006 年,由于商标问题,Ethereal 更名为 Wireshark。作为一个网络协议分析器,Wireshark 能够捕获网络接口上的数据包,并提供详细的解码和分析功能。Wireshark 支持多种操作系统,包括 Windows、macOS 和 Linux。
Wireshark 常用过滤器
最新发布
qq_26613259的博客
03-12 670
 ​Wireshark 常用过滤器大全,贴合工作实际,涵盖网络排查、安全分析、协议调试等高频需求,助你快速定位问题。
Wireshark——过滤器设置
qq_45951891的博客
11-04 1万+
初学者使用wireshark时,将会得到大量的冗余数据包列表,以至于很难找到自己自己抓取的数据包部分。wireshar工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。(1)抓包过滤器捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。如何使用?可以在抓取数据包前设置如下。
Wireshark过滤
GY_1202的博客
06-10 7924
wireshark两种数据过滤方式:捕获过滤器、显示过滤器
Wireshark——过滤器使用
热门推荐
huashuolin001的博客
09-23 2万+
使用wireshark提供的过滤功能,可方便查看、分析自己想要的数据。wireshark过滤器,分为捕获过滤器和显示过滤器。 捕获过滤器:当进行数据包捕获时,只有那些满足给定的包含/排除表达式的数据包会被捕获。 显示过滤器:该过滤器根据指定的表达式用于在一个已捕获的数据包集合中,隐藏不想显示的数据包,或者只显示那些需要的数据包。 下面分别介绍两种过滤器使用。 一.捕获过滤器 捕获过滤...
Wireshark显示过滤器使用指南
u011186532的专栏
12-26 2158
显示过滤器Wireshark 的一项核心功能,用于过滤和筛选捕获到的流量。与捕获过滤器不同,显示过滤器作用于已经捕获的数据包,帮助用户在界面上隐藏不相关的数据包,仅显示满足特定条件的数据包。Wireshark 显示过滤器是分析捕获流量的关键工具,灵活的语法和强大的筛选功能能够帮助用户高效定位问题。显示过滤器的语法规则非常灵活,支持精确匹配协议、字段、值等。
wireshark详解系列(三)——wireshark界面及工具详解
shonencc的博客
11-14 3136
本篇还是按照之前说的,以官方文档为标准来作总体介绍。Wireshark的重点功能,比如过滤器、着色规则、分析与统计等后面写单篇。行里小年轻问我什么时候写TCP/IP?TCP/IP是一个单独的知识体系,我不打算放在Wireshark工具里面介绍,可能后续在《网络基础》专栏里写吧。考虑到网上用Wireshark写TCP/IP的太多了,后面计划用科来抓包软件来写,也算是对国产的支持。本篇文章内容较长,比较枯燥,预估阅读和同步操作将花费40分钟时间。
Wireshark过滤器详解:捕捉与显示过滤器的运用
"Wireshark是一款强大的网络协议分析软件,其捕获过滤器和显示过滤器是两个关键功能,帮助用户在海量网络数据中筛选出感兴趣的信息。捕获过滤器在数据捕获前设定,控制捕获的数据量,而显示过滤器则用于后期分析时...
网络抓包工具wireshark入门教程详解
10-17
6. 使用显示过滤器:除了在捕获时使用捕获过滤器外,Wireshark还提供了一个强大的显示过滤器功能。显示过滤器允许用户根据特定的规则来筛选和显示数据包,这对于分析特定类型的网络流量或者排除无关数据包非常有用。...
Wireshark详解系列(五)——从分层模型和数据包封装认识数据包解码
shonencc的博客
11-22 1451
这周行里上新设备,挺折腾,没能第一时间更新。要周末了,终于有点儿时间可以给大家继续讲解Wireshark。今天计划跟大家讲讲Wireshark的数据包解码界面,周末构思了很久,觉得还是有必要把网络分层模型、数据包封装解封装和数据包结构给大家讲解一下,在对这些基础知识掌握了以后,再使用Wireshark才能够做到水到渠成。希望大家能一步一个脚印,不要想着一口气吃成个大胖子。数据包的结构、封装与解封装以及一个数据包的典型解码,我们就讲完了,如果大家有什么疑问,可以给我留言。
wireshark过滤器使用
yshuqian1的博客
07-06 1018
wireshar是一种常用的网络抓包工具,安全分析人员可以根据其抓获的流量包进行流量分析,进而分析出系统可能面临的流量威胁,对进一步的安全防护具有重要作用。如下图。
Wireshark教程:显示过滤器表达式
nuan444979的博客
09-22 5107
Wireshark显示过滤器表达式
wireshark使用方式详细解释 捕获过滤器 显示过滤器 捕获模式以及追踪流详细解答 一篇文章OK
浩策盾悟
12-08 1万+
Wireshark使用LibPCAP、WinPCAP(现在普遍使用的是Npcap)作为驱动程序,他们提供了通用的抓包接口,直接与网卡进行数据报文交换,WinPCAP本身就是抓包分析工具,Wireshark通过对他进行整合加工丰富出来的产物,所以安装Wireshark的时候会提示我们安装WinPCAP。网络封包分析软件的功能是截取网卡进出的网络封包,并尽可能显示出最为详细的网络封包资料,它能够检测并解析各种协议,包括以太网、WIFI、TCP/IP和HTTP协议等等。Destination: 目标ip地址。
wireshark过滤器
君行路的博客
08-28 3348
抓包过滤器(语法说明,举例说明,实验演示):     显示过滤器(语法说明,实验演示):   1. 捕捉过滤器 捕捉过滤器的语法与其它使用Lipcap(Linux)或者Winpcap(Windows)库开发的软件一样,比如著名的TCPdump。捕捉过滤器必须在开始捕捉前设置完毕,这一点跟显示过滤器是不同的。 设置捕捉过滤器的步骤是: - 选择 capture ->...
wireshark 抓包过滤器使用
weixin_30781631的博客
02-12 904
目录 wireshark 抓包过滤器 一、抓包过滤器 二、显示过滤器 整理自陈鑫杰老师的wireshark教程wireshark 抓包过滤器 过滤器分为抓包过滤器和显示过滤器,抓包过滤器会将不满足过滤条件的包丢弃,只保留满足条件的包,而显示过滤器则是对已抓取...
Wireshark-数据包过滤和分析
神探
10-18 1万+
[ 使用版本:Version 1.10.2 (SVN Rev 51934 from/trunk-1.10) ] 过滤器可以帮助我们在庞杂的结果中迅速找到我们需要的信息。 Wireshark中主要有两种过滤器,捕捉过滤器和显示过滤器。 捕捉过滤器:用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。 显示过滤器:在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。
Wireshark 过滤器使用
LLinslemon的博客
08-16 9165
Wireshark 使用手册
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值