wireshark中主要提供了两种过滤器:捕获过滤器,显示过滤器
捕获过滤器:捕获数据包之前先进行过滤,在上一篇中我们已经介绍过了。
显示过滤器:对捕获后的数据包进行显示过滤,主要对抓到的数据包进行更加精细的过滤
显示过滤器使用语法
协议 协议子类1 协议子类2 比较运算符 值 逻辑运算符 协议 协议子类 协议子类1 比较运算符 值
协议子类1 协议子类2:是协议的子类,是可选项
下面看下比较运算符
逻辑运算符
注意所有字段都是区分大小写的
配置举例
1、显示TCP数据包
如下图,只要是基于TCP协议的数据包都会被过滤出来。注意区分大小的哦
如上面实例,可以直接输入协议进行过滤,比如:tcp,udp,dns,bootp,tftp,http,icmp等等
2、过滤http协议中所有带host字段的数据包
如下图,基于http.host进行过滤
3、过滤某个指定的host字段
然后在实际工作中,协议非常多,协议中的字段那就更多了,我们要记住所有的协议的所有的字段,那根本就不可能的。
其实可以在wireshark下方的快捷栏中找到该字段
如下图,过滤http中有post字段的数据包,通过下方过滤栏,找到过滤命令
知道了过滤命令,如下图直接过滤即可。
注意wireshark是要区分大小写的。