期末重点
1.过滤器:区分显示过滤器和捕获过滤器;表达式写监听端口和报文.
2.嗅探:通过集线器,交换机或其他设备进行嗅探;以及嗅探器的位置;网卡可以进行嗅探的原因(混杂模式).
3.网络协议分析:IP头,TCP报文结构,各种网络协议报头域功能,ARP,IP,ICMP,三次握手四次挥手,DNS,HTTP.
4.实验报文的分析:查看实验报告进行分析.
过滤器
wireshark过滤器分为两种,显示过滤器和捕获过滤器。显示过滤器指的是针对已经捕获的报文,过滤出符合过滤规则的报文;捕获过滤器指的是提前设置好过滤规则,只捕获符合过滤规则的报文。
为什么wireshark使用两套过滤器规则呢?原因在于wireshark使用winpcap或者libpcap第三方的报文捕获库来对网卡的报文进行捕获,因此捕获过滤器就沿用了这些第三方库提供的捕获过滤出规则。但是对于已经捕获报文的解析和处理,wireshark本身构建了一套新的过滤规则,显示过滤器。
捕捉过滤器(CaptureFilters):用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。
显示过滤器(DisplayFilters):在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。
显示过滤器比之捕获过滤器要强大许多,在报文分析的过
本文详述了Wireshark的过滤器类型,包括显示过滤器和捕获过滤器,以及如何使用过滤规则来筛选端口、IP、长度等信息。通过实例展示了过滤器在分析网络协议中的应用,如筛选特定端口、IP地址、报文长度等。
最低0.47元/天 解锁文章
扫一扫
1947
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
