标签:捕获 tcp 原语 详解 过滤器 数据包 表达式 Wireshark
Wireshark过滤器详解
1.Wireshark主要提供两种主要的过滤器
-
捕获过滤器:当进行数据包捕获时,只有那些满足给定的包含/排除表达式的数据包会被捕获
-
显示过滤器:该过滤器根据指定的表达式用于一个已捕获的数据包集合,它将隐藏不想显示的数据包或者只显示那些需要的数据包
2.捕获过滤器
2.1捕获过滤器的BPF语法:
使用BPF语法创建的过滤器被称为expression(表达式),并且每个表达式包含一个或多个primitives(原语)。每个原语包含一个或多个qualifiers(限定词),然后跟着一个ID名字或数字
| 限定词 | 例子 | |
|---|---|---|
| Type | 指出名字或数字所代表的含义 | host、net、port |
| Dir | 指出传输方向是前往还是来自名字或数字 | src、dst |
| Proto | 限定所要匹配的协议 | Ether、ip、tcp、udp、ftp |
一个捕获过滤器样例
src host 192.168.0.10 && port 80
在给定表达式的组成部分中,一个src限定词和host 192.168.0.10组成了一个原语。这个原语本身就是表达式,可以用它只捕获那些源IP地址是192.168.0.10的流量
你也可以使用以下三种逻辑运算符,对原语进行组合,从而创建出更高级的表达式:
-
连接运算符 与(&&)
-
选择运算符 或(||)
-
否定运算符 非(!)
所以上述表达式只对源地址是192.168.0.10和源端口或目标端口是80的流量进行捕获
3.显示过滤器
显示应用器应用于筛选符合过滤器的数据包,对不符合条件的数据进行隐藏,只需清空显示过滤表达式即可回到原先的捕获文件
3.1应用显示过滤器的两种方法
3.1.1过滤器表达式对话框
3.2.2过滤器表达式语法结构
比较操作符
| 操作符 | 说明 |
|---|---|
| == | 等于 |
| != | 不等于 |
| > | 大于 |
| < | 小于 |
| >= | 大于或等于 |
| <= | 小于或等于 |
逻辑操作符
| 操作符 | 说明 |
|---|---|
| and | 两个条件同时被满足 |
| or | 其中有一个条件满足 |
| xor | 有且仅有一个条件满足 |
| not | 没有条件满足 |
3.3.3显示过滤器表达式实例(常用)
| 过滤器 | 说明 |
|---|---|
| !tcp.port==3389 | 排除RDP流量 |
| tcp.flags.syn==1 | 具有SYN标志位的TCP数据包 |
| tcp.flags.rst==1 | 具有RST标志位的TCP数据包 |
| !arp | 排除ARP流量 |
| tcp.port23 ||tcp.port21 | 文件管理流量(Telnet或FTP) |
| smtp ||pop||imap | 文本email流量(SMTP/POP/IMAP) |
标签:捕获,tcp,原语,详解,过滤器,数据包,表达式,Wireshark 来源: https://www.cnblogs.com/swordcreater/p/15125463.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。