wireshark捕获过滤器与显示过滤器

wireshark捕获过滤器与显示过滤器正如您在Wireshark教程第一部分看到的一样，安装、运行Wireshark并开始分析网络是非常简单的 Wireshark捕获过滤器与显示过滤器使用Wireshark时最常见的问题，是当您使用默认设置时，会得到大量冗余信息，以至于很难找到自己需要的部分。过犹不及。这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。 - - 捕捉过滤器：用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。显示过滤器：在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。那么...

正如您在Wireshark教程第一部分看到的一样，安装、运行Wireshark并开始分析网络是非常简单的 Wireshark捕获过滤器与显示过滤器使用Wireshark时最常见的问题，是当您使用默认设置时，会得到大量冗余信息，以至于很难找到自己需要的部分。过犹不及。这就是为什么过滤器会如此重要。它们可以帮助我们在庞杂的结果中迅速找到我们需要的信息。 - - 捕捉过滤器：用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。显示过滤器：在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。那么我应该使用哪一种过滤器呢？两种过滤器的目的是不同的。捕捉过滤器是数据经过的第一层过滤器，它用于控制捕捉数据的数量，以避免产生过大的日志文件。显示过滤器是一种更为强大（复杂）的过滤器。它允许您在日志文件中迅速准确地找到所需要的记录。两种过滤器使用的语法是完全不同的。我们将在接下来的几页中对它们进行介绍： 1. 捕捉过滤器 2. 显示过滤器 1. 捕捉过滤器捕捉过滤器的语法与其它使用Lipcap（Linux）或者Winpcap（Windows）库开发的软件一样，比如著名的TCPdump。捕捉过滤器必须在开始捕捉前设置完毕，这一点跟显示过滤器是不同的。设置捕捉过滤器的步骤是： - 选择 capture -> options。 - 填写"capture filter"栏或者点击"capture filter"按钮为您的过滤器起一个名字并保存，以便在今后的捕捉中继续使用这个过滤器。 - 点击开始（Start）进行捕捉。语法： Protocol Direction Host(s) Value Logical Operations Other expression 例子： tcp dst 10.1.1.1 80 and tcp dst 10.2.2.2 3128 Protocol（协议）: 可能的值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp. 如果没有特别指明是什么协议，则默认使用所有支持的协议。 Direction（方向）: 可能的值: src, dst, src and dst, src or dst 如果没有特别指明来源或目的地，则默认使用 "src or dst" 作为关键字。例如，"host 10.2.2.2"与"src or dst host 10.2.2.2"是一样的。
大于 lt < 小于 ge >= 大于等于 le <= 小于等于 Logical expressions（逻辑运算符）: 英文写法： C语言写法：含义： and && 逻辑与 or || 逻辑或 xor ^^ 逻辑异或 not ! 逻辑非被程序员们熟知的逻辑异或是一种排除性的或。当其被用在过滤器的两个条件之间时，只有当且仅当其中的一个条件满足时，这样的结果才会被显示在屏幕上。让我们举个例子： "tcp.dstport 80 xor tcp.dstport 1025" 只有当目的TCP端口为80或者来源于端口1025（但又不能同时满足这两点）时，这样的封包才会被显示。例子： snmp || dns || icmp 显示SNMP或DNS或ICMP封包。 ip.addr == 10.1.1.1 显示来源或目的IP地址为10.1.1.1的封包。 ip.src != 10.1.2.3 or ip.dst != 10.4.5.6 显示来源不为10.1.2.3或者目的不为10.4.5.6的封包。换句话说，显示的封包将会为：来源IP：除了10.1.2.3以外任意；目的IP：任意以及来源IP：任意；目的IP：除了10.4.5.6以外任意 ip.src != 10.1.2.3 and ip.dst != 10.4.5.6 显示来源不为10.1.2.3并且目的IP不为10.4.5.6的封包。换句话说，显示的封包将会为：来源IP：除了10.1.2.3以外任意；同时须满足，目的IP：除了10.4.5.6以外任意 tcp.port == 25 显示来源或目的TCP端口号为25的封包。 tcp.dstport == 25 显示目的TCP端口号为25的封包。 tcp.flags 显示包含TCP标志的封包。 tcp.flags.syn == 0x02 显示包含TCP SYN标志的封包。如果过滤器的语法是正确的，表达式的背景呈绿色。如果呈红色，说明表达式有误。表达式正确表达式错误 ---------------------------------------------------------------------------------------------------------------------- 1ike006 qike006@gmail.com

                    本文档为【wireshark捕获过滤器与显示过滤器】，请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑，
                    图片更改请在作品中右键图片并更换，文字修改请直接点击文字进行修改，也可以新增和删除文档中的内容。 
 该文档来自用户分享，如有侵权行为请发邮件ishare@vip.sina.com联系网站客服，我们会及时删除。

                    [版权声明] 本站所有资料为用户分享产生，若发现您的权利被侵害，请联系客服邮件isharekefu@iask.cn，我们尽快处理。

                    本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权，请谨慎使用。

                    网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传，仅限个人学习分享使用，禁止用于任何广告和商用目的。
                

下载需要：免费已有0 人下载

立即下载

wireshark捕获过滤器与显示过滤器

你可能还喜欢