很多用戶不知道怎么在操作wireshark這款軟件的時(shí)候過(guò)濾器怎么使用?��,今日為你們帶來(lái)的文章是關(guān)于wireshark過(guò)濾器使用方法��,還有不清楚小伙伴和小編一起去學(xué)習(xí)一下吧���。
過(guò)濾器是Wireshark的核心功能���,也是我們平時(shí)使用最多的一個(gè)功能�。
Wireshark提供了兩個(gè)過(guò)濾器:抓包過(guò)濾器 和 顯示過(guò)濾器�����。兩個(gè)過(guò)濾器的過(guò)濾思路不同���。
抓包過(guò)濾器:重點(diǎn)在動(dòng)作�����,需要的包我才抓��,不需要的我就不抓��。
顯示過(guò)濾器:重點(diǎn)在數(shù)據(jù)的展示�����,包已經(jīng)抓了�����,只是不顯示出來(lái)����。
1. 抓包過(guò)濾器
抓包過(guò)濾器在抓包前使用,它的過(guò)濾有一個(gè)基本的語(yǔ)法格式:BPF語(yǔ)法格式����。
1)BPF語(yǔ)法
BPF(全稱 Berkeley Packet Filter),中文叫伯克利封包過(guò)濾器��,它有四個(gè)核心元素:類型�、方向、協(xié)議 和 邏輯運(yùn)算符�。
類型Type:主機(jī)(host)、網(wǎng)段(net)����、端口(port)
方向Dir:源地址(src)、目標(biāo)地址(dst)
協(xié)議Proto:各種網(wǎng)絡(luò)協(xié)議����,比如:tcp����、udp�、http
邏輯運(yùn)算符:與( && )�����、或( || )��、非( !)
四個(gè)元素可以自由組合����,比如:
src host 192.168.31.1:抓取源IP為 192.168.31.1 的數(shù)據(jù)包
tcp || udp:抓取 TCP 或者 UDP 協(xié)議的數(shù)據(jù)包
2)使用方式
使用抓包過(guò)濾器時(shí),需要先停止抓包����,設(shè)置完過(guò)濾規(guī)則后,再開(kāi)始抓包�。
停止抓包的前提下,點(diǎn)擊工具欄的捕獲按鈕����,點(diǎn)擊選項(xiàng)。
在彈出的捕獲選項(xiàng)界面�,最下方的輸入框中輸入過(guò)濾語(yǔ)句,點(diǎn)擊開(kāi)始即可抓包����。
提示:抓包過(guò)濾器的輸入框�����,會(huì)自動(dòng)檢測(cè)語(yǔ)法�,綠色代表語(yǔ)法正確����,紅色代表語(yǔ)法錯(cuò)誤。
2. 顯示過(guò)濾器
顯示過(guò)濾器在抓包后或者抓包的過(guò)程中使用�����。
1)語(yǔ)法結(jié)構(gòu)
顯示過(guò)濾器的語(yǔ)法包含5個(gè)核心元素:IP���、端口��、協(xié)議����、比較運(yùn)算符和邏輯運(yùn)算符�����。
IP地址:ip.addr�����、ip.src��、ip.dst
端口:tcp.port����、tcp.srcport、tcp.dstport
協(xié)議:tcp�、udp、http
比較運(yùn)算符:> < == >= <= !=
邏輯運(yùn)算符:and�����、or���、not����、xor(有且僅有一個(gè)條件被滿足)
5個(gè)核心元素可以自由組合�,比如:
ip.addr == 192.168.32.121:顯示IP地址為 192.168.32.121 的數(shù)據(jù)包
tcp.port == 80 :顯示端口為 80 的數(shù)據(jù)包
2)使用方式
在過(guò)濾欄輸入過(guò)濾語(yǔ)句,修改后立即生效����。
提示:過(guò)濾欄有自動(dòng)糾錯(cuò)功能�,綠色表示語(yǔ)法正確�,紅色表示語(yǔ)法錯(cuò)誤。
以上就是小編今天跟大家分享的在使用wireshark這款軟件的時(shí)候過(guò)濾器的使用方法�,希望這篇方法教程能夠幫助到大家。
