使用Wireshark軟件進行抓包,為了捕獲指定的網(wǎng)絡(luò)數(shù)據(jù)包,我們可以設(shè)置過濾規(guī)則,這樣就能正確轉(zhuǎn)包。問題來了,如何設(shè)置Wireshark捕獲過濾器?為了幫助新手用戶解決困擾,本文整理了詳細說明,請參考。
從Wireshark2.x版本開始,啟動軟件,在歡迎界面中就能看到捕獲過濾器,在框中輸入過濾表達式,即可抓取符合規(guī)則的數(shù)據(jù)包,
點擊圖中的書簽標(biāo)志,彈出菜單,選擇【管理捕獲篩選器】,即可看到捕獲過濾表達示的書寫形式,如圖,
過濾表達式的語法說明
一條基本的表達式由過濾項、過濾關(guān)系和過濾值這三項組成,比如ip.addr == 192.168.1.1,ip.addr是過濾項,==是過濾關(guān)系,192.168.1.1是過濾值,意思就是找出所有ip協(xié)議中源或目標(biāo)ip等于192.168.1.1的數(shù)據(jù)包。
過濾項:Wireshark的過濾項是【協(xié)議.協(xié)議字段】的模式,以端口為例,端口出現(xiàn)于tcp協(xié)議中所以有端口這個過濾項且其寫法就是tcp.port,
過濾關(guān)系:過濾關(guān)系就是大于、小于、等于這三種關(guān)系,你可以直接查看官方給出的表,注意,“English”和“C-like”這兩種寫法在Wireshark中是等價的,都是可用的。
過濾值:過濾值是指設(shè)定的過濾項應(yīng)該滿足過濾關(guān)系的標(biāo)準(zhǔn),比如500、5000、50000等,過濾值的寫法一般已經(jīng)被過濾項和過濾關(guān)系設(shè)定了,只需要填寫你自己的期望值即可。
過濾表達式舉例
1、數(shù)據(jù)鏈路層:
篩選mac地址為04:f9:38:ad:13:26的數(shù)據(jù)包----eth.src == 04:f9:38:ad:13:26
2、網(wǎng)絡(luò)層:
篩選ip地址為192.168.1.1的數(shù)據(jù)包----ip.addr == 192.168.1.1
3、傳輸層:
篩選tcp協(xié)議的數(shù)據(jù)包----tcp
篩選除tcp協(xié)議以外的數(shù)據(jù)包----!tcp
篩選端口為80的數(shù)據(jù)包----tcp.port == 80
只看文章說明,大家可能還是有點模糊,無妨,只要多多練習(xí)即可很快理解。想了解更多精彩教程資訊,請關(guān)注vevb.com。
新聞熱點
疑難解答
圖片精選
