相信很多朋友都遇到过以下问题,就是Wireshark 捕获过滤规则设置方法,新手需知。。针对这个问题,今天小编就搜集了网上的相关信息,给大家做个Wireshark 捕获过滤规则设置方法,新手需知。的解答。希望看完这个教程之后能够解决大家Wireshark 捕获过滤规则设置方法,新手需知。的相关问题。
使用 Wireshark 软件进行抓包,为了捕获指定的网络数据包,我们可以设置过滤规则,这样就能正确转包。问题来了,如何设置 Wireshark 捕获过滤器?为了帮助新手用户解决困扰,本文整理了详细说明,请参考。
Wireshark 如何设置捕获过滤规则?
从 Wireshark 2.x 版本开始,启动软件,在欢迎界面中就能看到捕获过滤器,在框中输入过滤表达式,即可抓取符合规则的数据包,
点击图中的书签标志,弹出菜单,选择“管理捕获筛选器”,即可看到捕获过滤表达示的书写形式,如图,
过滤表达式的语法说明
一条基本的表达式由过滤项. 过滤关系和过滤值这三项组成,比如 ip.addr == 192.168.1.1,ip.addr 是过滤项,==是过滤关系,192.168.1.1是过滤值,意思就是找出所有 ip 协议中源或目标 ip 等于 192.168.1.1 的数据包。
过滤项: Wireshark 的过滤项是“协议.协议字段”的模式,以端口为例,端口出现于 tcp 协议中所以有端口这个过滤项且其写法就是 tcp.port,
过滤关系:过滤关系就是大于. 小于. 等于这三种关系,你可以直接查看官方给出的表,注意,“English”和“C-like”这两种写法在 Wireshark 中是等价的,都是可用的。
过滤值:过滤值是指设定的过滤项应该满足过滤关系的标准,比如 500. 5000. 50000 等,过滤值的写法一般已经被过滤项和过滤关系设定了,只需要填写你自己的期望值即可。
过滤表达式举例
1. 数据链路层:
筛选 mac 地址为 04:f9:38:ad:13:26 的数据包----eth.src == 04:f9:38:ad:13:26
2. 网络层:
筛选 ip 地址为192.168.1.1的数据包----ip.addr == 192.168.1.1
3. 传输层:
筛选 tcp 协议的数据包----tcp
筛选除 tcp 协议以外的数据包----!tcp
筛选端口为 80 的数据包----tcp.port == 80
只看文章说明,大家可能还是有点模糊,无妨,只要多多练习即可很快理解。想了解更多精彩教程资讯,请请关注完美下载。
