Verwendung des Wireshark-Paketerfassungsfilters

Ich werde nicht viel darüber sagen, was Wireshark ist. Kurz gesagt, es ist ein leistungsstarkes Paketerfassungstool. Wir verwenden es oft, um einige Datenpakete zu erfassen und diese Datenpakete dann zu analysieren. Natürlich möchten die meisten von uns bestimmte Datenpakete erfassen und diese unerwünschten Datenpakete filtern. Schauen wir uns als Nächstes die Verwendung des Capture-Filters von Wireshark an.

Die Syntax des Capture-Filters

Die Syntax des Capture-Filters verwendet die BPF-Syntax. Wenn Sie wissen möchten, was die BPF-Syntax ist, können Sie sie selbst googeln. Um es einfacher auszudrücken: Der Erfassungsfilter von Wireshark verwendet einige Qualifizierer wie (host/src/port) und qualifizierte Werte und kombiniert dann Ausdrücke über logische Operatoren.

Das Folgende ist ein einfacher Filter, der verwendet wird, um anzugeben, dass nur Datenpakete von einer bestimmten IP erfasst werden sollen

Richtung: wie src/dst
Protokoll: wie ip/tcp/udp/http/https
Die logischen Operatoren sind wie folgt
AND-Operator. &&

oder Operator ||
nicht Operator!
Als nächstes zeigen wir Ihnen, wie Sie Aufnahmefilter unter verschiedenen Gesichtspunkten verwenden.
Adressfilter

Adressfilter wird in unserem täglichen Leben am häufigsten verwendet und dient zur Angabe von Datenpaketen von einer bestimmten IP oder einem Hostnamen. Darüber hinaus können Sie auch die MAC-Adresse und die IPv6-Adresse angeben. Lassen Sie es uns anhand mehrerer Fälle demonstrieren:

IPv4-Adresse begrenzen

host 47.***.***.16

Adresse und Richtung begrenzen

: Das heißt, die Quelladresse begrenzen und nur Datenpakete von einer bestimmten IP erfassen

host 192.168.1.111

MAC-Adresse begrenzen

src host 192.168.1.111

Portfilter

Portfilter werden auch häufig täglich verwendet, z. B. nur die Erfassung von Port-80-Daten oder nur die Erfassung von Port-22-Datenpaketen usw. Erfassen Sie Datenpakete, deren Zielport Port 80 ist. Dabei kann es sich um die Protokolle der Anwendungsschicht http, https, ftp, dns, die Protokolle der Transportschicht tcp, udp oder das IP-Protokoll der IP-Schicht, ICMP usw. handeln.

Nur ICMP-Protokollpakete erfassen

ether host 00:0c:29:84:5b:d0

Lassen Sie uns zum Schluss noch ein etwas komplexeres, umfassendes Beispiel betrachten. Filter, die IP, Richtung und Port gleichzeitig einschränken, wie folgt

src port 80

Verwandte Empfehlungen: „

Windows-Betrieb und -Wartung“

Das obige ist der detaillierte Inhalt vonVerwendung des Wireshark-Paketerfassungsfilters. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!