Le filtre d'affichage Wireshark est utilisé pour filtrer les paquets de données capturés et afficher uniquement les paquets de données qui répondent aux conditions de filtrage. Les filtres d'affichage sont généralement plus couramment utilisés que les filtres de capture. Il n'y a généralement aucune restriction dans le processus de capture de paquets, tout paquet est capturé, puis des paquets de données spécifiques sont analysés via le filtre d'affichage.
Il existe deux manières d'afficher les filtres, à savoir :
Mode dialogue
Mode expression texte
Affichage du mode dialogue
Cette méthode est très simple, il vous suffit de déplacer la souris pour sélectionner ce dont vous avez besoin Règles de filtre. Cliquez tour à tour sur Analyse ->Afficher l'expression du filtre
Les cases de gauche sont tous les domaines de protocole disponibles. Sélectionnez un champ de protocole de filtre, puis sélectionnez la relation, et enfin remplissez la valeur, et un filtre d'affichage est terminé.
Filtre d'affichage pour les expressions de texte
La méthode de la boîte de dialogue convient aux novices, mais après avoir joué avec Wireshark pendant un moment, vous deviendrez familier avec son filtre d'affichage Après avoir défini les règles, vous pouvez utiliser des expressions de texte pour fonctionner. Voici quelques filtres d'affichage courants :
Limitation de protocole
est utilisée pour limiter les protocoles couramment utilisés, tels que http, ssh, tcp, etc. .
Afficher uniquement le protocole http
http
Afficher les paquets de protocole http ou ssh
http or ssh
IP limitée adresse et port
L'adresse IP et le port sont les conditions de filtrage les plus couramment utilisées, mais contrairement au filtre de capture, le filtre d'affichage utilise ip.addr == adresse IP pour limiter.
Limiter l'IP
ip.addr == 192.168.110.145
Limiter la taille des paquets
frame.len > 128
Les opérateurs de comparaison courants sont :
supérieur à>
inférieur à<
supérieur ou égal>=
inférieur ou égal<=
égal à==
pas égal à !=
Le rôle des expressions logiques
frame.len > 128 and ip.addr == 192.168.110.145
Les opérateurs logiques courants sont :
Et, les deux conditions sont remplies en même temps et
ou, deux conditions satisfont une ou
non, aucune condition n'est remplie non
exclusif ou, une des conditions est satisfait Un autre qui ne satisfait pas aux protocoles, tels que tcp.port
tcp.port==80
Expressions de filtre d'affichage couramment utiliséesEnfin, filtre d'affichage commun des expressions sont données
!arp 排除arp数据包 http 只显示http数据包 !tcp.port==80 过滤http数据包 tcp.port==21 or tcp.port==22 ftp或ssh tcp.flags.syn==1 具有syn标志位的tcp数据包 tcp.flags.rst==1 具有rst标志位的tcp数据包
Recommandations associées : "
Exploitation et maintenance de Windows"
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!