Wireshark 도구의 디스플레이 필터를 사용하는 방법

Wireshark 디스플레이 필터는 캡처된 데이터 패킷을 필터링하고 필터링 조건을 충족하는 데이터 패킷만 표시하는 데 사용됩니다. 일반적으로 디스플레이 필터는 캡처 필터보다 더 일반적으로 사용됩니다. 일반적으로 패킷 캡처 프로세스에는 제한이 없으며 모든 패킷을 캡처한 다음 디스플레이 필터를 통해 특정 데이터 패킷을 분석합니다.

필터를 표시하는 방법에는 두 가지가 있습니다. 즉:

• 대화 상자 모드

• 텍스트 표현 모드

대화 상자 모드 표시

이 방법은 매우 간단하며 필터링만 선택할 수 있습니다. 마우스를 움직여 필요한 규칙을 알아보세요. 차례로 분석 클릭 -> 필터 표현식 표시

왼쪽 상자에는 사용 가능한 모든 프로토콜 도메인이 표시됩니다. 필터 프로토콜 필드를 선택한 후 관계를 선택하고 마지막으로 값을 입력하면 표시 필터가 완성됩니다.

텍스트 표현의 표시 필터

대화 상자 방식은 초보자에게 적합하지만 Wireshark를 잠시 플레이하고 표시 필터 규칙에 익숙해지면 텍스트 표현 방식을 사용하여 조작할 수 있습니다. 다음은 몇 가지 일반적인 디스플레이 필터를 보여줍니다.

Protocol Limitation

은 http, ssh, tcp 등과 같이 일반적으로 사용되는 프로토콜을 제한하는 데 사용됩니다.

http 프로토콜만 표시

http

http 또는 ssh 프로토콜 패킷 표시

http or ssh

IP 주소 및 포트 제한

IP 주소 및 포트는 가장 일반적으로 사용되는 필터링 조건이지만 캡처되지 않습니다. 필터 간의 차이점은 디스플레이 필터가 ip.addr == ip 주소로 한정된다는 것입니다.

IP 제한

ip.addr == 192.168.110.145

패킷 크기 제한

frame.len > 128

일반적인 비교 연산자는 다음과 같습니다. 또는 같음&g t;=

• 작거나 같음<=

• equal==

• 같지 않음!=

• 논리식의 역할

  frame.len > 128 and ip.addr == 192.168.110.145

일반적인 논리 연산자는 다음과 같습니다.
그리고 두 가지 조건이 충족됩니다. 동시에 and
or, 두 조건이 충족되고 하나의 or

이 충족되지 않고, 조건이 충족되지 않습니다. not

• XOR, 조건 중 하나는 충족되고 다른 하나는 충족되지 않습니다.xor

포트 번호
포트 앞에는 tcp.port와 같은 제한된 프로토콜이 와야 한다는 점에 유의해야 합니다.

• tcp.port==80

일반적으로 사용되는 표시 필터 표현식

마지막으로 공통 표시 필터가 제공됩니다.

!arp 排除arp数据包
http 只显示http数据包
!tcp.port==80 过滤http数据包
tcp.port==21 or tcp.port==22 ftp或ssh
tcp.flags.syn==1 具有syn标志位的tcp数据包
tcp.flags.rst==1 具有rst标志位的tcp数据包

관련 권장 사항: "Windows 운영 및 유지 관리

"

위 내용은 Wireshark 도구의 디스플레이 필터를 사용하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!