關於什麼是wireshark就不多說了,簡而言之,一個強大的資料包擷取工具。我們常用它來抓取一些資料包,然後來分析這些資料包。當然,我們大多數都是想抓取特定的資料包,過濾那些不需要的資料包。下面,來看看wireshark的捕獲過濾器的使用。
捕獲過濾器的語法
捕獲過濾器的語法採用BPF語法,關於什麼是BPF語法大家想要知道的話可以自行Google.講的通俗一點,wireshark的捕獲過濾器使用一些限定詞,如(host/src/port),和限定值,然後透過邏輯運算子結合起來的表達式。
下面給出一個簡單的過濾器,該過濾器用來指定只捕獲來自特定ip的封包
host 47.***.***.16
常用的限定詞分為下面三大類:
類型:如host/net/port
方向:如src/dst
協定:如ip /tcp/udp/http/https
邏輯運算子有以下
與運算子&&
或運算子||
非運算子!
接下來,從幾個方面來示範如何使用擷取濾鏡。
位址過濾器
位址過濾器是我們日常中使用最多的了,用來指定來自特定IP或主機名稱的數據包。除此之外,還可以指定MAC位址、IPv6位址。
下面來透過幾個案例來示範:
限定IPv4位址
host 192.168.1.111
限定位址及方向:即限定來源位址,只擷取從某個特定ip來的封包
src host 192.168.1.111
限定MAC位址
ether host 00:0c:29:84:5b:d0
##連接埠過濾器
連接埠過濾器日常用的也比較多,例如只擷取80埠資料或只擷取22埠的資料包等。擷取目標連接埠為80埠的封包
src port 80
不擷取22埠封包
!port 22
#協議過濾器
用來限定協議,這個限定的協議是不分層的,可以是應用層協議http、https、ftp、dns,也可以是傳輸層協定tcp、udp或是ip層的ip協定、icmp等。只擷取icmp協定封包
icmp
host 192.168.1.111 && dst port 80
Windows運維》
以上是wireshark封包抓取之擷取過濾器的使用的詳細內容。更多資訊請關注PHP中文網其他相關文章!