首页 > 运维 > windows运维 > wireshark数据包抓取之捕获过滤器的使用

wireshark数据包抓取之捕获过滤器的使用

齐天大圣
发布: 2020-12-08 14:57:06
原创
3334 人浏览过

关于什么是wireshark就不多说了,简而言之,一个强大的数据包捕获工具。 我们经常用它来抓取一些数据包,然后来分析这些数据包。当然,我们大多数都是想抓取特定的数据包,过滤那些不需要的数据包。下面,来看看wireshark的捕获过滤器的使用。

捕获过滤器的语法

捕获过滤器的语法采用BPF语法,关于什么是BPF语法大家想要知道的话可以自行谷歌。讲的通俗一点,wireshark的捕获过滤器使用一些限定词,如(host/src/port),和限定值,然后通过逻辑运算符结合起来的表达式。

下面给出一个简单的过滤器,该过滤器用来指定只捕获来自特定ip的数据包

host 47.***.***.16
登录后复制

常用的限定词分为下面三大类:

  • 类型:如host/net/port

  • 方向:如src/dst

  • 协议:如ip/tcp/udp/http/https

逻辑运算符有以下

  • 与运算符&&

  • 或运算符||

  • 非运算符!

接下来,从几个方面来演示如何使用捕获过滤器。

地址过滤器

地址过滤器是我们日常中使用最多的了,用来指定来自特定IP或主机名的数据包。除此之外,还可以指定MAC地址、IPv6地址。

下面来通过几个案例来演示:

限定IPv4地址

host 192.168.1.111
登录后复制

限定地址及方向:即限定源地址,只捕获从某个特定ip来的数据包

src host 192.168.1.111
登录后复制

限定MAC地址

ether host 00:0c:29:84:5b:d0
登录后复制

端口过滤器

端口过滤器日常用的也比较多,比如只捕获80端口数据或只捕获22端口的数据包等。

捕获目标端口为80端口的数据包

src port 80
登录后复制

不捕获22端口数据包

!port 22
登录后复制

协议过滤器

用来限定协议,这个限定的协议是不分层的,可以是应用层协议http、https、ftp、dns,也可以是传输层协议tcp、udp或者是ip层的ip协议、icmp等。

只捕获icmp协议数据包

icmp
登录后复制

最后,我们来弄一个稍微复杂点的综合例子吧。同时限定ip、方向以及端口的过滤器,如下

host 192.168.1.111 && dst port 80
登录后复制

相关推荐:《Windows运维

以上是wireshark数据包抓取之捕获过滤器的使用的详细内容。更多信息请关注PHP中文网其他相关文章!

相关标签:
来源:php.cn
本站声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
热门教程
更多>
最新下载
更多>
网站特效
网站源码
网站素材
前端模板