wireshark显示过滤器是用来将已经捕获的数据包进行过滤,只显示符合过滤条件的数据包。显示过滤器通常比捕获过滤器更加的常用,通常在抓包的过程中不加限定条件,任何包都抓取,然后通过显示过滤器来分析特定的数据包。
显示过滤器有两种方法,分别是:
对话框方式
文字表达式方式
对话框方式显示器
该方法非常的简答,只需要动动鼠标就可以选择自己需要的过滤规则。依次点击分析——>Display Filter Expression
左边的框是所有可用的协议域。选择一个过滤协议域,然后选择关系,最后填上值,一个显示过滤就完成了。
文字表达式的显示过滤器
对话框方式适合新手,但玩过一段时间wireshark后,熟悉它的显示过滤器规则后,就可使用文字表达式方式来操作。下面演示一些常见的显示过滤器:
协议限定
用来限定常用的协议,如http、ssh、tcp等。
只显示http协议
http
显示http或ssh协议数据包
http or ssh
限定IP地址及端口
IP地址和端口是用的最多的过滤条件了,但和捕获过滤器不同的是,显示过滤器是用ip.addr == ip地址来限定。
限定IP
ip.addr == 192.168.110.145
限定数据包的大小
frame.len > 128
常见的比较操作符有:
大于 >
小于 <
大于等于 >=
小于等于 <=
等于 ==
非等于 !=
逻辑表达式的作用
frame.len > 128 and ip.addr == 192.168.110.145
常见的逻辑运算符有:
且,两个条件同时满足 and
或,两条条件满足一个 or
非,没有条件被满足 not
异或,其中一个条件满足另一个不满足 xor
限定端口号
需要注意的是,port前面要加上限定的协议,如tcp.port
tcp.port==80
常用的显示过滤器表达式
最后,再给出常用的显示过滤器表达式
!arp 排除arp数据包 http 只显示http数据包 !tcp.port==80 过滤http数据包 tcp.port==21 or tcp.port==22 ftp或ssh tcp.flags.syn==1 具有syn标志位的tcp数据包 tcp.flags.rst==1 具有rst标志位的tcp数据包
相关推荐:《Windows运维》
以上是wireshark工具的显示过滤器的使用的详细内容。更多信息请关注PHP中文网其他相关文章!