wireshark工具的显示过滤器的使用

齐天大圣
发布: 2020-12-08 15:07:24
原创
2388 人浏览过

wireshark显示过滤器是用来将已经捕获的数据包进行过滤,只显示符合过滤条件的数据包。显示过滤器通常比捕获过滤器更加的常用,通常在抓包的过程中不加限定条件,任何包都抓取,然后通过显示过滤器来分析特定的数据包。

显示过滤器有两种方法,分别是:

  • 对话框方式

  • 文字表达式方式

对话框方式显示器

该方法非常的简答,只需要动动鼠标就可以选择自己需要的过滤规则。依次点击分析——>Display Filter Expression

QQ截图20201208114006.jpg

左边的框是所有可用的协议域。选择一个过滤协议域,然后选择关系,最后填上值,一个显示过滤就完成了。

文字表达式的显示过滤器

对话框方式适合新手,但玩过一段时间wireshark后,熟悉它的显示过滤器规则后,就可使用文字表达式方式来操作。下面演示一些常见的显示过滤器:

协议限定

用来限定常用的协议,如http、ssh、tcp等。

只显示http协议

http
登录后复制

显示http或ssh协议数据包

http or ssh
登录后复制

限定IP地址及端口

IP地址和端口是用的最多的过滤条件了,但和捕获过滤器不同的是,显示过滤器是用ip.addr == ip地址来限定。

限定IP

ip.addr == 192.168.110.145
登录后复制

限定数据包的大小

frame.len > 128
登录后复制

常见的比较操作符有:

  • 大于 >

  • 小于 <

  • 大于等于 >=

  • 小于等于 <=

  • 等于 ==

  • 非等于 !=

逻辑表达式的作用

frame.len > 128 and ip.addr == 192.168.110.145
登录后复制

常见的逻辑运算符有:

  • 且,两个条件同时满足 and

  • 或,两条条件满足一个 or

  • 非,没有条件被满足 not

  • 异或,其中一个条件满足另一个不满足 xor

限定端口号

需要注意的是,port前面要加上限定的协议,如tcp.port

tcp.port==80
登录后复制

常用的显示过滤器表达式

最后,再给出常用的显示过滤器表达式

!arp 排除arp数据包
http 只显示http数据包
!tcp.port==80 过滤http数据包
tcp.port==21 or tcp.port==22 ftp或ssh
tcp.flags.syn==1 具有syn标志位的tcp数据包
tcp.flags.rst==1 具有rst标志位的tcp数据包
登录后复制

相关推荐:《Windows运维

以上是wireshark工具的显示过滤器的使用的详细内容。更多信息请关注PHP中文网其他相关文章!

相关标签:
来源:php.cn
本站声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
热门教程
更多>
最新下载
更多>
网站特效
网站源码
网站素材
前端模板