Wireshark 基本操作:捕获过滤器和显示过滤器
时间: 2023-12-04 15:39:50 浏览: 58
Wireshark是一款网络协议分析工具,可以用于网络故障排查、网络安全分析等。在使用Wireshark进行网络分析时,捕获过滤器和显示过滤器是非常重要的两个概念。
捕获过滤器是在捕获网络数据包时使用的过滤器,它可以帮助我们只捕获我们需要的数据包,避免无用的数据包占用存储空间。捕获过滤器使用的是BPF过滤器语法,可以根据协议类型、源地址、目的地址、端口号等条件进行过滤。在Wireshark中,可以在“捕获选项”中设置捕获过滤器。
显示过滤器是在已经捕获的数据包中进行过滤的过滤器,它可以帮助我们快速找到我们需要的数据包,避免在大量数据包中手动查找。显示过滤器使用的是Wireshark过滤器语法,可以根据协议类型、源地址、目的地址、端口号、数据包长度等条件进行过滤。在Wireshark中,可以在“过滤器”中设置显示过滤器。
下面是一个例子,假设我们只想捕获源地址为192.168.1.100的HTTP数据包,并且只想显示其中的GET请求:
1. 设置捕获过滤器:在“捕获选项”中设置过滤器为“host 192.168.1.100 and tcp port 80”
2. 开始捕获数据包:点击“开始”按钮开始捕获数据包。
3. 设置显示过滤器:在“过滤器”中设置过滤器为“http.request.method == GET”
4. 查看结果:只有符合条件的数据包会被显示出来。
相关问题
wireshark捕获过滤器和显示过滤器
Wireshark是一个开源的网络数据包分析工具,它可以用于捕获、分析和显示网络数据包。在Wireshark中,有两种类型的过滤器:捕获过滤器和显示过滤器。
1. 捕获过滤器(Capture Filters):
捕获过滤器用于在捕获数据包时过滤出我们感兴趣的数据包。它们在捕获数据包之前应用,以减少需要处理的数据包数量,从而节省系统资源。捕获过滤器使用一种特定的语法来指定过滤条件,只有符合条件的数据包才会被捕获。
一些常见的捕获过滤器语法示例:
- host 192.168.0.1:只捕获源或目标IP地址为192.168.0.1的数据包。
- port 80:只捕获目标或源端口为80的数据包。
- tcp:只捕获TCP协议的数据包。
- udp and src host 192.168.0.1:只捕获源IP地址为192.168.0.1且协议为UDP的数据包。
2. 显示过滤器(Display Filters):
显示过滤器用于在Wireshark中显示我们感兴趣的数据包。它们在捕获数据包后应用,可以根据特定的条件过滤和显示数据包。显示过滤器使用一种类似于捕获过滤器的语法来指定过滤条件。
一些常见的显示过滤器语法示例:
- ip.addr == 192.168.0.1:只显示源或目标IP地址为192.168.0.1的数据包。
- tcp.port == 80:只显示目标或源端口为80的数据包。
- http:只显示HTTP协议的数据包。
- ip.addr == 192.168.0.1 and tcp.port == 80:只显示源IP地址为192.168.0.1且目标或源端口为80的数据包。
wireshark的捕获过滤器
Wireshark是一款网络协议分析工具,它可以用于捕获和分析网络流量。为了捕获特定的流量,Wireshark提供了捕获过滤器。捕获过滤器是一种语法,用于定义要捕获的数据包的条件。下面是一些常用的捕获过滤器:
1. host:捕获指定主机的流量。例如,host 192.168.1.1。
2. net:捕获指定网络的流量。例如,net 192.168.1.0/24。
3. port:捕获指定端口的流量。例如,port 80。
4. tcp:捕获TCP协议的流量。例如,tcp port 80。
5. udp:捕获UDP协议的流量。例如,udp port 53。
6. icmp:捕获ICMP协议的流量。例如,icmp.
7. ether:捕获以太网的流量。例如,ether host 00:11:22:33:44:55。
8. ip:捕获IPv4或IPv6的流量。例如,ip host 192.168.1.1。
9. not:捕获不符合条件的流量。例如,not host 192.168.1.1。
10. and、or、parentheses:用于组合多个过滤条件。例如,host 192.168.1.1 and port 80。
这些过滤器可以通过在Wireshark的捕获界面中输入表达式来使用。在“捕获过滤器”框中输入过滤器表达式后,Wireshark将只捕获符合条件的数据包。