使用 Wireshark 的默认设置抓包时,会得到大量的冗余信息,以至于很难找到自己所需的封包。使用过滤器可以帮助我们在庞杂的结果中快速地找到我们所需的封包。过滤器分为两种:捕捉过滤器和显示过滤器。
捕捉过滤器用于决定将什么样的信息记录在捕捉结果中,需要在抓包前设置。捕捉过滤器是数据经过的第一层筛选,它用于控制捕捉数据的数量,以避免产生过大的日志文件。
显示过滤器是一种更为强大复杂的过滤器,它用于在捕捉结果中进行详细查找,帮助我们在日志文件中迅速地定位我们所需的封包。
捕捉过滤器
语法
protocol[ direction][ host(s)][ value][ logical_operator other_expression]
操作
点击 Capture 菜单栏,选择 Options...,打开 Capture Options 窗口编辑过滤表达式。
实例
a) 显示目的 TCP 端口为 3128 的封包。
tcp dst port 3128
b) 显示来源 IP 地址为 10.1.1.1 的封包。
ip src host 10.1.1.1
c) 显示目的或来源 IP 地址为 10.1.2.3 的封包。
host 10.1.2.3
d) 显示来源为 UDP 或 TCP ,并且端口号在 2000 至 2500 范围内的封包。
src portrange 2000-2500
e) 显示除了 ICMP 以外的所有封包。
not imcp
f) 显示来源 IP 地址为 10.7.2.12 ,但目的地不是 10.200.0.16 的封包。
src host 10.7.2.12 and not dst net 10.200.0.16
显示过滤器
语法
protocol[.str1][.Str2][ comparison_operator value][ logical_operator other_expression]
操作
1. 编辑位置:
2. 可以点击 Expression... 按钮,打开 Filter Expression 窗口编辑过滤表达式:
实例
a) 显示 TCP 封包。
tcp
b) 显示除 ICMP 外的封包。
not icmp
c) 显示来源 IP 地址为 93.184.216.34 的封包。
ip.src == 93.184.216.34
d) 显示目的 IP 地址为 93.184.216.34 且目的 TCP 端口为 445 的封包。
ip.dst == 10.6.0.30 and tcp.dstport == 445
e) 显示来源或目的 IP 地址为 10.1.1.1 的 HTTP 封包。
ip.addr == 93.184.216.34 and http
f) 显示 host 首部包含 "example.com" 的 HTTP 封包。
http.host contains "example.com"
h) 显示数据帧长度不大于 1024 字节的封包。
frame.len <= 1024