“ 介绍Wireshark对已有报文的显示进行控制的显示规则。”
之前对Wireshark抓包时使用的过滤规则进行了介绍,本文介绍对已有报文的显示进行控制的显示规则。掌握了显示规则,你使用Wireshark的动作都会炫起来。
点击回顾:过滤规则
01
—
显示规则使用
在Wireshark界面对已经抓取的报文在界面的显示进行控制的规则,称为显示规则,显示规则只是让一部分不符合规则的报文不被显示,但未被丢弃,这些报文仍然存在在Wireshark的系统内。
显示规则相对过滤规则要简单得多,在使用界面直接输入或者选择规则即可。
显示规则是对抓取后的报文再次进行刷选,显示规则基本不需要学习,因为Wireshark已经给了足够多的提示,只需简单的进行输入和使用鼠标即可。
显示规则也有部分默认规则,与过滤规则相同。
这些规则远远无法满足分析协议的需要,我们需要的是在输入框内输入显示规则,进行显示过滤。
在显示规则输入框内进行输入,wireshark会进行提示,使用户能够选择相应的规则名称进行条件的设置,如果输入错误或者不完整,则输入框内会显示红色,当完整了,则显示绿色。
在一个大项属性下,如果需要进行步进行规则的细化,使用“.”即可继续提示规则。
这简化了显示规则的大量操作。
虽然显示规则很简单,但了解一些例子,更有助于使用,下一节将举例介绍。
显示规则的使用,依赖于Wireshark已经将对报文所属协议识别和解析的程度,如果无法满足分析需要,则应使用更进阶的方法进行过滤,下一节也将举例介绍。
02
—
显示规则例子
本节使用一些例子,来说明显示规则的用法。
1、仅显示源端口为443的TCP报文
tcp.srcport == 443
其中的==可使用eq来代替。在客户端侧,这抓取的是SSL协议的所有上行报文。如果上下行报文都需要,则将srcport改为port即可,相应地,还有dstport可以使用。
2、显示ssl报文和域名为www.baidu.com的http报文
ssl or http.host eq www.baidu.com
使用or进行规则的连结,表示满足一个条件即可。
与过滤规则相同,同样支持and以及not连结符,同样,也支持()进行优先级的设定。
3、显示包含“baidu”字符串的ssl报文
ssl contains "baidu"
使用contains 可进行字符串的过滤,contains对字符串的过滤很有效,但前提是位置属性要选择正确 。
4、显示所有数据体前两个字节为1a1c的报文
data.data[0:2]==1a:1c
这条规则,则是一种进阶使用方法,深入到报文的二进制层内,对所有的Wireshark初步解析后带data的内容的数据前两个字节的值进行过滤。0:2表示从0位置开始的2个字节长度的数据,当然,可以以任意需要的位置开始,任意长度的数据。
显示规则能够大大提高协议分析的效率,如果在使用上有不懂的地方,可以关注我进行咨询,免费的噢。
长按进行关注。