Maison  >  Article  >  Opération et maintenance  >  Comment utiliser le filtre d'affichage de l'outil Wireshark

Comment utiliser le filtre d'affichage de l'outil Wireshark

齐天大圣
齐天大圣original
2020-12-08 12:34:242364parcourir

Le filtre d'affichage Wireshark est utilisé pour filtrer les paquets de données capturés et afficher uniquement les paquets de données qui répondent aux conditions de filtrage. Les filtres d'affichage sont généralement plus couramment utilisés que les filtres de capture. Il n'y a généralement aucune restriction dans le processus de capture de paquets, tout paquet est capturé, puis des paquets de données spécifiques sont analysés via le filtre d'affichage.

Il existe deux manières d'afficher les filtres, à savoir :

  • Mode dialogue

  • Mode expression texte

Affichage du mode dialogue

Cette méthode est très simple, il vous suffit de déplacer la souris pour sélectionner ce dont vous avez besoin Règles de filtre. Cliquez tour à tour sur Analyse ->Afficher l'expression du filtre

Comment utiliser le filtre daffichage de loutil Wireshark

Les cases de gauche sont tous les domaines de protocole disponibles. Sélectionnez un champ de protocole de filtre, puis sélectionnez la relation, et enfin remplissez la valeur, et un filtre d'affichage est terminé.

Filtre d'affichage pour les expressions de texte

La méthode de la boîte de dialogue convient aux novices, mais après avoir joué avec Wireshark pendant un moment, vous deviendrez familier avec son filtre d'affichage Après avoir défini les règles, vous pouvez utiliser des expressions de texte pour fonctionner. Voici quelques filtres d'affichage courants :

Limitation de protocole

est utilisée pour limiter les protocoles couramment utilisés, tels que http, ssh, tcp, etc. .

Afficher uniquement le protocole http

http

Afficher les paquets de protocole http ou ssh

http or ssh

IP limitée adresse et port

L'adresse IP et le port sont les conditions de filtrage les plus couramment utilisées, mais contrairement au filtre de capture, le filtre d'affichage utilise ip.addr == adresse IP pour limiter.

Limiter l'IP

ip.addr == 192.168.110.145

Limiter la taille des paquets

frame.len > 128

Les opérateurs de comparaison courants sont :

  • supérieur à>

  • inférieur à

  • supérieur ou égal>=

  • inférieur ou égal

  • égal à==

  • pas égal à !=

Le rôle des expressions logiques

frame.len > 128 and ip.addr == 192.168.110.145

Les opérateurs logiques courants sont :

  • Et, les deux conditions sont remplies en même temps et

  • ou, deux conditions satisfont une ou

  • non, aucune condition n'est remplie non

  • exclusif ou, une des conditions est satisfait Un autre qui ne satisfait pas aux protocoles, tels que tcp.port

    tcp.port==80

Expressions de filtre d'affichage couramment utiliséesEnfin, filtre d'affichage commun des expressions sont données

!arp 排除arp数据包
http 只显示http数据包
!tcp.port==80 过滤http数据包
tcp.port==21 or tcp.port==22 ftp或ssh
tcp.flags.syn==1 具有syn标志位的tcp数据包
tcp.flags.rst==1 具有rst标志位的tcp数据包

Recommandations associées : "

Exploitation et maintenance de Windows

"

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn