wireshark封包抓取之擷取過濾器的使用

關於什麼是wireshark就不多說了，簡而言之，一個強大的資料包擷取工具。我們常用它來抓取一些資料包，然後來分析這些資料包。當然，我們大多數都是想抓取特定的資料包，過濾那些不需要的資料包。下面，來看看wireshark的捕獲過濾器的使用。

捕獲過濾器的語法

捕獲過濾器的語法採用BPF語法，關於什麼是BPF語法大家想要知道的話可以自行Google.講的通俗一點，wireshark的捕獲過濾器使用一些限定詞，如（host/src/port)，和限定值，然後透過邏輯運算子結合起來的表達式。

下面給出一個簡單的過濾器，該過濾器用來指定只捕獲來自特定ip的封包

host 47.***.***.16

常用的限定詞分為下面三大類：

• 類型：如host/net/port

• 方向：如src/dst

• 協定：如ip /tcp/udp/http/https

邏輯運算子有以下

• 與運算子&&

• 或運算子||

• 非運算子！

接下來，從幾個方面來示範如何使用擷取濾鏡。

位址過濾器

位址過濾器是我們日常中使用最多的了，用來指定來自特定IP或主機名稱的數據包。除此之外，還可以指定MAC位址、IPv6位址。

下面來透過幾個案例來示範：

限定IPv4位址

host 192.168.1.111

限定位址及方向：即限定來源位址，只擷取從某個特定ip來的封包

src host 192.168.1.111

限定MAC位址

ether host 00:0c:29:84:5b:d0

##連接埠過濾器

連接埠過濾器日常用的也比較多，例如只擷取80埠資料或只擷取22埠的資料包等。

擷取目標連接埠為80埠的封包

src port 80

不擷取22埠封包

!port 22

#協議過濾器

用來限定協議，這個限定的協議是不分層的，可以是應用層協議http、https、ftp、dns，也可以是傳輸層協定tcp、udp或是ip層的ip協定、icmp等。

只擷取icmp協定封包

icmp

最後，我們來弄一個稍微複雜點的綜合範例吧。同時限定ip、方向以及連接埠的篩選器，如下

host 192.168.1.111 && dst port 80

相關推薦：《

Windows運維》

以上是wireshark封包抓取之擷取過濾器的使用的詳細內容。更多資訊請關注PHP中文網其他相關文章！