首頁 >運維 >windows維 >wireshark封包抓取之擷取過濾器的使用

wireshark封包抓取之擷取過濾器的使用

齐天大圣
齐天大圣原創
2020-12-08 10:51:033336瀏覽

關於什麼是wireshark就不多說了,簡而言之,一個強大的資料包擷取工具。我們常用它來抓取一些資料包,然後來分析這些資料包。當然,我們大多數都是想抓取特定的資料包,過濾那些不需要的資料包。下面,來看看wireshark的捕獲過濾器的使用。

捕獲過濾器的語法

捕獲過濾器的語法採用BPF語法,關於什麼是BPF語法大家想要知道的話可以自行Google.講的通俗一點,wireshark的捕獲過濾器使用一些限定詞,如(host/src/port),和限定值,然後透過邏輯運算子結合起來的表達式。

下面給出一個簡單的過濾器,該過濾器用來指定只捕獲來自特定ip的封包

host 47.***.***.16

常用的限定詞分為下面三大類:

  • 類型:如host/net/port

  • 方向:如src/dst

  • 協定:如ip /tcp/udp/http/https

邏輯運算子有以下

  • 與運算子&&

  • 或運算子||

  • 非運算子!

接下來,從幾個方面來示範如何使用擷取濾鏡。

位址過濾器

位址過濾器是我們日常中使用最多的了,用來指定來自特定IP或主機名稱的數據包。除此之外,還可以指定MAC位址、IPv6位址。

下面來透過幾個案例來示範:

限定IPv4位址

host 192.168.1.111

限定位址及方向:即限定來源位址,只擷取從某個特定ip來的封包

src host 192.168.1.111

限定MAC位址

ether host 00:0c:29:84:5b:d0

##連接埠過濾器

連接埠過濾器日常用的也比較多,例如只擷取80埠資料或只擷取22埠的資料包等。

擷取目標連接埠為80埠的封包

src port 80

不擷取22埠封包

!port 22

#協議過濾器

用來限定協議,這個限定的協議是不分層的,可以是應用層協議http、https、ftp、dns,也可以是傳輸層協定tcp、udp或是ip層的ip協定、icmp等。

只擷取icmp協定封包

icmp

最後,我們來弄一個稍微複雜點的綜合範例吧。同時限定ip、方向以及連接埠的篩選器,如下

host 192.168.1.111 && dst port 80

相關推薦:《

Windows運維

以上是wireshark封包抓取之擷取過濾器的使用的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn