抓包整理————过滤器[五]

前言

简单介绍一下过滤器。

正文

wireshark 过滤器:

捕获过滤器:
用于减少抓取的报文体积
使用BPF 语法, 功能相对有限

显示过滤器
对已经抓取到的报文过滤显示
功能强大

捕获过滤器如下:

Berkeley Packet Filter,在设备驱动级别提供抓包过滤接口,多数抓包工具都支持此语法

expression 表达式:由多个原语组成

primitives 原语: 由名称或数字, 以及描述它的多个限定词组成
qualifiers 限定词:
Type: 设置数字或者名称所指示的类型, 例如: host www.baidu.com
Dir: 设置网络出入方向,比如dst port 80
Proto: 指定协议类型,例如udp
其他
原语运算符
与: && 或者 and
或:|| 或者 or
非: !或者not

例如: src or dst protrange 6000-8000 && tcp or ip6

限定词 type: 设置数字或者名称所指示类型

  1. host、port(host 指的是ip,如果是域名的话,那么是dns 后的ip)
  2. net,设定子网, net 192.168.0.0 mask 255.255.255.0 等价于 192.168.0.0/24
  3. portrange, 设置端口范围, 例如portrange 6000-8000

Dis: 设置网络出入方向

  1. src、dst、 src or dst、src and dst

  2. ra 、ta、addr1(仅对ieee 802.11 wireless LAN 有效)

Proto: 指定协议类型

ether、 fddi、tcp、upd、ip6

其他:

gateway: 指名网关
broadcat: 广播报文,例如 ether brodcast 或者 ip broadcast
muticast: 多播报文,例如ip multicast 或者 ip6 muticast
less,greater: 小于或者大于

下一节显示过滤器。

posted @ 2022-04-18 11:33  敖毛毛  阅读(94)  评论(0编辑  收藏  举报