Wireshark 过滤器的使用

一、捕获过滤器

1.1 简介

Wireshark 捕获过滤(capture filter),一句话解释就是抓包过滤,需要抓取哪些特定的数据包。

简单来说的原因就是性能,如果明确知道需要或不需要分析某个协议类型的流量,那么就可以使用捕获过滤器进行过滤,从而节省处理器资源。因此当网卡传输大量数据流量的时候,通过捕获过滤器进行过滤是很有用处的。

但如果性能满足或者你对协议交互流量不那么清楚的情况下,建议还是抓全包,原因是很有可能过滤掉某些有用的数据包,会导致无法分析到产生问题的真正原因。

1.2 语法

捕获过滤器表达式由一个或多个原语组成,原语通常由「一个 id(名称或数字)」和「一个或多个限定符」组成。

image-20240317125538061

操作符 符号 说明
and &&
or ||
not !
!port 8080			# 排除与 8080 端口交互的报文
!tcp				# 排除 tcp 报文
!tcp || !port 8080	# 排除与 8080 端口交互的 TCP 报文
!tcp and !port 8080	# 排除所有 tcp 和 8080 端口的报文
限定词 说明 举例
type (类型) 指出名字或者数字所代表的意义 host、net、port
默认 host
dir (方向) 指明传输方向是前往还是来自名字或者数字 src、dst
默认 src or dst
proto (协议) 限定所要匹配的协议 ether、ip、tcp、udp、http、ftp
默认和 type 一致的所有协议
udp && port 80					# 过滤所有与 80 端口交互的 UDP 报文
udp || port 80					# 过滤出 udp 或 80 端口的报文
src 192.168.0.118				# 过滤所有源地址为 192.168.0.118 的报文
src or dst 192.168.0.118 		# 过滤地址为 192.168.0.118 的报文
host 192.168.0.118				# 过滤地址为 192.168.0.118 的报文
host 192.168.0.118 and port 80	# 过滤出所有与 80 端口交互且地址为 192.168.0.118 的报文

二、显示过滤器

留坑。

参考资料

posted @ 2024-03-17 13:29  MElephant  阅读(322)  评论(0编辑  收藏  举报