抓包過濾器用來抓取感興趣的包,用在抓包過程中。抓包過濾器使用的是libcap過濾器語言,在tcpdump的手冊中有詳細的解釋,基本結構是:[not] primitive [and|or [not] primitive ...]
個人觀點:如果你想抓取某些特定的資料報時,可以有以下兩種方法,你可以任選一種,個人比較偏好第二種方式:
(1)在抓包的時候,就先定義好抓包過濾器,這樣結果就是只抓到你設定好的那些型別的資料報;
(2)先不管三七二十一,把本機收到或者發出的包一股腦的抓下來,然後使用下節介紹的顯示過濾器,只讓ethereal 顯示那些你想要的那些型別的資料報;
3、etheral的顯示過濾器(重點內容)
在抓包完成以後,顯示過濾器可以用來找到你感興趣的包,可以根據協議、是否存在某個域、域值、域值之間的比較來查詢你感興趣的包。
舉個例子,如果你只想檢視使用tcp協議的包,在ethereal視窗的左下角的filter中輸入tcp, 然後回車,ethereal就會只顯示tcp 協議的包。
值比較表示式可以使用下面的操作符來構造顯示過濾器自然語言類c 表示舉例
eq ==
ip.addr==10.1.10.20
ne !=
ip.addr!=10.1.10.20
gt >
frame.pkt_len>10
lt <
lt < frame.pkt_len<10
ge >=
frame.pkt_len>=10
le <=
frame.pkt_len<=10
表示式組合可以使用下面的邏輯操作符將表示式組合起來自然語言類c 表示舉例
and &&:邏輯與
ip.addr=10.1.10.20&&tcp.flag.fin
or ||:邏輯或
ip.addr=10.1.10.20||ip.addr=10.1.10.21
xor ^^:異或
tr.dst[0:3] == 0.6.29 xor tr.src[0:3] == not
!:邏輯非
!llc
Wireshark 抓包過濾器學習
wireshark中,分為兩種過濾器 捕獲過濾器和顯示過濾器 捕獲過濾器是指wireshark一開始在抓包時,就確定要抓取哪些型別的包 對於不需要的,不進行抓取。顯示過濾器是指wireshark對所有的包都進行抓取,當使用者分析資料報的資訊,便於篩選出需要的資料報。總結來說,捕獲過濾器是在使用者開始...
ethereal 過濾器使用經驗
事實上,ethereal本身並不能抓包,它只能用來解析資料報 要抓取資料報,它需要借助於pcap。pcap在windows下面的實現稱作winpcap,現在最高的穩定版本是3.0。在linux下面,pcap一般都已經被預設安裝 常用的capture filter 常用的display filter ...
Wireshark網路抓包 二 過濾器
圖 img 圖 img 1 捕獲單個ip位址 2 捕獲ip位址範圍 圖 img 3 捕獲廣播或多播位址 圖 img 4 捕獲mac位址 圖 img 5 捕獲所有埠號 圖 img 6 捕獲特定icmp資料 當網路 現效能或安全問題時,將會看到icmp 網際網路控制訊息協議 在這種情況下,使用者必須使用...