在wireshark中往往會抓到很多資料,這時我們就需要用到過濾器filter來篩選出我們所關心的資料報。
wireshark提供了兩種過濾器:
需要注意的是,這兩種過濾器所使用的語法是完全不同的,在本篇博文中將介紹捕獲過濾器。
使用捕獲過濾器的主要原因就是效能。如果你知道並不需要分析某個型別的流量,那麼可以簡單地使用捕獲過濾器過濾掉它,從而節省那些會被用來捕獲這些資料報的處理器資源。當處理大量資料的時候,使用捕獲過濾器是相當好用的。
新版wireshark的初始介面非常簡潔,主要就提供了兩項功能:先設定捕獲過濾器,然後再選擇負責抓包的網絡卡。由此可見捕獲過濾器的重要性。
比如我們希望只抓取與80埠之間的通訊,那麼可以設定過濾規則「port 80」。
捕獲過濾器應用於winpcap,並使用berkeley packet filter(bpf)語法,其語法規則如下:
協議方向型別資料
我們還可以使用以下三種邏輯運算子,對表示式進行組合,從而建立更高階的表示式。
邏輯與&&,邏輯或||,邏輯非!
比如下面這個表示式,只捕獲源位址是192.168.0.10並且源埠或目的埠是80的資料報。
src 192.168.0.10 && port 80
應用示例
如果我們希望抓取某台特定主機或裝置的資料報,那麼可以根據裝置的ip位址或mac位址來設定過濾規則。
比如只抓取ip位址為192.168.0.10的資料報。
host 192.168.0.10
如果考慮到主機的ip位址可能會變化,那麼可以指定mac位址進行過濾。
ether host 00-50-56-c0-00-01
也可以根據資料的流向來過濾:
src host 192.168.0.10 //從192.168.0.10發出的資料報
dst host 192.168.0.10 //發往192.168.0.10的資料報
ether src host 00-50-56-c0-00-01 //從00-50-56-c0-00-01發出的資料報
ether dst host 00-50-56-c0-00-01 //發往00-50-56-c0-00-01的資料報
需要注意的是,host在表示式中是預設選項,因而上面的這幾個表示式無論是否加上host都是表達相同含義。
再比如通過埠進行過濾:
port 8080 //只捕獲8080埠的流量
!port 8080 //捕獲8080埠外的所有流量
dst port 8080 //只捕獲前往8080埠的流量
通過協議或通訊方式進行過濾:
icmp //只捕獲icmp流量
!broadcast //不要抓取廣播包
wireshark 捕獲 802 11 問題
wireshark 捕獲 802.11 問題 我嘗試用 wireshark 捕獲 手機連線 wi fi 的 通訊資料,用膝上型電腦 macpro 連線了wifi,將網絡卡設定為監聽模式,並設定鏈路層頭為802.11 plus radiotap header 接著就進行監聽,同時讓手機連線wi fi,...
使用wireshark捕獲SSL TLS包並分析
tls運作方式如下圖 捕獲的tls資料報如下 接下來分析資料報 24號資料報,忽略網路層和傳輸層直接看安全套接字層 展開後 可見第一步由客戶端傳送加密協議 tls版本 隨機數等資訊。26號包 伺服器傳送tls版本號 隨機數 加密方式等資訊 30號報文 伺服器向客戶機傳送證書,用以證明服務端身份 32...
wireshark 捕獲過濾器
在wireshark中往往會抓到很多資料,這時我們就需要用到過濾器filter來篩選出我們所關心的資料報。wireshark提供了兩種過濾器 捕獲過濾器 在抓包之前就設定好過濾條件,然後只抓取符合條件的資料報。顯示過濾器 在已捕獲的資料報集合中設定過濾條件,隱藏不想顯示的資料報,只顯示符合條件的資料...