bpf語法(berkeley packet filter)——基於libpcap/wincap庫,在抓包的過程中過濾掉某些型別的協議,不抓取過濾掉的協議。(建議在流量特別大的情況下使用)
型別type: host、net、port
方向dir: src、dst
協議proto: ether、ip、tcp、udp、http、ftp
邏輯運算子: &&與、||或、!非
過濾mac位址案例
過濾ip位址案例
過濾埠案例
過濾協議案例
綜合過濾案例
抓包過程中抓取所有的協議,但是在顯示時對過濾掉的某些協議不予顯示。(在流量不大的情況下建議使用 )
比較操作符
==、!=、<、>、>=、=
邏輯操作符
and、or、not(沒有條件滿足)、xor(有且僅有乙個條件滿足)
ip位址
ip.addr、ip.src、ip.dst
埠過濾
tcp.port、tcp.srcport、tcp.dstport、tcp.flag.syn、tcp.flag.ack
協議過濾
arp、ip、icmp、udp、tcp、bootp、dns
過濾ip位址案例
過濾埠案例
過濾協議案例
綜合過濾案例
WireShark過濾器選項
首先說幾個最常用的關鍵字,eq 和 等同,可以使用 and 表示並且,or 表示或者。和 not 都表示取反。一 針對wireshark最常用的自然是針對ip位址的過濾。其中有幾種情況 1 對源位址為192.168.0.1的包的過濾,即抓取源位址滿足要求的包。表示式為 ip.src 192.168....
wireshark 捕獲過濾器
在wireshark中往往會抓到很多資料,這時我們就需要用到過濾器filter來篩選出我們所關心的資料報。wireshark提供了兩種過濾器 捕獲過濾器 在抓包之前就設定好過濾條件,然後只抓取符合條件的資料報。顯示過濾器 在已捕獲的資料報集合中設定過濾條件,隱藏不想顯示的資料報,只顯示符合條件的資料...
wireshark 顯示過濾器
對於我們個人使用者,顯示過濾器相比捕獲過濾器要更為常用。顯示過濾器主要適用於單機環境流量不大的情況。對於攻擊者而言,往往不知道需要什麼樣的資料報,只能在抓包審計之後再確定,因而也通常選用顯示過濾器。當停止捕獲資料之後,在資料報列表上面的過濾框中輸入過濾表示式,就可以只顯示我們需要的資料報。比如輸入表...