wireshark过滤器的简单介绍
Wireshark的过滤器主要分为捕获过滤器和显示过滤器两种,其中捕获过滤器在数据包捕获时起作用,而显示过滤器用于在已捕获的数据包的集合中筛选数据。以下是一些Wireshark过滤器的详细介绍:
捕获过滤器:
用处:捕获过滤器可以用来指定Wireshark在捕获数据包时需要满足的条件,只捕获符合条件的数据包。
例子:“tcp port 80”表示只捕获源端口或目的端口为80的TCP数据包,即HTTP流量。
显示过滤器:
用处:显示过滤器可以根据过滤表达式来筛选出你想在当前屏幕上显示的数据包。
例子:“ip.src == 192.168.0.1 && tcp”表示只显示源IP地址为192.168.0.1的TCP数据包。
以下是一些常见的过滤器:
IP过滤器:
用处:IP过滤器可以让你根据源IP地址或目的IP地址来过滤数据包。
例子:“ip.src == 192.168.0.1”表示只显示源IP地址为192.168.0.1的数据包。
TCP过滤器:
用处:TCP过滤器可以让你根据TCP协议的标志位来过滤数据包,例如SYN、ACK、FIN等标志位。
例子:“tcp.flags == 0x02”表示只显示TCP数据包的SYN标志位被置位的数据包,即TCP连接请求数据包。
HTTP过滤器:
用处:HTTP过滤器可以让你根据HTTP协议的特征来过滤数据包,例如请求方法、状态码等。
例子:“http.request.method == GET”表示只显示HTTP请求的GET方法数据包。
DNS过滤器:
用处:DNS过滤器可以让你根据DNS协议的特征来过滤数据包,例如查询类型、响应码等。
例子:“dns.qr == 0x01”表示只显示DNS查询请求数据包。
5.ARP过滤器:
用处:ARP过滤器可以让你根据ARP协议的特征来过滤数据包,例如操作码、协议类型等。
例子:“arp.op == 0x0001”表示只显示ARP请求数据包。
除了以上这些过滤器之外,Wireshark还支持许多其他的过滤器,可以根据不同的需求来选择合适的过滤器使用。