Wireshark過濾器語法設置
1. 抓包過濾器
BPF語法(Berkeley Packet Filter)——基於libpcap/wincap庫,在抓包的過程中過濾掉某些類型的協議,不抓取過濾掉的協議。(建議在流量特別大的情況下使用)
1.1 語法說明
- 類型Type: host、net、port
- 方向Dir: src、dst
- 協議Proto: ether、ip、tcp、udp、http、ftp
- 邏輯運算符: &&與、||或、!非
1.2 例子
- src host 192.168.1.1 && dst port 80 抓取源地址為192.168.1.1,目的端口為80的流量
- host 192.168.1.1 || host 192.168.1.2 抓取192.168.1.1和192.168.1.2的流量
- !broadcast 不要抓廣播包
過濾MAC地址案例
- ether host 00:88:ca:86:f8:od
- ether src host 00:88:ca:86:f8:od
- ether dst host 00:88:ca:86:f8:od
過濾IP地址案例
- host 192.168.1.1
- src host 192.168.1.1
- dst host 192.168.1.1
過濾端口案例
- port 80
- ! port 80
- dst port 80
- src port 80
過濾協議案例
- arp
- icmp
綜合過濾案例
- host 192.168.1.1 && port 8080
2. 顯示過濾器
抓包過程中抓取所有的協議,但是在顯示時對過濾掉的某些協議不予顯示。(在流量不大的情況下建議使用 )
2.1 語法說明
比較操作符
==、!=、<、>、>=、=
邏輯操作符
and、or、not(沒有條件滿足)、xor(有且僅有一個條件滿足)
IP地址
ip.addr、ip.src、ip.dst
端口過濾
tcp.port、tcp.srcport、tcp.dstport、tcp.flag.syn、tcp.flag.ack
協議過濾
arp、ip、icmp、udp、tcp、bootp、dns
2.2 示例
過濾IP地址案例
- ip.addr == 192.168.1.1
- ip.src == 192.168.1.1
- ip.dst == 192.168.1.1
過濾端口案例
- tcp.port == 80
- tcp.srcport == 80
- tcp.dstport == 80
- tcp.flags.syn == 1
過濾協議案例
- tcp
- not http
- not arp
綜合過濾案例
- ip.src == 192.168.1.100 and udp.port == 4000