wireshark系列之wireshark過濾器

 

一：過濾器

1. 使用wireshark工具抓包，如果使用默認配置，會得到大量的數據，所以我們就很難找到我們要分析的封包數據。所以使用wireshark過濾器就顯得尤為重要。
2. wireshark過濾器分為兩種：顯示過濾器，捕獲過濾器
3. 如果過濾的語法正確則顯示綠色，如果語法錯誤則顯示紅色。
4. 顯示過濾器和捕獲過濾器的區別。捕獲過濾器是wireshark的第一層過濾器，他確定了捕獲哪些封包，舍棄哪些封包；顯示過濾器是wireshark的第二層過濾器，他是在捕獲過濾器的基礎上只顯示符合規則的封包信息。

二：顯示過濾器

　　一）簡介

1. 1. 顯示過濾器是wireshark的第二層過濾器（第一層為捕獲過濾器），他能很快的過濾出我們需要的封包數據。

　　二）顯示過濾器的語法

1. 1. 比較操作符：==、！=、<、>、>=、=
   2. 邏輯操作符：and、or、not(沒有條件滿足)、xor(有且僅有一個條件滿足)
   3. IP地址：ip.addr（來源ip地址或者目標ip地址）、ip.src（來源ip地址限制）、ip.dst（目標ip地址限制）
   4. 協議過濾：arp、ip、icmp、udp、tcp、bootp、dns
   5. 注意：顯示過濾器輸入之后要按回車才會生效。在大文件里應用過濾顯示器會有延遲。

　　三）顯示過濾器的入口

　　　　　1.手動輸入

　　　　

　　　　2.書簽管理器

　　　　

　　　　3.從分析工具欄進入

　　　　

　　　　4.封包詳情選中一個協議然后右鍵單擊

　　　　

 

　　四）舉個栗子

1. 1. 顯示snmp或者dns或者icmp協議的封包 snmp || dns || icmp
   2. 顯示來源或者目標地址為10.1.1.1的封包 ip.addr == 10.1.1.1
   3. 顯示來源不為10.1.2.3且目標不為10.4.5.6的封包 ip.src != 10.1.2.3 or ip.src != 10.4.5.6
   4. 顯示來源或者目的端口為25的封包 tcp.port == 25
   5. 顯示目的tcp端口為25的封包 tcp.dstport == 25
   6. 顯示包含tcp標志的封包 tcp.flags
   7. 顯示來源ip為10.1.2.3目標地址為10.4.5.6的封包 ip.src == 10.1.2.3 and ip.dst == 10.4.5.6

三：捕獲過濾器

　　一）作用

1. 1. 用於確定什么樣的信息記錄會顯示在捕獲結果中。注意：需要在開始捕獲前設置。
   2. 設置捕獲過濾器

　　二）捕獲過濾器語法

　　　　過濾器格式：協議 方向 主機端口(host/port/portrange)
　　　　1. protocol：可能值http、https、ftp、udp、tcp、ipv4、ipv6、arp、icmp等協議。如果沒有特別說明是什么協議，則默認使用所有支持的協議。
　　　　2. direction：可能的值 src、dst、src and dst、src or dst 默認src or dst
　　　　3. host(s):可能的值 net、port、host、portrange 默認host
　　　　4. logical operation（邏輯運算）：not and or not具有最高優先級，and or優先級相同，運算從左向右

　　 三）設置捕獲過濾器

　　　　1.通過捕獲工具欄來設置 如圖

　　　　

　　　　2.手動輸入

　　　　

 

　　四）舉個栗子

1. 1. 顯示tcp協議，目標端口3128的封包 tcp src port 3128
   2. 顯示ip協議，來源ip為10.1.1.1的封包 ip src host 10.1.1.1
   3. 顯示ip協議，來源目標ip為10.1.1.1的封包 ip host 10.1.1.1
   4. 顯示來源UDP，TCP協議，並且端口號在2000-5000的封包 src portrange 2000-5000
   5. 顯示imcp以為的所有封包 not imcp