.jpg)
關(guān)于什么是wireshark就不多說了,簡(jiǎn)而言之,一個(gè)強(qiáng)大的數(shù)據(jù)包捕獲工具。 我們經(jīng)常用它來抓取一些數(shù)據(jù)包,然后來分析這些數(shù)據(jù)包。當(dāng)然,我們大多數(shù)都是想抓取特定的數(shù)據(jù)包,過濾那些不需要的數(shù)據(jù)包。下面,來看看wireshark的捕獲過濾器的使用。
捕獲過濾器的語(yǔ)法
捕獲過濾器的語(yǔ)法采用BPF語(yǔ)法,關(guān)于什么是BPF語(yǔ)法大家想要知道的話可以自行谷歌。講的通俗一點(diǎn),wireshark的捕獲過濾器使用一些限定詞,如(host/src/port),和限定值,然后通過邏輯運(yùn)算符結(jié)合起來的表達(dá)式。
下面給出一個(gè)簡(jiǎn)單的過濾器,該過濾器用來指定只捕獲來自特定ip的數(shù)據(jù)包
host?47.***.***.16
常用的限定詞分為下面三大類:
-
類型:如host/net/port
-
方向:如src/dst
-
協(xié)議:如ip/tcp/udp/http/https
邏輯運(yùn)算符有以下
-
與運(yùn)算符&&
-
或運(yùn)算符||
-
非運(yùn)算符!
接下來,從幾個(gè)方面來演示如何使用捕獲過濾器。
地址過濾器
地址過濾器是我們?nèi)粘V惺褂米疃嗟牧耍脕碇付▉碜蕴囟↖P或主機(jī)名的數(shù)據(jù)包。除此之外,還可以指定MAC地址、IPv6地址。
下面來通過幾個(gè)案例來演示:
限定IPv4地址
host?192.168.1.111
限定地址及方向:即限定源地址,只捕獲從某個(gè)特定ip來的數(shù)據(jù)包
src?host?192.168.1.111
限定MAC地址
ether?host?00:0c:29:84:5b:d0
端口過濾器
端口過濾器日常用的也比較多,比如只捕獲80端口數(shù)據(jù)或只捕獲22端口的數(shù)據(jù)包等。
捕獲目標(biāo)端口為80端口的數(shù)據(jù)包
src?port?80
不捕獲22端口數(shù)據(jù)包
!port?22
協(xié)議過濾器
用來限定協(xié)議,這個(gè)限定的協(xié)議是不分層的,可以是應(yīng)用層協(xié)議http、https、ftp、dns,也可以是傳輸層協(xié)議tcp、udp或者是ip層的ip協(xié)議、icmp等。
只捕獲icmp協(xié)議數(shù)據(jù)包
icmp
最后,我們來弄一個(gè)稍微復(fù)雜點(diǎn)的綜合例子吧。同時(shí)限定ip、方向以及端口的過濾器,如下
host?192.168.1.111?&&?dst?port?80
相關(guān)推薦:《Windows運(yùn)維》
.png)
