前言
简单介绍一下过滤器。
正文
wireshark 过滤器:
捕获过滤器:
用于减少抓取的报文体积
使用BPF 语法, 功能相对有限
显示过滤器
对已经抓取到的报文过滤显示
功能强大
捕获过滤器如下:
Berkeley Packet Filter,在设备驱动级别提供抓包过滤接口,多数抓包工具都支持此语法
expression 表达式:由多个原语组成
primitives 原语: 由名称或数字, 以及描述它的多个限定词组成
qualifiers 限定词:
Type: 设置数字或者名称所指示的类型, 例如: host www.baidu.com
Dir: 设置网络出入方向,比如dst port 80
Proto: 指定协议类型,例如udp
其他
原语运算符
与: && 或者 and
或:|| 或者 or
非: !或者not
例如: src or dst protrange 6000-8000 && tcp or ip6
限定词 type: 设置数字或者名称所指示类型
- host、port(host 指的是ip,如果是域名的话,那么是dns 后的ip)
- net,设定子网, net 192.168.0.0 mask 255.255.255.0 等价于 192.168.0.0/24
- portrange, 设置端口范围, 例如portrange 6000-8000
Dis: 设置网络出入方向
-
src、dst、 src or dst、src and dst
-
ra 、ta、addr1(仅对ieee 802.11 wireless LAN 有效)
Proto: 指定协议类型
ether、 fddi、tcp、upd、ip6
其他:
gateway: 指名网关
broadcat: 广播报文,例如 ether brodcast 或者 ip broadcast
muticast: 多播报文,例如ip multicast 或者 ip6 muticast
less,greater: 小于或者大于
结
下一节显示过滤器。