wireshark过滤器的使用
目录
- 抓包过滤器
- 显示过滤器
- **1. 基本语法结构**
- **2. 常用字段类型**
- **网络层字段**
- **传输层字段**
- **应用层字段**
- **通用字段**
- **3. 比较运算符**
- **4. 逻辑运算符**
- **5. 范围表达式**
- **6. 协议限定**
- **7. 示例**
- **8. 提示**
- **一、PCAP是什么?**
- **二、PCAP的核心用途**
- **三、PCAP文件格式解析**
- **1. 文件头(24字节)**
- **2. 数据包记录(每个数据包一个记录)**
- **四、PCAP与PCAPNG的区别**
- **五、如何操作PCAP文件?**
- **1. 捕获PCAP文件**
- **2. 分析PCAP文件**
- **3. 转换与编辑PCAP文件**
- **六、PCAP的安全风险**
Wireshark有抓包过滤器和显示过滤器两种,以下是它们的使用方法:
抓包过滤器
- 语法:使用BPF(Berkeley Packet Filter)语法,有四个核心元素,分别是类型、方向、协议和逻辑运算符。类型包括主机(host)、网段(net)、端口(port)等;方向有源地址(src)、目标地址(dst);协议如tcp、udp、http等;逻辑运算符有与(&&)、或(||)、非(!)。例如,“src host 192.168.31.1”表示抓取源IP为192.168.31.1的数据包;“tcp || udp”表示抓取TCP或UDP协议的数据包。
- 使用方式:先停止抓包,点击工具栏的“捕获”按钮,选择“选项”,在弹出的捕获选项界面最下方的输入框中输入过滤语句,点击“开始”即可抓包。输入框会自动检测语法,绿色代表语法正确,红色代表语法错误。