Wireshark 捕获过滤规则设置方法,新手需知。

相信很多朋友都遇到过以下问题,就是Wireshark 捕获过滤规则设置方法,新手需知。。针对这个问题,今天小编就搜集了网上的相关信息,给大家做个Wireshark 捕获过滤规则设置方法,新手需知。的解答。希望看完这个教程之后能够解决大家Wireshark 捕获过滤规则设置方法,新手需知。的相关问题。

使用 Wireshark 软件进行抓包,为了捕获指定的网络数据包,我们可以设置过滤规则,这样就能正确转包。问题来了,如何设置 Wireshark 捕获过滤器?为了帮助新手用户解决困扰,本文整理了详细说明,请参考。

Wireshark 如何设置捕获过滤规则?

从 Wireshark 2.x 版本开始,启动软件,在欢迎界面中就能看到捕获过滤器,在框中输入过滤表达式,即可抓取符合规则的数据包,


点击图中的书签标志,弹出菜单,选择“管理捕获筛选器”,即可看到捕获过滤表达示的书写形式,如图,


过滤表达式的语法说明

一条基本的表达式由过滤项. 过滤关系和过滤值这三项组成,比如 ip.addr == 192.168.1.1,ip.addr 是过滤项,==是过滤关系,192.168.1.1是过滤值,意思就是找出所有 ip 协议中源或目标 ip 等于 192.168.1.1 的数据包。

过滤项: Wireshark 的过滤项是“协议.协议字段”的模式,以端口为例,端口出现于 tcp 协议中所以有端口这个过滤项且其写法就是 tcp.port,

过滤关系:过滤关系就是大于. 小于. 等于这三种关系,你可以直接查看官方给出的表,注意,“English”和“C-like”这两种写法在 Wireshark 中是等价的,都是可用的。

过滤值:过滤值是指设定的过滤项应该满足过滤关系的标准,比如 500. 5000. 50000 等,过滤值的写法一般已经被过滤项和过滤关系设定了,只需要填写你自己的期望值即可。

过滤表达式举例

1. 数据链路层:

筛选 mac 地址为 04:f9:38:ad:13:26 的数据包----eth.src == 04:f9:38:ad:13:26

2. 网络层:

筛选 ip 地址为192.168.1.1的数据包----ip.addr == 192.168.1.1

3. 传输层:

筛选 tcp 协议的数据包----tcp

筛选除 tcp 协议以外的数据包----!tcp

筛选端口为 80 的数据包----tcp.port == 80

只看文章说明,大家可能还是有点模糊,无妨,只要多多练习即可很快理解。想了解更多精彩教程资讯,请请关注完美下载。