Wireshark——过滤器使用

最新推荐文章于 2025-04-17 15:10:03 发布
最新推荐文章于 2025-04-17 15:10:03 发布
阅读量2.4w 收藏 45
点赞数 6
分类专栏: 网络分析 文章标签: Wireshark 数据包分析 网络 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/huashuolin001/article/details/82824045
版权

使用wireshark提供的过滤功能,可方便查看、分析自己想要的数据。wireshark的过滤器,分为捕获过滤器和显示过滤器。

捕获过滤器:当进行数据包捕获时,只有那些满足给定的包含/排除表达式的数据包会被捕获。

显示过滤器:该过滤器根据指定的表达式用于在一个已捕获的数据包集合中,隐藏不想显示的数据包,或者只显示那些需要的数据包。

下面分别介绍两种过滤器的使用。

一.捕获过滤器

捕获过滤器:当进行数据包捕获时,只有那些满足给定的包含/排除表达式的数据包会被捕获。

1. 示例:捕获通过端口11223的数据

示例wireshark版本1.8.7

1)打开wireshark,选择Capture->Interfaces,结果如图:

2)点击上图的Option,结果如图:

3)双击你要监测的网卡,结果如图:

4)在Capture Filter一栏中输入“port 11223”,如图:

5)点击OK后,再点击“Start”,即开始捕获通过11223端口的数据包。

6)捕获结果,如图:

2. 捕获过滤器的BPF语法

捕获过滤器应用于WinPacp,并使用Berkeley Packet Filter(BPF)语法。这个语法被广泛用于多种数据包嗅探软件,主要是因为大部分数据包嗅探软件都依赖于使用BPF的libpcap/WinPacp库。掌握BPF语法对你在数据包层级更深入地探索网络来说,非常关键。

上面实例中,在在Capture Filter一栏中输入“port 11223”即采用的BPF语法。

使用BPF语法创建的过滤器被称为表达式,并且每个表达式包含一个或者多个原语。每个原语包含一个或者多个限定词,然后跟着一个ID名字或者数字。

                       一个捕获过滤器样例

BPF限定词
限定词说明例子
Type指出名字或者数字所代表的意义host、net、port
Dir指明传输方向是前往还是来自名字或者数字src、dst
Proto限定所要匹配的协议ether、ip、tcp、udp、http、ftp

 

 

 

 

 

 

可以使用与(&&)、或(||)、非(!)三种逻辑运算符。

2. 应用场景

1. 主机名和地址过滤

示例:src host 192.168.5.6,捕获来自192.168.5.6的数据包

           host PC-TEST,捕获与计算机名为PC-TEST交互的数据包

2. 端口过滤

示例:port 8080,对8080端口进行数据包捕获

           !port 8080,捕获除8080端口外的所有数据包

3.协议过滤

示例:icmp,捕获icmp数据包

           tcp,捕获tcp数据包

4.协议域过滤

示例:icmp[0]==3,只想要得到代表目标不可达(类型3)信息的ICMP数据包。

BPF语法提供给我们的一项强大功能,就是我们可以通过检查协议头中的每一个字节来创建给予那些数据的特殊过滤器。

举例来说,假设我们想要基于ICMP过滤器的类型域进行过滤,而类型域位于数据包的最开头也就是偏移量为0的位置,那么我们可以通过在协议限定符后输入由方括号括起的字节偏移量,在这个例子中就是icmp[0],来指定我们想在一个数据包内进行检查的位置。这样将返回一个1字节的整型值用于比较。

二.显示过滤器

显示过滤器:该过滤器根据指定的表达式用于在一个已捕获的数据包集合中,隐藏不想显示的数据包,或者只显示那些需要的数据包。

1. 示例:只显示与IP地址10.25.193.12相关的数据

显示过滤器应用于捕获时或者捕获后,告诉Wireshark只显示那些符合过滤条件的数据包。你可以在Packet List面板上方的Filter文本框中,输入一个显示过滤器(本例为ip.addr==10.25.193.12),然后点击“Apply”,如图:

2. 过滤器表达式

显示过滤器示例

1)ip.addr==192.168.5.6,只显示192.168.5.6这个地址相关数据包

2)frame.len<=128,只查看长度小于128字节的数据包

3)http,只显示http数据包

4)ip.addr==192.168.5.6 && tcp.port==15566,只显示与192.168.5.6有关且与tcp端口15566有关的数据包

可点击Packet List面板上的Expression按钮查看所有的表达式选项,如图

 

可在该面板直接点击,进行表达式的书写。

此外在Packet List内输入关键字后,再输入“.”可查看可选项

 

Wireshark详解系列(六)——过滤器详解及使用(最好的wireshark过滤器教程)
shonencc的博客
12-19 3806
万字长文,你能找到的最好Wireshark过滤器教程
wireshark过滤器使用
yshuqian1的博客
07-06 1037
wireshar是一种常用的网络抓包工具,安全分析人员可以根据其抓获的流量包进行流量分析,进而分析出系统可能面临的流量威胁,对进一步的安全防护具有重要作用。如下图。
wireshark使用方式详细解释—捕获过滤器、显示过滤器、捕获模式以及追踪流详细解答
最新发布
qq_41314882的博客
04-17 1631
Wireshark(前身是Ethereal)是一个网络封包分析软件,目前是全球使用最广泛的开源抓包软件,别名小鲨鱼或者鲨鱼鳍。网络封包分析软件的功能是截取网卡进出的网络封包,并尽可能显示出最为详细的网络封包资料,它能够检测并解析各种协议,包括以太网、WIFI、TCP/IP和HTTP协议等等。
wireshark 抓包过滤器使用
weixin_30781631的博客
02-12 910
目录 wireshark 抓包过滤器 一、抓包过滤器 二、显示过滤器 整理自陈鑫杰老师的wireshark教程课 wireshark 抓包过滤器 过滤器分为抓包过滤器和显示过滤器,抓包过滤器会将不满足过滤条件的包丢弃,只保留满足条件的包,而显示过滤器则是对已抓取...
Wireshark——过滤器设置
qq_45951891的博客
11-04 1万+
初学者使用wireshark时,将会得到大量的冗余数据包列表,以至于很难找到自己自己抓取的数据包部分。wireshar工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。(1)抓包过滤器捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。如何使用?可以在抓取数据包前设置如下。
wireshark使用方式详细解释 捕获过滤器 显示过滤器 捕获模式以及追踪流详细解答 一篇文章OK
浩策盾悟
12-08 1万+
Wireshark使用LibPCAP、WinPCAP(现在普遍使用的是Npcap)作为驱动程序,他们提供了通用的抓包接口,直接与网卡进行数据报文交换,WinPCAP本身就是抓包分析工具,Wireshark通过对他进行整合加工丰富出来的产物,所以安装Wireshark的时候会提示我们安装WinPCAP。网络封包分析软件的功能是截取网卡进出的网络封包,并尽可能显示出最为详细的网络封包资料,它能够检测并解析各种协议,包括以太网、WIFI、TCP/IP和HTTP协议等等。Destination: 目标ip地址。
Wireshark 显示过滤器常用规则及代码示例
殷阳的博客
07-26 3036
Wireshark 使用显示过滤规则来过滤已捕获的数据包,及按规则显示(https://wiki.wireshark.org/ColoringRules)特定颜色。 你可以在显示过滤参考(https://www.wireshark.org/docs/dfref/)中找到主要的显示过滤协议字段列表。 如果你需要针对特定协议进行显示过滤,请参阅协议参考(https://wiki.wireshark.org/ProtocolReference)。
Wireshark网络抓包(二)——过滤器
小孩的博客
02-06 4241
一、捕获过滤器 选中捕获选项后,就会弹出下面这个框,在红色输入框中就可以编写过滤规则。 1)捕获单个IP地址 2)捕获IP地址范围 3)捕获广播或多播地址 4)捕获MAC地址 5)捕获所有端口号 6)捕获特定ICMP数据网络中出现性能或安全问题时,将会看到ICMP(互联网控制消息协议)。 在这种情况下,用户必须使用一个偏移量表示一个ICMP中字段的位置
Wireshark 抓包过滤器使用及TCP三次握手深层分析
崔同学的博客
07-21 4389
Wireshark 抓包过滤器使用及TCP三次握手深层分析 前言 笔者上一篇写过 Docker 的博客 logo 就是一条小鲨鱼,没想到这次想要更的内容,碰巧也是和鲨鱼有关,当然只有 logo 有关了,哈,看来和 shark 有不解之缘。 一、Wireshark介绍与安装 Wireshark 是非常流行、功能强大的网络数据包分析软件,并且开源免费。可在 Wireshark官网下载对应系统版本的软件,笔者本文使用 V3.2.5 Windows 64-bit。它用于软件开发、软件测试等工作中debug十分方
wireshark3.0.0——1.zip
09-18
这包括改进的色彩方案,使得数据包列表更容易阅读,以及新的过滤器栏,使得快速搜索和应用过滤器更为便捷。此外,此版本还支持自定义布局,用户可以根据工作需求调整和保存视图配置。 在性能提升方面,Wireshark ...
Wireshark-数据包过滤分析
神探
10-18 1万+
[ 使用版本:Version 1.10.2 (SVN Rev 51934 from/trunk-1.10) ] 过滤器可以帮助我们在庞杂的结果中迅速找到我们需要的信息。 Wireshark中主要有两种过滤器,捕捉过滤器和显示过滤器。 捕捉过滤器:用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。 显示过滤器:在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。
【抓包工具】实战:WireShark 捕获过滤器的超全使用教程
热门推荐
顾三殇 —— 博客空间(软件测试)
03-29 4万+
WireShark 捕获过滤器的超全使用教程
Wireshark 过滤器使用
LLinslemon的博客
08-16 9185
Wireshark 使用手册
Wireshark过滤
GY_1202的博客
06-10 7959
wireshark两种数据过滤方式:捕获过滤器、显示过滤器
Wireshark过滤器使用
brian0031的专栏
07-30 9062
Wireshark捕获过滤器使用
wireshark过滤器使用方法
G. Zeng 的 专栏
03-29 869
摘自:http://blog.youkuaiyun.com/yhwxxx/article/details/5643095   过滤器的区别 捕捉过滤器(CaptureFilters):用于决定将什么样的信息记录在捕捉结果中。需要在开始捕捉前设置。 显示过滤器(DisplayFilters):在捕捉结果中进行详细查找。他们可以在得到捕捉结果后随意修改。 两种过滤器的目的是不同的。 捕捉过滤器数据
Wireshark使用教程(一)——过滤器使用
weixin_45728716的博客
02-17 1万+
Wireshark过滤器使用教程 过滤器使用——捕获过滤器 wireshark是一款非常强大的网络封包分析软件,是一名网络工程师必备的软件。 语法说明 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,Markdown 将...
14种功能强大的Wireshark过滤器介绍
虹科网络安全的博客
05-14 1762
本文介绍14种功能强大的wireshark过滤器,能帮您快速在大量流量数据包中提取您需要的数据,快速分析流量
WireShark过滤器
m0_49476241的博客
09-08 1891
No.:数据包顺序Time:数据包到达时间Source:数据包发送方地址:数据包接收方地址Protocol:通信协议Length:数据包大小Info:简要说明。
Wireshark无法使用mysql过滤器
01-08
### Wireshark 中 MySQL 过滤器的配置与使用 在处理Wireshark中MySQL过滤器无法正常使用的问题时,需了解几个关键方面。确保捕获设置正确以及理解特定于MySQL的数据包筛选语法是解决问题的核心。 #### 正确配置Wireshark以捕捉MySQL通信数据 为了能够有效利用MySQL显示过滤器,在启动数据包捕获前应确认已选择了适当接口并设置了必要的捕获选项。如果目标是在局域网内监控数据库服务器活动,则应当指定涉及的相关主机或子网范围[^1]。 对于MySQL流量而言,默认情况下其服务监听TCP端口3306;因此可以考虑采用如下方式限定捕获范围: ```bash tcp port 3306 ``` 这将仅限于记录进出此端口号上的通讯会话,从而减少无关噪声干扰最终分析过程。 #### 使用恰当的显示过滤表达式 一旦完成初步的数据收集工作之后,下一步就是应用合适的显示过滤条件来聚焦感兴趣的事件。针对MySQL协议层面的操作,可借助内置的支持功能实现精细化检索。例如要查看所有的查询语句执行情况,可以用到`mysql.query`字段匹配机制[^2]。 然而当发现某些预期之外的行为发生——比如自定义创建的过滤规则未能生效——可能是因为版本兼容性差异或是具体命令格式不被识别所引起。此时建议参照官方文档说明调整参数组合形式,并尝试更新至最新稳定版程序环境以便获得更广泛的功能支持和错误修复补丁集合[^3]。 另外值得注意的是并非所有类型的SQL指令都能直接经由简单字符串模式进行定位提取,特别是那些嵌入了特殊字符或者采用了预备编译特性的情况。面对这类复杂场景则往往需要依赖更加高级别的解析技术手段来进行深入挖掘研究。 #### 解决方案总结 - **验证捕获设置**:确保正在监视正确的网络接口并且已经指定了适当的BPF(Berkeley Packet Filter)表达式用于限制输入源。 - **检查Wireshark版本**:保持应用程序处于最新的发行状态有助于规避潜在缺陷影响核心业务逻辑正常运作。 - **查阅手册资料**:遇到难以解释的现象时不吝寻求帮助,访问开发者社区论坛分享经验心得亦不失为一种高效的学习途径。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值