wireshark 捕获过滤器

最新推荐文章于 2025-10-10 21:10:48 发布
原创 最新推荐文章于 2025-10-10 21:10:48 发布 · 1.6k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入解析Wireshark的捕获过滤器功能,包括BPF语法、限定词与逻辑操作符的使用,以及如何精确设定过滤条件来减少网络流量分析的工作量。

wireshark过滤器有两种:捕获过滤器、显示过滤器

捕获过滤器:减少捕获的报文大小

显示过滤器:对捕获的报文进行过滤显示

捕获过滤器的过滤功能相比显示过滤器弱,但适用范围广泛,使用BPF语法,可以用在很多工具,比如tcpdump。

这篇文章介绍:捕获过滤器,下篇介绍显示过滤器

在网卡选择窗口,可以填写 捕获过滤器


捕获过滤器使用的是(BPF):Berkeley packet filter(http://biot.com/capstats/bpf.html

BPF的概念

下面的表达式含义:抓取  www.jd.com 对应的ip地址上的数据,并且 端口是80的数据包

限定词(qualifier):描述后面值的含义,比如 port 80,表示端口为80

逻辑操作符:连接多个原语 可以有(与或非): and(&&)、or(||)、not(!)

上图中的“值“在官网对应的是:id (name or number)

The expression consists of one or more primitives. Primitives usually consist of an id (name or number) preceded by one or more qualifiers.

限定词

限定词主要有三类

限定词含义可取的值例子
Type表示类型hostnet , port and portrange.host www.jd.com
Dir网络出入方向srcdstsrc or dst and src and dst

dst port 80

目标80端口

Proto指定协议类型

etherfdditrwlanipip6

arprarpdecnettcp and udp

tcp

 

 

 

 

 

 

 

一些例子

表达式含义
捕获单个IP
host www.jd.com捕获www.jd.com对应ip地址上的数据包
host 192.168.0.11捕获 来自/到达 192.168.0.11 的数据
not host 192.168.0.11捕获除了 来自/到达 192.168.0.11 的数据
src host 192.168.0.11捕获来自 192.168.0.11的数据
dst host 192.168.0.11捕获到达 192.168.0.11的数据
捕获范围IP
net 192.168.0.11/24捕获到达/来自 192.168.0.11网络中任何主机的数据
net 192.168.0.11 mask 255.255.255.0同上
捕获端口
port 80捕获到达/来自 端口号为80的 UDP/TCP数据报文
tcp port 80捕获到达/来自 端口号为80的 TCP数据报文
udp port 80捕获到达/来自 端口号为80的 UDP数据报文
portrange 80-800捕获到达/来自 端口号为80~800的 UDP/TCP数据报文

 

Wireshark捕获过滤器和显示过滤器
村中少年的专栏
12-17 5582
wireshark中非常实用的捕获过滤器以及显示过滤器使用技巧
WireShark过滤器
ngczx的博客
10-11 2010
Wireshark过滤器规则可以分为**捕获过滤器**和**显示过滤器**,这两种过滤器有不同的编写规则
Wireshark 过滤器命令大汇总:从入门到精通
最新发布
LiBai'S BLOG
10-10 1034
特性捕获过滤器显示过滤器作用阶数据包进入前数据包捕获后语法BPF 语法Wireshark 专属语法效率高,不消耗磁盘和内存存储无用包低,所有数据都已捕获,只是隐藏灵活性低,条件判断相对简单极高,可对任何协议字进行复杂判断用途在繁忙链路上抓取特定流量,避免资源耗尽对已捕获的数据包进行深入、灵活的分析在不确定目标时,可以先使用一个宽泛的捕获过滤器(如not arp)或直接全部捕获,然后利用强大的显示过滤器进行精细化分析。掌握 Wireshark 过滤器是成为网络分析专家的必经之路。
wireshark捕获过滤器与显示过滤器
05-21
wireshark捕获过滤器与显示过滤器使用语法
wireshark使用方式详细解释 捕获过滤器 显示过滤器 捕获模式以及追踪流详细解答 一篇文章OK
盾悟
12-08 1万+
Wireshark使用LibPCAP、WinPCAP(现在普遍使用的是Npcap)作为驱动程序,他们提供了通用的抓包接口,直接与网卡进行数据报文交换,WinPCAP本身就是抓包分析工具,Wireshark通过对他进行整合加工丰富出来的产物,所以安装Wireshark的时候会提示我们安装WinPCAP。网络封包分析软件的功能是截取网卡进出的网络封包,并尽可能显示出最为详细的网络封包资料,它能够检测并解析各种协议,包括以太网、WIFI、TCP/IP和HTTP协议等等。Destination: 目标ip地址。
Wireshark捕获过滤器
weixin_42159301的博客
11-10 2791
一、说明简介 过滤器分为“捕获过滤器”与“显示过滤器”,前者只会抓取匹配规则的数据包,而后者数据已经全部抓取,只是在显示的时候,显示匹配规则的数据包。 捕获过滤器采用的是BPF(Berkeley Packet Flter)语法。BPF是一个用于过滤网络报文的框架,主要有两个个功能1、根据外界输入的规则过滤报文 2、将符合条件的报文由内核复制到用户空间。 具体的BPF语法可以请参考链接。 一个“表达式”包含多个“原语”,“原语”通常包含一个id(标识,比如IP、域名、端口,可以是数字或者是名称)或多个“限定符
渗透测试系列:【抓包工具】实战:WireShark 捕获过滤器的超全使用教程
weixin_54626591的博客
12-11 1375
在开始捕捉前设置:用于提前过滤不同类型接口的流量数据,大流量网络环境故障检测,当进行数据包捕获时,只有满足给定的包含 or 排除表达式的数据包会被捕获,只会抓取匹配规则的数据包。WireShark 菜单:「捕获(C)→ 选项(O)」
三十五:Wireshark捕获过滤器
W楠的博客
12-04 626
捕获过滤器(Capture Filter)用于在网络流量捕获就过滤掉不感兴趣的数据包。与显示过滤器不同,捕获过滤器是在数据包抓取时就进行过滤,确保只有符合特定条件的数据包被捕获并保存到文件中。捕获过滤器通常用于限制Wireshark捕获的网络数据量,减少对系统性能的影响,并更有针对性地捕获用户关心的数据。Wireshark捕获过滤器是一个非常有用的工具,它能够帮助用户在数据捕获就减少不必要的数据包,从而提高分析效率。
wireshark 捕获过滤器入门进阶 - CaptureFilters
TianYao
04-09 3065
捕获过滤器进阶一、wireshark捕获过滤器简介二、捕获过滤器常用10条讲解附实例三、著名的漏洞流量抓取四、捕获过滤器面试中常问的问题 相关文章推荐: 5分钟彻底扫除TCP/IP协议学习障碍-wirshark使用详解 一、wireshark捕获过滤器简介 wireshark使用libcap/winpacp支持的其他抓包程序有相同的捕获筛选器语法,如tcpdump、windump、 anal...
wireshark捕获过滤器
10-12
Wireshark捕获过滤器是一种用于过滤网络数据包的机制,可以根据协议、源地址、目的地址、端口等条件进行过滤,以便更好地分析网络流量。 常见的Wireshark捕获过滤器语法包括: - host:指定IP地址或主机名,用于...
Wireshark捕获过滤器
人生一路,点滴记录
02-21 1万+
目录 01、简介 02、BPF语法 03、过滤示例 在之前文章《我是如何使用wireshark软件的》中介绍了wireshark使用,提到了显示过滤器捕获过滤器,重点介绍了显示过滤器,本文将主要介绍一下捕获过滤器。 这里再次说明一下两者区别,需要看显示过滤器的同学,请看文章《我是如何使用wireshark软件的》。 捕获过滤器:当进行数据包捕获时,只有那些满足给定的包含/排除表达式的数据包会被捕获。 显示过滤器:该过滤器根据指定的表达式用于在一个已捕获的数据包集合中,隐藏不想显
Wireshark 基础 | 捕获过滤篇
7ACE的博客
10-13 7059
Wireshark 基础系列 | 捕获过滤篇
Wireshark 命令、捕获过滤器大全,零基础入门到精通,收藏这篇就够了
韩束一叶子
01-03 1327
Wireshark,这款广受欢迎的开源网络协议分析工具,堪称网络管理员、网络安全专家和网络爱好者的“显微镜”!它可以帮助我们捕获网络中的数据包,并提供详细的解码和分析能力。本文将为您全面剖析 Wireshark 的强大功能,从基础到高级,让你快速掌握这个神器!💡Wireshark 是一款功能强大的网络协议分析器,最早由 Gerald Combs 于 1998 年开发,经过多年发展,已成为网络诊断和分析的首选工具。
Wireshark捕获过滤器and显示过滤器
赵一舟的博客
10-02 3711
Wireshark捕获过滤器
wireshark 简单捕获过滤器和显示过滤器
phixgg1980的博客
06-20 1838
wireshark 捕获过滤器和显示过滤器
Wireshark——过滤器设置
qq_45951891的博客
11-04 1万+
初学者使用wireshark时,将会得到大量的冗余数据包列表,以至于很难找到自己自己抓取的数据包部分。wireshar工具中自带了两种类型的过滤器,学会使用这两种过滤器会帮助我们在大量的数据中迅速找到我们需要的信息。(1)抓包过滤器捕获过滤器的菜单栏路径为Capture --> Capture Filters。用于在抓取数据包前设置。如何使用?可以在抓取数据包前设置如下。
【抓包工具】实战:WireShark 捕获过滤器的超全使用教程
热门推荐
顾三殇 —— 博客空间(软件测试)
03-29 5万+
WireShark 捕获过滤器的超全使用教程
不藏了!Wireshark 命令、捕获过滤器大全分享给你
网络技术联盟站
12-30 383
Wireshark,这款广受欢迎的开源网络协议分析工具,堪称网络管理员、网络安全专家和网络爱好者的“显微镜”!它可以帮助我们捕获网络中的数据包,并提供详细的解码和分析能力。本文将为您全面剖析 Wireshark 的强大功能,从基础到高级,让你快速掌握这个神器!💡Wireshark 是一款功能强大的网络协议分析器,最早由 Gerald Combs 于 1998 年开发,经过多年发展,已成为网络诊断和分析的首选工具。
wireshark使用方式详细解释—捕获过滤器、显示过滤器捕获模式以及追踪流详细解答
Button12138的博客
07-16 1187
Wireshark(前身是Ethereal)是一个网络封包分析软件,目前是全球使用最广泛的开源抓包软件,别名小鲨鱼或者鲨鱼鳍。网络封包分析软件的功能是截取网卡进出的网络封包,并尽可能显示出最为详细的网络封包资料,它能够检测并解析各种协议,包括以太网、WIFI、TCP/IP和HTTP协议等等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值