Wireshark 是一款功能强大的网络协议分析工具,可以帮助我们捕获并分析网络流量。在网络流量分析中,有时需要过滤掉不相关的流量,仅捕获特定的流量以简化分析工作。这时候,“捕获过滤器”(Capture Filter)就显得尤为重要。
本文将介绍捕获过滤器的基础知识、用法及一些常见的过滤示例。
什么是捕获过滤器?
Wireshark 捕获过滤器用于在数据捕获时限制所捕获的数据包类型。与显示过滤器不同,捕获过滤器会直接影响 Wireshark 捕获的内容,而非捕获后显示的内容。
捕获过滤器基于 BPF(Berkeley Packet Filter)语法,执行高效的过滤操作,仅将符合条件的数据包保存到内存或磁盘,减少资源消耗。
设置捕获过滤器的方法
开始捕获前设置过滤器
- 在 Wireshark 主界面,选择将要捕获的接口。
- 然后输入捕获过滤器条件。例如:tcp port 80。
- 回车后进去捕获界面,Wireshark 将仅捕获符合条件的数据包。
通过“捕获选项”设置
- 点击菜单栏的 “捕获” > “选项”。
- 在弹出的窗口中,找到捕获过滤器输入框。
- 输入过滤条件,设置后点击 “启动” 按钮。
保存和重用过滤器
- Wireshark 支持保存常用的捕获过滤器。
- 在过滤器输入框旁边点击下拉菜单,选择 “管理捕获过滤器”,添加或编辑自定义过滤器,便于后续使用。
捕获过滤器的基本语法
捕获过滤器的语法基于 BPF,以下是一些关键点:
协议名称
- ip:IPv4 数据包。
- tcp:TCP 数据包。
- udp:UDP 数据包。
- arp:ARP 数据包。
- icmp:ICMP 数据包。
逻辑操作符
- and:逻辑与。
- or:逻辑或。
- not:逻辑非。
字段匹配
- host:指定主机地址,例如 host 192.168.1.1。
- port:指定端口号,例如 port 80。
- net:指定网络地址,例如 net 192.168.1.0/24。
方向
- src:源地址,例如 src host 192.168.1.1。
- dst:目标地址,例如 dst port 80。
常见的捕获过滤器示例
1. 捕获特定IP地址的数据包
host 192.168.1.1
捕获所有源地址或目标地址为 192.168.1.1 的数据包。
2. 捕获特定源地址的数据包
src host 192.168.1.1
仅捕获源地址为 192.168.1.1 的数据包。
3. 捕获特定目标地址的数据包
dst host 192.168.1.1
仅捕获目标地址为 192.168.1.1 的数据包。
4. 捕获特定端口的数据包
port 80
捕获所有与端口 80(如 HTTP 流量)相关的数据包。
5. 捕获特定源端口或目标端口的数据包
src port 80
仅捕获源端口为 80 的数据包。
dst port 443
仅捕获目标端口为 443(如 HTTPS 流量)的数据包。
6. 捕获特定网络的数据包
net 192.168.1.0/24
捕获网络 192.168.1.0/24 内所有主机的数据包。
7. 捕获TCP流量
tcp
捕获所有 TCP 流量。
8. 捕获ARP请求和响应
arp
捕获所有 ARP 协议流量。
9. 捕获特定数据包的组合条件
tcp and src host 192.168.1.1 and dst port 80
捕获源地址为 192.168.1.1 且目标端口为 80 的 TCP 数据包。
10. 排除特定流量
not host 192.168.1.1
捕获除 192.168.1.1 外的所有流量。
捕获过滤器与显示过滤器的区别
- 捕获过滤器:影响捕获时的数据,使用 BPF 语法,效率更高。只能在捕获前设置。
- 显示过滤器:影响捕获后显示的数据,支持更复杂的过滤条件(如字段匹配、正则表达式等)。
使用捕获过滤器的注意事项
过滤器越精确越好
捕获过滤器直接影响捕获的数据量,过于宽泛的过滤条件可能导致存储空间不足或分析效率下降。
无法修改捕获后的数据
捕获过滤器只能在捕获前设置,捕获后无法更改,因此需提前规划好过滤条件。
测试过滤器
如果不确定过滤器语法是否正确,可以通过 Wireshark 提供的验证工具进行检查。
扫一扫
5370
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
