wireshark过滤器分为两种,显示过滤器和捕获过滤器。显示过滤器指的是针对已经捕获的报文,使用过滤器语法过滤出符合规则的报文。捕获过滤器指的是提前设置好过滤规则,只捕获符合过滤规则的报文。显示过滤器和捕获过滤器在报文分析的过程中经常使用到,因此非常的实用。往往初次接触wireshark,可能会分不清这两种过滤规则,本文就先简单介绍一下这两种过滤器。
为什么wireshark使用两套过滤器规则呢?原因在于wireshark使用winpcap或者libpcap第三方的报文捕获库来对网卡的报文进行捕获,事实上其他很多软件都有使用libpcap进行报文捕获。因此捕获过滤器就沿用了这些第三方库提供的捕获过滤规则。但是对于已经捕获报文的解析和处理,wireshark本身构建了一套新的过滤规则,即显示过滤器,要更加的复杂和强大。
为什么要使用捕获过滤器呢?因为在有些场景下,网卡上的流量可能很大,每秒几个G很甚至更多。而很多的流量并不是我们关心的数据,这个时候就需要使用捕获过滤器捕获指定的数据。无用的数据一方面会干扰分析,另一方面浪费存储空间以及拷贝时间。
图1就是wireshark捕获->选项中设置捕获过滤器的地方:
图1
我在图中设置了主机的IP地址以及端口两个过滤规则,表示捕获地址为192.168.0.115同时端口为53的报文,从直观上来说是很容易理解的,我在此通过一些示例做概括性的介绍。
捕获过滤规则使用BNF语法,主要提供以下三类原语,这几类原语可以通过运算符组合成为复杂的过滤规则。常见的运算符包括逻辑运算符and or not ,即与或非,以及比较运算符> < 等。
1,类型原语,包括地址原语 host 和net、端口原语 port
来源:CSDN
作者:村中少年
链接:https://blog.csdn.net/javajiawei/article/details/103586874