快捷登录,享 免费下载
首页 > 教程资讯 > 教程详情

Wireshark 捕获过滤规则设置方法,新手需知

教程文章 完美下载小客服 2021-06-18
文章分享
软件首页

       使用 Wireshark 软件进行抓包,为了捕获指定的网络数据包,我们可以设置过滤规则,这样就能正确转包。问题来了,如何设置 Wireshark 捕获过滤器?为了帮助新手用户解决困扰,本文整理了详细说明,请参考。

Wireshark 如何设置捕获过滤规则?

从 Wireshark 2.x 版本开始,启动软件,在欢迎界面中就能看到捕获过滤器,在框中输入过滤表达式,即可抓取符合规则的数据包,

点击图中的书签标志,弹出菜单,选择“管理捕获筛选器”,即可看到捕获过滤表达示的书写形式,如图,

过滤表达式的语法说明

一条基本的表达式由过滤项. 过滤关系和过滤值这三项组成,比如 ip.addr == 192.168.1.1,ip.addr 是过滤项,==是过滤关系,192.168.1.1是过滤值,意思就是找出所有 ip 协议中源或目标 ip 等于 192.168.1.1 的数据包。

过滤项: Wireshark 的过滤项是“协议.协议字段”的模式,以端口为例,端口出现于 tcp 协议中所以有端口这个过滤项且其写法就是 tcp.port,

过滤关系:过滤关系就是大于. 小于. 等于这三种关系,你可以直接查看官方给出的表,注意,“English”和“C-like”这两种写法在 Wireshark 中是等价的,都是可用的。

过滤值:过滤值是指设定的过滤项应该满足过滤关系的标准,比如 500. 5000. 50000 等,过滤值的写法一般已经被过滤项和过滤关系设定了,只需要填写你自己的期望值即可。

过滤表达式举例

1. 数据链路层:

筛选 mac 地址为 04:f9:38:ad:13:26 的数据包----eth.src == 04:f9:38:ad:13:26

2. 网络层:

筛选 ip 地址为192.168.1.1的数据包----ip.addr == 192.168.1.1

3. 传输层:

筛选 tcp 协议的数据包----tcp

筛选除 tcp 协议以外的数据包----!tcp

筛选端口为 80 的数据包----tcp.port == 80

只看文章说明,大家可能还是有点模糊,无妨,只要多多练习即可很快理解。想了解更多精彩教程资讯,请关注完美下载

Wireshark

Wireshark

软件大小:58.60 MB

高速下载

相关问答

更多
  • 如何用抓包工具wireshark对交换机其中一端口进行抓包分析?

    可以用来PC直连交换机那个口 等方法源1、PC直连交换机那个口2、将该口镜像到交换机别的口,再PC连接3、使用集线器4、Wireshark(前称Ethereal)是一个网络封包分析软件。5、网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。6、Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。7、网络封包分析软件的功能可想像成 "电工技师使用电表来量测电流、电压、电阻" 的工作,只是将场景移植到网络上,并将电线替换成网络线。8、在过去,网络封包分析软件是非常昂贵,或是专门属于营利用的软件。9、Ethereal的出现改变了这一切,在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。10、Ethereal是全世界最广泛的网络封包分析软件之一。11、网络管理员使用Wireshark来检测网络问题,网络安全工程师使用Wireshark来检查资讯安全相关问题12、开发者使用Wireshark来为新的通讯协定除错,普通使用者使用Wireshark来学习网络协定的相关知识。

  • wireshark怎么用

    1、直copy接打开wireshark的主界面,需要选择本地连接开始抓包。2、下一步如果没问题,就点击停止按钮进行跳转。3、这个时候等完成上述操作以后,继续确定查看相关对象。4、这样一来会得到图示的结果,即可达到目的了。

  • 如何通过wireshark进行抓包的分析?

    Wireshark是一copy个网络协议检测工具,支持Windows平台和Unix平台,我一般只在Windows平台下使用Wireshark,如果是Linux的话,我直接用tcpmp了,因为我工作环境中的Linux一般只有字符界面,且一般而言Linux都自带的tcpmp,或者用tcpmp抓包以后用Wireshark打开分析。tcpmp是基于Unix系统的命令行式的数据包嗅探工具。如果要使用tcpmp抓取其他主机MAC地址的数据包,必须开启网卡混杂模式,所谓混杂模式,用最简单的语言就是让网卡抓取任何经过它的数据包,不管这个数据包是不是发给它或者是它发出的。

  • wireshark怎么设置持续抓包

      可以在wireshark的界面上进行一些设置之后再开启抓包过程,这个时候wireshark会自动根据我们指回定的文件名并加上序号和答时间来保存每个文件段了,具体过程如下:    选择Capture―Interfaces… 打开网络接口对话框    选择要对其进行抓包的网络设备,点击该条目后面的Options按钮    在该对话框中就可以设置使用多个文件存储抓到的数据,wireshark会根据我们指定的文件名自动指定每一段的文件名,其名字为 “指定的文件名_序号_日期时间.扩展名”,并且该对话框中可以设置各种文件分段的条件,以及停止抓包的条件,非常灵活。