Wireshark 的过滤器类型
Wireshark 是一个强大的网络协议分析工具,支持多种类型的过滤器来帮助用户捕获和分析网络流量。
根据使用场景和功能,Wireshark 的过滤器可以分为以下两类:
1. 捕获过滤器(Capture Filter)
- 定义:在数据包捕获阶段应用的过滤器,用于限制 Wireshark 捕获哪些数据包。
- 特点:
- 使用 BPF(Berkeley Packet Filter)语法。
- 在捕获过程中实时生效,减少不必要的数据包被保存到内存或磁盘中。
- 性能更高,适合大规模流量环境。
- 常见用法:
host 192.168.1.1 # 捕获与 192.168.1.1 相关的所有流量
port 80 # 捕获端口为 80 的流量
tcp and src 192.168.1.1 # 捕获来自 192.168.1.1 的 TCP 流量2. 显示过滤器(Display Filter)
- 定义:在数据包捕获完成后,用于筛选和显示特定数据包的过滤器。
- 特点:
- 使用 Wireshark 自定义语法,比捕获过滤器更灵活。
- 在捕获完成后应用,不会影响实际捕获的数据。
- 支持复杂的逻辑表达式和协议字段过滤。
- 常见用法:
ip.addr == 192.168.1.1 # 显示与 192.168.1.1 相关的所有流量
tcp.port == 80 # 显示端口为 80 的 TCP 流量
http.request.method == "GET" # 显示 HTTP GET 请求
dns.qry.name contains "google" # 显示包含 "google" 的 DNS 查询过滤器语法对比
| 功能 | 捕获过滤器(BPF) | 显示过滤器(Wireshark) |
|---|---|---|
| 语法 | BPF | Wireshark 自定义语法 |
| 应用时间 | 数据包捕获阶段 | 数据包捕获完成后 |
| 性能 | 更高效 | 较低效 |
| 灵活性 | 较低 | 更高 |
| 示例 | host 192.168.1.1 | ip.addr == 192.168.1.1 |
常用过滤器示例
1. 捕获过滤器示例
- 按 IP 地址过滤:
host 192.168.1.1- 按端口过滤:
port 80- 按协议过滤:
tcp udp icmp- 组合条件:
tcp and src 192.168.1.12. 显示过滤器示例
- 按 IP 地址过滤:
ip.addr == 192.168.1.1- 按端口过滤:
tcp.port == 80- 按协议字段过滤:
http.request.method == "GET" dns.qry.name contains "google"- 组合条件:
ip.addr == 192.168.1.1 && tcp.port == 80如何选择过滤器?
- 如果需要减少捕获的数据量:使用捕获过滤器(Capture Filter)。
- 如果需要灵活分析已捕获的数据:使用显示过滤器(Display Filter)。
通过合理使用这两种过滤器,可以显著提高网络分析的效率和准确性。
Link:https://www.cnblogs.com/farwish/p/18781827
Wireshark 的过滤器类型的更多相关文章
- 关于wireshark的过滤器规则学习小结
关于wireshark的过滤器规则学习小结 [前言] 这两天一直在熟悉wireshark的过滤器语法规则,以前也接触过这个工具,但只是学校老师教的如何去选择一个接口进行抓取,以及如何去分析一个包的数据 ...
- ASP.NET MVC中有四种过滤器类型
在ASP.NET MVC中有四种过滤器类型
- 一站式学习Wireshark(十):应用Wireshark显示过滤器分析特定数据流(下)
介绍 掌握显示过滤器对于网络分析者来说是一项必备的技能.这是一项大海捞针的技巧.学会构建,编辑,保存关键的显示过滤器能够节省数小时的时间. 与捕捉过滤器使用的BPF语法不同,显示过滤器使用的是Wire ...
- 一站式学习Wireshark(九):应用Wireshark显示过滤器分析特定数据流(上)
介绍 掌握显示过滤器对于网络分析者来说是一项必备的技能.这是一项大海捞针的技巧.学会构建,编辑,保存关键的显示过滤器能够节省数小时的时间. 与捕捉过滤器使用的BPF语法不同,显示过滤器使用的是Wire ...
- wireshark基础学习—第三部分wireshark的过滤器语法
我们都知道,wireshark可以实现本地抓包,同时Wireshark也支持remote packet capture protocol(rpcapd)协议远程抓包,只要在远程主机上安装相应的rpca ...
- wireshark显示过滤器的几种用法(转自他人博客)
本文章转自:http://blog.51cto.com/houm01/1872652 几种条件操作符 == eq 等于 ip.addr == 192.168.0.1 ip.addr ...
- Wireshark 捕获过滤器的语法
转自:http://blog.csdn.net/qq_29277155/article/details/52077239 前言 我们都知道,wireshark可以实现本地抓包,同时Wireshark也 ...
- wireshark基础学习—第四部分wireshark过滤器总结
这两天一直在熟悉wireshark的过滤器语法规则,以前也接触过这个工具,但只是学校老师教的如何去选择一个接口进行抓取,以及如何去分析一个包的数据.可惜当时对此也没有过多深入.对于我当前,并未接触太多 ...
- Wireshark教程之过滤器设置
实验目的 1.工具介绍 2.主要应用 实验原理 1.网络管理员用来解决网络问题 2.网络安全工程师用来检测安全隐患 3.开发人员用来测试执行情况 4.学习网络协议 实验内容 1.抓取特定数据流 2.显 ...
- wireshark抓包新手使用教程
wireshark是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息.常用于开发测试过程各种问题定位. Wireshark软件安装 软件下载路径:wireshark官网.按照系 ...
随机推荐
- Qt音视频开发37-USB摄像头解码ffmpeg方案
一.前言 用ffmpeg来处理USB摄像头,是前段时间研究视频监控ffmpeg内核的时候搞定的,既然ffmpeg这么牛逼的库可以解析各种音视频,我想处理个本地USB摄像头应该也不是什么难事,果真搜索也 ...
- WIN10删除文件时提示“找不到该项目,该项目不在......中,请确认该项目的位置,然后重试”的解决办法
问题描述: 最近有部分WIN10用户在删除文件时提示"找不到该项目,该项目不在......中,请确认该项目的位置,然后重试". 解决办法: 1.首先新建一个TXT文档(为了方便使用 ...
- Apollo功能及原理详解
前言 公司里面使用的配置中心是携程开源的Apollo,之前我只使用过Nacos,遂记录一下学习过程. Apollo工作原理 模块介绍 上图就是Apollo的总体设计,从下往上挨个分析: ConfigD ...
- Solution Set - “卷起击碎定论的漩涡”
目录 0.「CF 1788F」XOR, Tree, and Queries 1.「CF 1815F」OH NO1 (-2-3-4) 2.「CF 1787F」Inverse Transformation ...
- 我的c语言笔记
1. 进制转换 二进制.八进制和十六进制向十进制转换都非常容易,就是"按权相加".如:1010.1101 = 1×23 + 0×22 + 1×21 + 0×20 + 1×2-1 + ...
- Mongodb使用手册-文档存储
简介 MongoDB 是一个基于分布式文件存储的NoSQL数据库 由C++语言编写,运行稳定,性能高 旨在为 WEB 应用提供可扩展的高性能数据存储解决方案 查看官方网站 MongoDB特点 模式自由 ...
- canal源码分析简介-1
1.0 canal源码分析简介 canal是阿里巴巴开源的mysql数据库binlog的增量订阅&消费组件.项目github地址为:https://github.com/alibaba/can ...
- Redis组件的特性,实现一个分布式限流
分布式---基于Redis进行接口IP限流 场景 为了防止我们的接口被人恶意访问,比如有人通过JMeter工具频繁访问我们的接口,导致接口响应变慢甚至崩溃,所以我们需要对一些特定的接口进行IP限流,即 ...
- 基础《Go学习笔记》读书笔记——函数
writer:zgx lastmodify:2020年09月26日 目录 第四章--函数 变参 返回值 匿名函数 闭包 延迟调用 误用 性能 错误处理 error panic, recover Dra ...
- MySQL Event Scheduler were found damaged
Navicat操作Mysql时报错信息:Cannot proceed because system tables used by Event Scheduler were found damaged ...