Wireshark 是一个强大的网络协议分析工具,支持多种类型的过滤器来帮助用户捕获和分析网络流量。

根据使用场景和功能,Wireshark 的过滤器可以分为以下两类:

1. 捕获过滤器(Capture Filter)

  • 定义:在数据包捕获阶段应用的过滤器,用于限制 Wireshark 捕获哪些数据包。
  • 特点:
    • 使用 BPF(Berkeley Packet Filter)语法。
    • 在捕获过程中实时生效,减少不必要的数据包被保存到内存或磁盘中。
    • 性能更高,适合大规模流量环境。
  • 常见用法:
host 192.168.1.1          # 捕获与 192.168.1.1 相关的所有流量

port 80                   # 捕获端口为 80 的流量

tcp and src 192.168.1.1   # 捕获来自 192.168.1.1 的 TCP 流量

2. 显示过滤器(Display Filter)

  • 定义:在数据包捕获完成后,用于筛选和显示特定数据包的过滤器。
  • 特点:
    • 使用 Wireshark 自定义语法,比捕获过滤器更灵活。
    • 在捕获完成后应用,不会影响实际捕获的数据。
    • 支持复杂的逻辑表达式和协议字段过滤。
  • 常见用法:
ip.addr == 192.168.1.1       # 显示与 192.168.1.1 相关的所有流量

tcp.port == 80               # 显示端口为 80 的 TCP 流量

http.request.method == "GET" # 显示 HTTP GET 请求

dns.qry.name contains "google" # 显示包含 "google" 的 DNS 查询

过滤器语法对比

功能 捕获过滤器(BPF) 显示过滤器(Wireshark)
语法 BPF Wireshark 自定义语法
应用时间 数据包捕获阶段 数据包捕获完成后
性能 更高效 较低效
灵活性 较低 更高
示例 host 192.168.1.1 ip.addr == 192.168.1.1

常用过滤器示例

1. 捕获过滤器示例

  • 按 IP 地址过滤:
host 192.168.1.1
  • 按端口过滤:
port 80
  • 按协议过滤:
tcp udp icmp
  • 组合条件:
tcp and src 192.168.1.1

2. 显示过滤器示例

  • 按 IP 地址过滤:
ip.addr == 192.168.1.1
  • 按端口过滤:
tcp.port == 80
  • 按协议字段过滤:
http.request.method == "GET" dns.qry.name contains "google"
  • 组合条件:
ip.addr == 192.168.1.1 && tcp.port == 80

如何选择过滤器?

  • 如果需要减少捕获的数据量:使用捕获过滤器(Capture Filter)。
  • 如果需要灵活分析已捕获的数据:使用显示过滤器(Display Filter)。

通过合理使用这两种过滤器,可以显著提高网络分析的效率和准确性。

Link:https://www.cnblogs.com/farwish/p/18781827

Wireshark 的过滤器类型的更多相关文章

  1. 关于wireshark的过滤器规则学习小结

    关于wireshark的过滤器规则学习小结 [前言] 这两天一直在熟悉wireshark的过滤器语法规则,以前也接触过这个工具,但只是学校老师教的如何去选择一个接口进行抓取,以及如何去分析一个包的数据 ...

  2. ASP.NET MVC中有四种过滤器类型

    在ASP.NET MVC中有四种过滤器类型

  3. 一站式学习Wireshark(十):应用Wireshark显示过滤器分析特定数据流(下)

    介绍 掌握显示过滤器对于网络分析者来说是一项必备的技能.这是一项大海捞针的技巧.学会构建,编辑,保存关键的显示过滤器能够节省数小时的时间. 与捕捉过滤器使用的BPF语法不同,显示过滤器使用的是Wire ...

  4. 一站式学习Wireshark(九):应用Wireshark显示过滤器分析特定数据流(上)

    介绍 掌握显示过滤器对于网络分析者来说是一项必备的技能.这是一项大海捞针的技巧.学会构建,编辑,保存关键的显示过滤器能够节省数小时的时间. 与捕捉过滤器使用的BPF语法不同,显示过滤器使用的是Wire ...

  5. wireshark基础学习—第三部分wireshark的过滤器语法

    我们都知道,wireshark可以实现本地抓包,同时Wireshark也支持remote packet capture protocol(rpcapd)协议远程抓包,只要在远程主机上安装相应的rpca ...

  6. wireshark显示过滤器的几种用法(转自他人博客)

    本文章转自:http://blog.51cto.com/houm01/1872652 几种条件操作符 ==   eq    等于    ip.addr == 192.168.0.1   ip.addr ...

  7. Wireshark 捕获过滤器的语法

    转自:http://blog.csdn.net/qq_29277155/article/details/52077239 前言 我们都知道,wireshark可以实现本地抓包,同时Wireshark也 ...

  8. wireshark基础学习—第四部分wireshark过滤器总结

    这两天一直在熟悉wireshark的过滤器语法规则,以前也接触过这个工具,但只是学校老师教的如何去选择一个接口进行抓取,以及如何去分析一个包的数据.可惜当时对此也没有过多深入.对于我当前,并未接触太多 ...

  9. Wireshark教程之过滤器设置

    实验目的 1.工具介绍 2.主要应用 实验原理 1.网络管理员用来解决网络问题 2.网络安全工程师用来检测安全隐患 3.开发人员用来测试执行情况 4.学习网络协议 实验内容 1.抓取特定数据流 2.显 ...

  10. wireshark抓包新手使用教程

    wireshark是非常流行的网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息.常用于开发测试过程各种问题定位. Wireshark软件安装 软件下载路径:wireshark官网.按照系 ...

随机推荐

  1. [转]如何将 PDF 批量导入到iPhone或iPad?| 技能Get!

    电脑上没看完的 PDF,想在移动端继续阅读? 问题来了!如何随身携带大量PDF文档?如何将电脑上的 PDF 文档快速导入到你的 iPhone 和 iPad 呢?链接数据线已经 out 了,现在告诉大家 ...

  2. 跟着源码学IM(九):基于Netty实现一套分布式IM系统

    本文作者小傅哥,原题"使用DDD+Netty,开发一个分布式IM(即时通信)系统".为了提升阅读体验,有大量修订和改动,感谢原作者. 0.系列文章 <跟着源码学IM(一):手 ...

  3. python-nmap实现python利用nmap扫描分析

    目录 前言 python-nmap的基本使用 PortScanner扫描 PortScannerAsync异步扫描 python-nmap的源码分析 前言 Nmap是一个非常用的网络/端口扫描工具,如 ...

  4. 轻松玩转 JMeter 测试计划组件

    轻松玩转 JMeter 测试计划组件 宝子们,今天咱就来唠唠 JMeter 里那个超重要的测试计划组件,它可是整个性能测试的 "指挥官",把各种测试元素安排得明明白白. 一.测试计 ...

  5. 使用CRM REST Builder的Predefined Query在js结合FetchXML语句进行查询

    一般情况下使用拓展工具RESTBuilder编辑器,可以很方便的进行操作js中增删改查均能实现,但在某些较为特殊的场景下,需要根据条件去拼接查询过滤条件的,使用编辑器生成的代码无法实现,需要结合使用f ...

  6. JS利用浏览器进行语言识别

    JS利用浏览器进行语言识别 <!DOCTYPE html> <html> <head> <meta charset="utf-8"> ...

  7. UWP 系统通知测试

    code: using System; using System.Collections.Generic; using System.IO; using System.Linq; using Syst ...

  8. 【Docker】---部署集群(2)

    RocketMQ(2)-Docker集群部署RocketMQ =前言= 1.因为自己只买了一台阿里云服务器,所以RocketMQ集群都部署在单台服务器上只是端口不同,如果实际开发,可以分别部署在多台服 ...

  9. Object类是所有Java类的根父类

  10. Ubuntu20.04配置CuckooSandbox环境

    Ubuntu20.04配置CuckooSandbox环境 因为最近要做恶意软件分析,阅读论文发现动态分析的效果普遍比静态分析的效果要好一些,所以需要搭建一个动态分析的环境,查阅资料发现Cuckoo S ...