資源描述:
《wireshark過濾器使用規(guī)則介紹》由會員上傳分享���,免費在線閱讀���,更多相關(guān)內(nèi)容在應用文檔-天天文庫�。
1��、Wireshark過濾器使用規(guī)則介紹之前學習Wireshark���,看到wireshark簡明教程里有關(guān)過濾器的介紹�,特別是新手不明白捕捉過濾器和顯示過濾器的區(qū)別與作用���。這篇文章感覺寫的挺好����,解答了我的疑惑�,畢竟看英文也是挺吃力的而且自己理解意思也不太明確。特地轉(zhuǎn)來�,順便加了點料,特來分享���。使用Wireshark時最常見的問題�����,是當您使用默認設置時����,會得到大量冗余信息�����,以至于很難找到自己需要的部分���。這就是為什么過濾器會如此重要���。它們可以幫助我們在龐雜的結(jié)果中迅速找到我們需要的信息。過濾器的區(qū)別捕捉過濾器(CaptureFilters):用于決定將
2����、什么樣的信息記錄在捕捉結(jié)果中。需要在開始捕捉前設置�����。顯示過濾器(DisplayFilters):在捕捉結(jié)果中進行詳細查找���。他們可以在得到捕捉結(jié)果后隨意修改��。那么我應該使用哪一種過濾器呢�?兩種過濾器的目的是不同的。捕捉過濾器是數(shù)據(jù)經(jīng)過的第一層過濾器�,它用于控制捕捉數(shù)據(jù)的數(shù)量,以避免產(chǎn)生過大的日志文件���。顯示過濾器是一種更為強大(復雜)的過濾器�����。它允許您在日志文件中迅速準確地找到所需要的記錄�。兩種過濾器使用的語法是完全不同的��。捕捉過濾器語法:ProtocolDirectionHost(s)ValueLogicalOperationsOtherexp
3����、ression例子:tcpdst10.1.1.180andtcpdst10.2.2.23128Protocol(協(xié)議):可能的值:ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcpandudp.如果沒有特別指明是什么協(xié)議,則默認使用所有支持的協(xié)議�����。Direction(方向):可能的值:src,dst,srcanddst,srcordst如果沒有特別指明來源或目的地�����,則默認使用“srcordst”作為關(guān)鍵字。例如��,”host10.2.2.2″與”srcordsthost10.2.2.2″是
4����、一樣的�。Host(s):可能的值:net,port,host,portrange.如果沒有指定此值,則默認使用”host”關(guān)鍵字���。例如���,”src10.1.1.1″與”srchost10.1.1.1″相同。LogicalOperations(邏輯運算):可能的值:not,and,or.否(“not”)具有最高的優(yōu)先級�����?;?“or”)和與(“and”)具有相同的優(yōu)先級,運算時從左至右進行���。例如����,“nottcpport3128andtcpport23″與”(nottcpport3128)andtcpport23″相同���?���!皀ottcpport3128
5、andtcpport23″與”not(tcpport3128andtcpport23)”不同���。例子:tcpdstport3128顯示目的TCP端口為3128的封包�����。ipsrchost10.1.1.1顯示來源IP地址為10.1.1.1的封包����。host10.1.2.3顯示目的或來源IP地址為10.1.2.3的封包���。srcportrange2000-2500顯示來源為UDP或TCP�����,并且端口號在2000至2500范圍內(nèi)的封包����。notimcp顯示除了icmp以外的所有封包。(icmp通常被ping工具使用)srchost10.7.2.12andnot
6����、dstnet10.200.0.0/16顯示來源IP地址為10.7.2.12,但目的地不是10.200.0.0/16的封包���。(srchost10.4.1.12orsrcnet10.6.0.0/16)andtcpdstportrange200-10000anddstnet10.0.0.0/8顯示來源IP為10.4.1.12或者來源網(wǎng)絡為10.6.0.0/16���,目的地TCP端口號在200至10000之間���,并且目的位于網(wǎng)絡10.0.0.0/8內(nèi)的所有封包���。srcnet192.168.0.0/24srcnet192.168.0.0mask255.255
7、.255.0顯示來源IP地址為10.1.1.1的封包���。注意事項:當使用關(guān)鍵字作為值時�����,需使用反斜杠“”���。“etherprotoip”(與關(guān)鍵字”ip”相同).這樣寫將會以IP協(xié)議作為目標?�!癷pprotoicmp”(與關(guān)鍵字”icmp”相同).這樣寫將會以ping工具常用的icmp作為目標�����?����?梢栽凇眎p”或”ether”后面使用”multicast”及”broadcast”關(guān)鍵字�。當您想排除廣播請求時,”nobroadcast”就會非常有用���。Protocol(協(xié)議):您可以使用大量位于OSI模型第2至7層的協(xié)議�����。點擊”Expressio
8�、n…”按鈕后�����,您可以看到它們�。比如:IP�,TCP��,DNS���,SSHString1,String2(可選項):協(xié)議的子類�。點擊相關(guān)父類旁的”+”號�����,然后選擇其子類�。Co
