wireshark捕獲過濾器與顯示過濾器

《wireshark捕獲過濾器與顯示過濾器》由會員上傳分享，免費在線閱讀，更多相關內容在工程資料-天天文庫。

1、Author:http://www.yatejx.com抽沙船Wireshark捕獲過濾器與顯示過濾器使用Wireshark時最常見的問題，是當您使用默認設置時，會得到大量冗余信息，以至于很難找到自己需要的部分。過猶不及。這就是為什么過濾器會如此重要。它們可以幫助我們在龐雜的結果中迅速找到我們需要的信息。--捕捉過濾器：用于決定將什么樣的信息記錄在捕捉結果中。需要在開始捕捉前設置。顯示過濾器：在捕捉結果中進行詳細查找。他們可以在得到捕捉結果后隨意修改。那么我應該使用哪一種過濾器呢？兩種過濾器的目的

2、是不同的。捕捉過濾器是數(shù)據(jù)經(jīng)過的第一層過濾器，它用于控制捕捉數(shù)據(jù)的數(shù)量，以避免產(chǎn)生過大的日志文件。顯示過濾器是一種更為強大（復雜）的過濾器。它允許您在日志文件中迅速準確地找到所需要的記錄。兩種過濾器使用的語法是完全不同的。我們將在接下來的幾頁中對它們進行介紹：??????????????????????1.?捕捉過濾器????????????2.?顯示過濾器?1.捕捉過濾器捕捉過濾器的語法與其它使用Lipcap（Linux）或者Winpcap（Windows）庫開發(fā)的軟件一樣，比如著名的TCPdu

3、mp。捕捉過濾器必須在開始捕捉前設置完畢，這一點跟顯示過濾器是不同的。?設置捕捉過濾器的步驟是：-選擇capture->options。-填寫"capturefilter"欄或者點擊"capturefilter"按鈕為您的過濾器起一個名字并保存，以便在今后的捕捉中繼續(xù)使用這個過濾器。-點擊開始（Start）進行捕捉。?Author:http://www.yatejx.com抽沙船Author:http://www.yatejx.com抽沙船語法：ProtocolDirectionHost(s)Va

4、lueLogicalOperationsOtherexpression例子：tcpdst10.1.1.180andtcpdst10.2.2.23128?Protocol（協(xié)議）:可能的值:ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcpandudp.如果沒有特別指明是什么協(xié)議，則默認使用所有支持的協(xié)議。??Direction（方向）:可能的值:src,dst,srcanddst,srcorAuthor:http://www.yatejx.c

5、om抽沙船Author:http://www.yatejx.com抽沙船dst如果沒有特別指明來源或目的地，則默認使用"srcordst"作為關鍵字。例如，"host10.2.2.2"與"srcordsthost10.2.2.2"是一樣的。?

6、的值：not,and,or.否("not")具有最高的優(yōu)先級。或("or")和與("and")具有相同的優(yōu)先級，運算時從左至右進行。例如，"nottcpport3128andtcpport23"與"(nottcpport3128)andtcpport23"相同。"nottcpport3128andtcpport23"與"not(tcpport3128andtcpport23)"不同。

7、來源IP地址為10.1.1.1的封包。host10.1.2.3顯示目的或來源IP地址為10.1.2.3的封包。srcportrange2000-2500顯示來源為UDP或TCP，并且端口號在2000至2500范圍內的封包。notimcp顯示除了icmp以外的所有封包。（icmp通常被ping工具使用）srchost10.7.2.12andnotdstnet10.200.0.0/16顯示來源IP地址為10.7.2.12，但目的地不是10.200.0.0/16的封包。(srchost10.4.1.12

8、orsrcnet10.6.0.0/16)andtcpdstportrange200-10000anddstnet10.0.0.0/8Author:http://www.yatejx.com抽沙船Author:http://www.yatejx.com抽沙船顯示來源IP為10.4.1.12或者來源網(wǎng)絡為10.6.0.0/16，目的地TCP端口號在200至10000之間，并且目的位于網(wǎng)絡10.0.0.0/8內的所有封包。?注意事項：當使用關鍵字作為值時，需使用反斜杠“”。"ether